FZ 242 o ochronie danych osobowych. Ustawa 242 (USTAWA o ochronie danych osobowych): zmiany i komentarze

W Rosji obowiązuje odrębna ustawa, zgodnie z którą różne organizacje i osoby fizyczne muszą wykonywać operacje związane z danymi osobowymi ó FZ nr 152. W odpowiedni akt prawny okresowo ustawodawca wprowadza zmiany. W szczególności, 1 września 2015 r. w życie weszły przepisy ustawy federalnej nr 242, po publikacji którego w FZ nr 152 pojawił się szereg zupełnie nowych norm. W czym oni są? Kto jest zobowiązany przestrzegać obowiązujących przepisów?

Co to jest USTAWA o ochronie danych osobowych?

Należy szczególnie skupić się na tym ważnym momencie: ustawa 242-FZ, która weszła w życie z dniem 1 września 2015 roku, jest przepisami ustawy, który wprowadził zmiany na inny, stanowiący źródło prawa ó FZ nr 152, przyjęty w lipcu 2006 roku. W ten sposób, sformułowania zawarte w ustawie nr 242, należy rozpatrywać wyłącznie w kontekście tych przepisów, że znajdują się w FZ nr 152.

Podstawowy akt prawny ó FZ nr 152, ustanowił w ustawodawstwie federacji ROSYJSKIEJ takie prawne kategorii, jak:

- dane osobowe;

- operator odpowiednich informacji;

- przetwarzanie danych osobowych.

W pierwszej prawnej kategorią ustawodawca nakazuje rozumieć wszelkie informacje, które bezpośrednio lub pośrednio należy do osoby fizycznej. Mogą to być, na przykład, jego Imię i nazwisko, dane osobowe, dane kontaktowe.

Pod drugi prawnej kategorią w ustawie rozumie się państwowe lub miejskie organ, organizacja lub osoba fizyczna, które samodzielnie lub w ramach współpracy z innymi podmiotami prowadzą procedurę przetwarzania danych, a także określają ich skład i operacji z nimi.

Pod trzeciej prawnej kategorią ustawodawca nakazuje rozumieć każdą operację lub ich sekwencję, że odnoszą się do danych osobowych i są prowadzone przez zastosowanie środków automatyzacji lub bez nich.

Podstawowe operacje na danych osobowych, określonych ustawą nr 152: gromadzenie, rejestrowanie, przechowywanie, korekta, stosowanie, przekazywanie, blokowanie, usuwanie. Wymienione prawne kategorii, w zasadzie w momencie przyjęcia można uznać za całkiem nowych dla systemu prawnego federacji ROSYJSKIEJ. Do tego obroty danych osobowych регламентировался prawem rosyjskim dość powierzchownie.

Nowość FZ nr 152

Ustawa o ochronie danych osobowych, przyjęty w federacji ROSYJSKIEJ, został powołany w ten sposób przybliżyć się do krajowego systemu prawnego do standardów zapewnienia poufności wymiany informacji – przede wszystkim, przedstawionej w formie elektronicznej i używanych w ramach komunikacji online. Ale FZ nr 152 w równej mierze stworzył prawną środę również dla zapewnienia ochrony różnych offline danych.

Zgodnie z tym normatywny akt prawny utożsamiał kilka klas danych osobowych, które wymagały zastosowania określonych algorytmów ochrony. Ponadto, USTAWA nr 152 ustanowił normy, zgodnie z którymi obroty różnych danych mógł być wykonywane w wyspecjalizowanych systemach informatycznych ó tych, które wymagają szczególnie wysokich kwalifikacji administratorów, a także uzyskania przez nich licencji na wykonywanie operacji z danymi osobowymi.

Mimo, że FZ nr 152 został wydany w 2006 roku, w praktyce jego główne postanowienia operatorom danych osobowych stało należy stosować tylko z 1 lipca 2011 roku. Od tego momentu w odpowiednie źródło prawa, jak wspomniano powyżej, okresowo zostały wprowadzone różne korekty. W szczególności te, które zostały zatwierdzone przez władze federalne poprzez Ustawy 242-FZ. Rozważmy jego cechy więcej.

Cechy stosowania aktu prawnego

Ustawa 242-FZ «O ochronie danych osobowych» (dokładniej, «O zmianie ustaw w części wyjaśnienia przetwarzania danych») uznał stanowisko, zgodnie z którym operatorzy stali zobowiązana przetwarzanie i przechowywanie informacji tylko na serwerach, które umieszczone są na terenie Rosji. Albo jeśli to offline dane osobowe ó umieszczanie ich w bazach danych, które znajdują się w federacji ROSYJSKIEJ. Należy pamiętać, że w prawie 242-FZ zarejestrowany szereg wyjątków dotyczących wskazanej normy ó które, z kolei, są odzwierciedlone w przepisach ustawy federalnej nr 152.

Jeszcze jeden niuans stosowania prawa polega na tym, że poprzez jego ustawodawca także wprowadził zmiany nie tylko w podstawowy akt prawny, regulujący operacji z danymi osobowymi, ale i w inne źródła. A mianowicie w prawo 149 «O informacji», a także 249 («O ochronie osób prawnych i IP przy państwowym i miejskim kontroli»).

W rosyjskich MEDIACH aktywnie тиражировалась informacja o tym, że Roskomnadzor ó instytucja odpowiedzialna za zapewnienie zgodności działalności operatorów danych postanowieniami FZ-242 «O ochronie danych osobowych», w 2016 roku będzie przeprowadzać kontrole największych dostawców rozwiązań IT, które prowadzą działalność w federacji ROSYJSKIEJ. W szczególności, mówiło się o tym, że celem Роскомнадзора ó dowiedzieć się, czy wykonują przepisy danej ustawy takie marki jak Microsoft, «Facebook», HeadHunter, LaModa. Zakładano, że urząd wykonuje około 1 tys. różnych kontroli.

Zainicjowane przez władze federalne poprzez wydanie FZ NR 242-FZ zmiany dotyczące danych osobowych w ustawie mogą zaważyć o konieczność przeprowadzenia największymi operatorami znaczącej aktualizacji sprzętu i oprogramowania. Ale to zadanie musi być rozwiązane markami, w przeciwnym razie, w przypadku niezgodności wykorzystywanej przez nich infrastruktury do wymogów danego prawa, Władze mogą nałożyć karę na firmę.

Znaczącą rolę w kontroli, jak się zakłada, muszą zagrać użytkownicy różnych rozwiązań IT. W przypadku, gdy zaczną podejrzewać, że ich dane nie całkiem bezpieczne, informacje o serwisie, który jest zaangażowany w operacje z odpowiednimi danymi, mogą być przekazane przez użytkowników bezpośrednio w Autonomii. Który, z kolei, będzie musiał rozpocząć proces weryfikacji serwisu pod kątem zgodności z przepisami ustawy 242-FZ.

Przydatne będzie wziąć pod uwagę to, jaki jest zakres działania danej źródła prawa.

Ustawa nr 242: zakres źródła prawa

Główny dyskusyjny momencie w tym przypadku ó to dotyczy, czy jurysdykcja FZ-242 «O ochronie danych osobowych» firmy zagraniczne, które z jednej strony mają usługi rosyjskim użytkownikom, z drugiej, znajdują się poza granicami federacji ROSYJSKIEJ, jak z prawnego punktu widzenia, jak i pod względem задействуемой infrastruktury.

Odrębnych przepisów, w tym prawie, które by jednoznacznie określały geografii jego działania, ustawodawca nie przyjął. Dlatego, w celu znalezienia odpowiedzi na takie pytanie, należy zwrócić się do innych aktów prawnych.

Tak, zgodnie z ustawą o informacji, obowiązującymi w federacji ROSYJSKIEJ, zastosowanie na terenie Rosji różnych typów infrastruktury komunikacyjnej powinno odbywać się z uwzględnieniem norm zatwierdzonych w ustawodawstwie federacji ROSYJSKIEJ. Tak więc, jeśli zastosujesz się do tej normie, to można dojść do wniosku, że ustawa nr 242-FZ obejmuje jednak tylko te usługi, które jednoznacznie wykorzystują infrastrukturę, co umieszczony w Rosji.

Definicja działalności operatora danych osobowych w Rosji

Najważniejszym kryterium określenia jurysdykcji danego źródła prawa ó ukierunkowanie działalności marki, który w taki czy inny serwis. Jeśli ten lub inny strona jest głównie przeznaczony dla rosyjskich użytkowników, musi być przedmiotem regulacji z punktu widzenia stosowania przepisów ustawy nr 242. Fakt, że serwis ma na celu uzyskanie danych osobowych obywateli federacji ROSYJSKIEJ, może być ustalona na podstawie tego, że:

- w strukturze adres strony internetowej jest używany domena .pl, .su, .federacji rosyjskiej lub, na przykład, .moskwa;

- zawartość witryny jest wykonana w języku polskim;

- na stronach portalu jest posiadanie możliwości wstąpienia w związek z serwisu za pomocą formularzy, umów, sporządzanych na podstawie przepisów kodeksu Cywilnego federacji ROSYJSKIEJ.

W praktyce operatorami danych, które podlegają jurysdykcji FZ nr 242, mogą być bardzo różne struktury ó na przykład, usługi kadrowe przedsiębiorstw, banków, call-centers. Wszystkie one muszą zapewniać zgodność działalności z przepisami prawa, o którym mowa.

Ustawa nr 242 z punktu widzenia zastosowania jego mocy wstecznej

Ustawa nr 242-FZ o wprowadzeniu zmian do ustawy federalnej nr 152 został wydany później, niż pojawił się właściwie sam FZ nr 152, a także poprzednie poprawki do niego, jednak spowodowała pojawienie się dodatkowej interpretacji przepisów podstawowego aktu prawnego. W szczególności, w środowisku prawników pojawiła się dyskusja o tym, czy należy traktować ustawa nr 242 nunc pro tunc.

Najbardziej popularny pogląd, zgodnie z którym w odniesieniu do oceny czynności prawnej danego aktu prawnego należy stosować общеюридические zasady, zgodnie z którymi nadanie odwrotnej mocą tych przepisów, które pogarszają stan tych lub innych osób albo ustalają dla nich dodatkowe obowiązki, być nie powinno.

Wyjątki mogą być podejmowane w odniesieniu do aktów prawnych, w których zasada odwrotnej siły ustalona bezpośrednio. Ustawa 242-FZ takich postanowień nie zawiera. Więc przestrzegać jego obowiązek tylkoci uczestnicy stosunków, które zaczynają przetwarzać dane osobowe już po wejściu odpowiedniego aktu prawnego w życie. Czyli od 1 września 2015 roku.

Istota zbierania danych

Jeszcze jeden dyskusyjny moment, który charakteryzuje dany akt prawny ó definicja «zbieranie danych» na podstawie sformułowań obecnych w nim. Na czym polega złożoność traktowań w tym przypadku? Rzecz w tym, że zgodnie z przepisami ustawy federalnej nr 152, które zostały dokonane za pośrednictwem publikacji FZ NR 242-FZ zmiany danych osobowych, użytkownik powinien zapewnić lokalizację plików w procesie tak samo gromadzenia odpowiednich informacji. Z kolei istotą tej procedury jednoznacznie nie określona w ustawie, co, oczywiście, nie przyczynia się do skutecznej realizacji jego postanowień w wielu kontekstach.

W środowisku ekspertów powszechne punkt widzenia, w którym pod «zbieranie» słusznie rozumieć proces, w ramach którego operator danych otrzymuje je bezpośrednio od pewnego podmiotu lub управомоченных osób trzecich. Okazuje się, że zlokalizowane zgodnie z przepisami FZ 242 powinny być tylko te dane osobowe, że zostały zakupione przez operatora w sprawie przeprowadzenia im celowej pracy zbierania odpowiednich danych. I jeśli, na przykład, operator otrzymał je przypadkowo - jako opcja, w formie listu na adres e-mail, zlokalizować, jak to prawo nakazuje 242-FZ, danych osobowych nie jest konieczne. Podobnie niesłusznie postrzegane jako proces zbierania danych i ich zbierania jedną firmę od drugiej, jeśli stanowią one numery telefonów i inne dane kontaktowe przedstawicieli firmy.

Umieszczenie danych za granicą zgodnie z prawem, nr 242

Następnego najważniejszy szczegół, który charakteryzuje realizacji praktyki przy realizacji postanowień ustawy nr 242 ó możliwość wykorzystania danych przez operatorów za granicą w niezbędnych przypadkach ó na przykład, jeśli chodzi o tworzenie kopii zapasowych istotnych danych na serwerach dzierżawionych u zagranicznych dostawców. Z jednej strony, zgodnie z prawem, nr 242-FZ dane osobowe muszą być przechowywane na serwerach, które znajdują się na terenie Rosji. Z drugiej strony, oczywiście, może wystąpić ich obiektywna konieczność umieszczania także do zagranicznych zasobów.

Jak podkreślają prawnicy, międzynarodowe transfery danych bez naruszenia postanowień regulujących prawa, w zasadzie jest możliwe. Na podstawie jakich przepisów tej pozycji można uznać za prawowitym?

Kiedy międzynarodowe transfery legalna

Rzecz w tym, że ustawa o lokalizacji danych osobowych 242-FZ nie zawiera postanowień o wprowadzeniu zmian w akty prawne, regulujące transgraniczne przesyłanie plików zawierających zindywidualizowanych informacji o obywatelach federacji ROSYJSKIEJ i innych podmiotach, które trafiają pod ochroną ustawy nr 152-FZ. Dlatego ta procedura jest zgodna z prawem, jak i do momentu, kiedy został przyjęty rozważających poprawki do ustawy.

Ale jeszcze raz zwrócić uwagę ó międzynarodowe transfery danych może zostać dokonana wyłącznie w celu wykonania kopii zapasowej poszczególnych plików. Ich oryginały w ten sposób, muszą być umieszczone na serwerach w ROSJI. Operator danych sam ponosi odpowiedzialność za nieautoryzowane korzystanie z tymi lub innymi osobami plików na zagranicznych serwerach. Ponadto, pewien, prawdopodobnie będzie musiał dostosować swoje systemy informatyczne z wymogami określonymi przepisami prawa państwa, na którego terytorium znajdują się na serwerze.

Sankcje za naruszenia ustawy nr 242

Tak Więc, studiowaliśmy, jakie wprowadził ustawodawca poprzez wydanie ustawy 242-FZ zmiany w FZ nr 152. Przydatne będzie również wziąć pod uwagę to, z jakimi sankcjami mogą wystąpić danych operatorzy, którzy naruszają postanowienia odpowiedniego źródła prawa.

Po pierwsze, na firmę, która jest zobowiązana spełniać wymagania ustawy nr 242, może być nałożona kara administracyjna. Jego wartość wynosi 500-1000 zł dla urzędników, a także 10 razy większe kwoty - dla osób prawnych. Ta kara zainstalowana art. 13.11 kodeksu postępowania administracyjnego federacji ROSYJSKIEJ.

Po drugie, może być zastosowana taka sankcja, jak inkorporację operatora danych w rejestrze przestępców. Jest to zautomatyzowaną bazę, zawierającą nazwy i adresy stron internetowych, na których dane osobowe są przetwarzane z naruszeniem. Należy pamiętać, że włączenie operatora w rejestrze odbywa się na podstawie decyzji sądu. Wyjątek ó po jego zniesieniu lub w sprawie usunięcia przez firmę naruszenia danego prawa.

Po trzecie, może być ograniczony dostęp do strony internetowej, na której realizowany jest nieprawidłowe przetwarzanie danych osobowych. Procedura ta odbywa się po tym, jak podmiot danych osobowych celuje w Autonomii oświadczenie o konieczności podejmowania działań na zablokowaniu danego zasobu.

Ponadto, dokument ten musi być uzupełniony sądowym ustawa, która weszła w życie. Po tej Autonomii wysyła informacje o naruszeniach przez właściciela serwisu ustawy nr 242 dostawcą usług hostingowych, i ten, jeśli właściciel zasobu nie usunie naruszenia blokuje stronę.

Kolejność stosowania sankcji wobecprzestępcom przepisów danego aktu prawnego w dużej mierze zależy od orzecznictwa. Operatorom danych osobowych ma sens regularnie uczyć się jej, tak samo jak, na przykład, i różne badania analityczne przepisów ustawy nr 242-FZ, komentarze prawników do niego. Spełnienie norm FZ nr 152 z uwzględnieniem aktualnych poprawek do niego ó najważniejszym warunkiem prawidłowego funkcjonowania odpowiednich serwisów informacyjnych.