ФЗ 242 про захист персональних даних. Федеральний закон 242 (ФЗ " про персональних даних): зміни та коментарі

У Росії діє окремий закон, згідно з яким різні організації та фізособи повинні здійснювати операції з персональними даними — ФЗ № 152. У відповідний правовий акт періодично законодавець вносить зміни. Зокрема, 1 вересня 2015 року набрали чинності норми ФЗ № 242, після видання якого до ФЗ № 152 з'явився ряд принципово нових норм. У чому вони полягають? Хто зобов'язаний виконувати відповідні положення законодавства?

представляє собою ФЗ " про персональних даних?

Слід особливо акцентувати увагу на цьому принциповому моменті: закон 242-ФЗ, який набрав чинності з 1 вересня 2015 року, є нормативним актом, який вніс зміни в інший, основний джерело права — ФЗ № 152, прийнятий в липні 2006 року. Таким чином, формулювання, що містяться в законі № 242, слід розглядати виключно в контексті тих норм, що містяться в ФЗ № 152.

Основоположний правовий акт — ФЗ № 152, встановив у законодавстві РФ такі правові категорії, як:

- персональні дані;

- оператор відповідних відомостей;

- обробка персональних даних.

Під першою правовою категорією законодавець наказує розуміти будь-яку інформацію, що прямо або побічно відноситься до фізичній особі. Це можуть бути, наприклад, його Ф. В. О., персональні дані, контактні відомості.

Під другою правовою категорією в законі розуміється державний або муніципальний орган влади, організація або фізична особа, які самостійно або в ході взаємодії з іншими суб'єктами здійснюють процедуру обробки даних, а також визначають їх склад та операції з ними.

Під третьою правовою категорією законодавець наказує розуміти будь-яку операцію або їх послідовність, що мають відношення до персональних даних здійснюються за допомогою застосування засобів автоматизації або ж без них.

Основні операції з персональними даними, визначені законом № 152: збір, запис, зберігання, коригування, використання, передача, блокування, видалення. Вказані правові категорії, в принципі, на момент прийняття могли вважатися досить новими для правової системи РФ. До того обіг персональних даних регламентувався російським законодавством досить поверхово.

Новизна ФЗ № 152

Закон про персональних даних, прийнятий в РФ, був покликаний, таким чином, наблизити вітчизняну правову систему до світових стандартів забезпечення конфіденційності обміну інформацією — насамперед, представленої в електронному вигляді і використовується в рамках онлайнових комунікацій. Але ФЗ № 152 в рівній мірі створив правову середу також для забезпечення захисту різних офлайнових даних.

згідно з цим нормативно-правовим актом було визначено кілька класів персональних даних, які вимагали застосування певних алгоритмів захисту. Крім того, ФЗ № 152 встановив норми, згідно з якими обіг різних даних може здійснюватися в спеціалізованих інформаційних системах — тих, які вимагали особливо високої кваліфікації адміністраторів, а також отримання ними ліцензій на здійснення операцій з персональними даними.

Незважаючи на те що ФЗ № 152 був виданий в 2006 році, на практиці його основні положення операторам персональних даних стало обов'язково застосовувати тільки з 1 липня 2011 року. З того моменту у відповідний джерело права, як ми зазначили вище, періодично вносилися різні коригування. Зокрема, ті, що були затверджені федеральними владою за допомогою Закону 242-ФЗ. Розглянемо його особливості докладніше.

Особливості застосування правового акта

Федеральний закон 242-ФЗ «Про персональних даних» (точніше, «Про внесення змін до актів в частині уточнення обробки даних») встановив положення, згідно з яким оператори стали зобов'язані здійснювати обробку та зберігання відомостей тільки на серверах, що розміщені на території Росії. Або якщо це офлайнові персональні дані   розміщувати їх в базах даних, що знаходяться в РФ. Зазначимо, що в законі 242-ФЗ прописаний ряд винятків щодо зазначеної норми — які, в свою чергу, відображені в положеннях ФЗ № 152.

Ще один нюанс застосування закону полягає в тому, що за допомогою його законодавець вніс зміни не тільки в основний правовий акт, що регулює операції з персональними даними, а й у інші джерела. А саме закони 149 «Про інформацію», а також 249 («Про захист юросіб та ІП при державному і муніципальному контролі»).

В російських ЗМІ активно тиражувалася інформація про те, що Роскомнадзор — відомство, що відповідає за забезпечення відповідності діяльності операторів даних положень ФЗ-242 «Про захист персональних даних», у 2016 році буде проводити перевірки найбільших постачальників ІТ-рішень, які здійснюють діяльність у РФ. Зокрема, йшлося про те, що мета Роскомнадзора — дізнатися, чи виконують приписи даного закону такі бренди, як Microsoft, «Вконтакте», HeadHunter, LaModa. Передбачалося, що відомство виконає близько 1 тис. різних перевірок.

Ініційовані федеральними властями допомогою видання ФЗ № 242-ФЗ про зміни персональних даних в основному законі могли зумовити необхідність проведення найбільшими операторами значного оновлення апаратного та програмного забезпечення. Але дана задача повинна бути вирішена брендами, інакше, при невідповідності використовуваної ними інфраструктури вимогам цього закону, Роскомнадзор може накласти штраф на компанію.

Значну роль у перевірках, як передбачається, повинні зіграти користувачі різних IT-рішень. У разі якщо вони почнуть підозрювати, що їх дані не цілком надійно захищені, то відомості про сервіс, який задіюється при операціях з відповідними даними, можуть бути передані користувачами безпосередньо в Роскомнадзор. Який, у свою чергу, повинен буде ініціювати перевірку сервісу на предмет відповідності нормам закону 242-ФЗ.

Корисно буде розглянути те, яка сфера дії розглянутого джерела права.

Закон № 242: сфера дії джерела права

Головний дискусійний момент у даному випадку — то, поширюється юрисдикція ФЗ-242 «Про захист персональних даних» на іноземні фірми, які, з одного боку, надають послуги російським користувачам, з іншого, розташовуються за межами РФ як з юридичної точки зору, так і в плані задействуемой інфраструктури.

Окремих положень у цьому законі, які б однозначно визначали географію його дії, законодавець не затвердив. Тому, в цілях знаходження відповіді на дане питання, необхідно звертатися до іншим правовим актам.

Так, згідно із законом про інформацію, що діють в РФ, застосування на території Росії різних типів комунікаційної інфраструктури повинно здійснюватися з урахуванням норм, затверджених в законодавстві РФ. Таким чином, якщо слідувати цій нормі, то можна прийти до висновку, що Федеральний закон № 242-ФЗ поширюється все ж тільки на ті сервіси, які однозначно задіють інфраструктуру, що розміщена в Росії.

Визначення діяльності оператора персональних даних в Росії

Найважливіший критерій визначення юрисдикції розглянутого джерела права — спрямованість діяльності бренду, володіє тим чи іншим сервісом. Якщо той чи інший сайт переважно обслуговує російських користувачів, то він повинен вважатися об'єктом регулювання з точки зору застосування норм закону № 242. Той факт, що сервіс спрямований на отримання персональних даних громадян РФ, може встановлюватися виходячи з того, що:

- у структурі адреси сайту використовується домен .ru, .su, .рф або, наприклад, .москва;

- контент сайту виконаний російською мовою;

- на сторінках порталу є наявність можливості вступити у правовідносини з сервісом з використанням форм договорів, що складаються у відповідності з Цивільним кодексом РФ.

На практиці операторами даних, які потрапляють під юрисдикцію ФЗ № 242, можуть бути самі різні структури — наприклад, кадрові служби підприємств, банки, call-центри. Всі вони зобов'язані забезпечувати відповідність своєї діяльності до вимог закону, про який йде мова.

Закон № 242 з точки зору його застосування зворотної сили

Закон № 242-ФЗ " про внесенні змін у ФЗ № 152 був виданий пізніше, ніж з'явився власне сам ФЗ № 152, а також попередні поправки до нього, проте зумовив виникнення необхідності додаткової інтерпретації положень основного правового акта. Зокрема, у середовищі юристів з'явилася дискусія про те, чи слід розглядати закон № 242 як має зворотну силу.

найбільше популярна точка зору, згідно з якою щодо оцінки юридичної дії розглядуваного правового акта слід застосовувати общеюридические принципи, згідно з якими наділення зворотною силою тих законів, які погіршують становище тих чи інших осіб або встановлюють для них додаткові обов'язки, здійснюватися не повинно.

Винятки можуть прийматися щодо правових актів, в яких принцип зворотної сили зафіксований безпосередньо. Закон 242-ФЗ таких положень не містить. Тому дотримуватися його зобов'язані тількиті учасники правовідносин, які починають обробляти персональні дані вже після вступу відповідного правового акту в законну силу. Тобто з 1 вересня 2015 року.

Сутність збору даних

Ще один дискусійний момент, що характеризує розглянутий правовий акт — визначення поняття «збір даних» виходячи з формулювань, присутніх у ньому. У чому полягає складність трактувань в даному випадку? Справа в тому, що у відповідності з положеннями ФЗ № 152, в які були внесені за допомогою видання ФЗ № 242-ФЗ про зміни персональних даних, оператори зобов'язані забезпечувати локалізацію файлів в процесі як раз таки збору відповідних відомостей. У свою чергу, сутність даної процедури однозначно не визначена в законі, що, звичайно ж, не сприяє ефективній реалізації його положень в ряді контекстів.

В середовищі експертів поширена точка зору, за якою під «збором» правомірно розуміти процес, в рамках якого оператор даних отримує безпосередньо від деякого суб'єкта управнених або третіх осіб. Виходить, що локалізовані у відповідності з нормами ФЗ 242 повинні бути тільки ті персональні дані, що були придбані оператором за фактом проведення ним цілеспрямованої роботи по збору відповідних даних. І якщо, наприклад, оператор отримав їх випадково - як варіант, у вигляді листа на електронну пошту, то локалізувати, як це наказує закон 242-ФЗ, персональні дані необов'язково. Аналогічно неправомірно розглядати як процес збору даних їх отримання однією фірмою від іншого, якщо вони являють собою телефони та інші контактні дані представників компанії.

Розміщення даних за кордоном за законом № 242

Наступний найважливіший нюанс, що характеризує правозастосовчу практику при реалізації положень закону № 242 — можливість розміщення даних операторами за кордоном в необхідних випадках — наприклад, якщо мова йде про резервне копіювання відповідних відомостей на серверах, орендованих у іноземних постачальників. З одного боку, за законом № 242-ФЗ персональні дані повинні розміщуватися на серверах, що розташовані на території Росії. З іншого боку, звичайно, може виникати їх об'єктивна необхідність в розміщенні також і на зарубіжних ресурсах.

Як зазначають юристи, транскордонна передача даних без порушення положень регулятивного законодавства, в принципі, можлива. Виходячи з яких положень законодавства дану позицію не можна вважати правомірною?

Коли транскордонна передача легальна

Справа в тому, що закон про локалізації персональних даних 242-ФЗ не містить положень про внесення коригувань у правові акти, що регулюють транскордонну передачу файлів, що містять індивідуалізовані відомості про громадян РФ та інших суб'єктів, які підпадають під захист закону № 152-ФЗ. Тому дана процедура легальна, як і до того моменту, коли було прийнято розглянуті поправки в закон.

Але ще раз звернемо увагу — транскордонна передача даних може бути здійснена тільки в цілях резервного копіювання відповідних файлів. Їх оригінали, таким чином, обов'язково повинні бути розміщені на серверах в РФ. При цьому оператор даних сам несе відповідальність за несанкціоноване використання тими чи іншими особами файлів на закордонних серверах. Крім того, йому, ймовірно, доведеться привести у відповідність свої інформаційні системи з вимогами, установленими нормами права держави, на території якої розташовуються сервера.

Санкції за порушення закону № 242

Отже, ми вивчили те, які законодавець вніс допомогою видання закону 242-ФЗ зміни до ФЗ № 152. Корисно буде також розглянути те, з якими санкціями можуть зіткнутися оператори даних, які порушили положення відповідного джерела права.

По-перше, на компанію, яка зобов'язана виконувати вимоги закону № 242, може бути накладено адміністративний штраф. Його величина становить 500-1000 рублів для посадових осіб, а також у 10 разів більші суми - для юридичних осіб. Даний штраф встановлено ст. 13.11 КоАП РФ.

По-друге, може бути застосована така санкція, як внесення оператора даних в реєстр порушників. Він являє собою автоматизовану базу, що включає доменні імена та адреси сторінок сайтів, на яких персональні дані обробляються з порушеннями. Зазначимо, що включення оператора до відповідного реєстру здійснюється на підставі рішення суду. Виняток — після його скасування або ж за фактом усунення компанією порушень даного закону.

-третє, може бути обмежено доступ до сайту, на якому реалізується некоректна обробка персональних даних. Дана процедура здійснюється після того, як суб'єкт персональних даних надсилає в Роскомнагляд заяву про необхідність вжиття заходів щодо блокування відповідного ресурсу.

Крім того, даний документ також повинен бути доповнений судовим актом, який вступив в законну силу. Після цього Роскомнагляд направляє відомості про порушення власником сайту закону № 242 хостинг-провайдеру, і той, якщо власник ресурсу не усуне порушення, блокує сайт.

Порядок застосування санкцій допорушникам положень розглянутого правового акта багато в чому залежить від правозастосовчої практики. Операторам персональних даних має сенс регулярно вивчати її, так само як, наприклад, і різні аналітичні дослідження положень закону № 242-ФЗ, коментарі юристів до нього. Виконання норм ФЗ № 152 з урахуванням актуальних змін до нього — найважливіша умова коректного функціонування відповідних інформаційних сервісів.