В закладки

Российский юридический портал

Присоединяйтесь Вконтакте
Главная Госучреждения Закон о личной информации рф. Закон о хранении персональных данных простыми словами. Защита персональных данных в России. На кого повлияет закон о хранении персональных данных на территории РФ

Закон о личной информации рф. Закон о хранении персональных данных простыми словами. Защита персональных данных в России. На кого повлияет закон о хранении персональных данных на территории РФ

С 1 июля 2017 года существенно ужесточена ответственность за нарушения при взаимодействии с персональными данными физических лиц. Это следует из положений Федерального закона от 07.02.2017 № 13-ФЗ). Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Как подготовится к изменениям? Увеличатся ли штрафы? Кто будет выявляться нарушения в обработке персональных данных? Давайте разбираться.

Персональные данные: особая информация

Персональные данные работников – это любая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных»).

У работодателя (организации или ИП) персональные данные работников, чаще всего, обобщаются в их личных карточках и личных делах. При этом почти каждый менеджер отела кадров или HR-специалист знает, что персональные данные допускается получать только лично от работников. Если персональные сведения возможно получить только от третьих лиц, то российское законодательство обязывает уведомить об этом работника и получить от него письменное согласие (пункт 3 части 1 статьи 86 Трудового кодекса РФ).

Работодатели не вправе получать и обрабатывать персональные данные, которые не относятся напрямую к трудовой деятельности человека. То есть, собирать сведения, допустим, о вероисповедании сотрудников – нельзя. Ведь такая информация представляет из себя личную или семейную тайну и никак не может быть связана с выполнением трудовых обязанностей (пункт 4 части 1 статьи 86 Трудового кодекса РФ).

Получив персональные данные, работодатель в силу требований законодательства обязан их не распространять и не раскрывать третьим лицам без согласия работника (ст. 7 Федерального закона от 27 июля 2006 № 152-ФЗ).

Под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных) – пункт 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ. Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д.

Как работодатель обязан защищать персональные данные

В целях защиты и ограничения доступа к персональным данным работодатель должен обеспечить качественную и современную систему их защиты. Как именно это сделать? Этот вопрос решает каждый работодатель самостоятельно. При этом порядок получения, обработки, передачи и хранения персональных данных должен быть закреплен в локальном акте организации, допустим в Положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 № 152-ФЗ).

Также у работодателя должен быть официально назначен работник, который отвечает за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Им может быть, например, работник отдела кадров, которые взаимодействует с личными делами, получает согласия работников на обработку, ведет карточки сотрудников и т.д.

Проверки работодателя по вопросам обработки им персональных данных проводят подразделения Роскомнадзора. Приказом Минкомсвязи России от 14.11.2011 № 312 утвержден Административный регламент исполнения Роскомнадзором функций по осуществлению государственного контроля (надзора).

Какая ответственность применяется к работодателям

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27 июля 2006 № 152-ФЗ). Разберем каждую из этих видов ответственности.

Дисциплинарная ответственность

К дисциплинарной ответственности за нарушения при работе с персональными данными можно привлечь к ответственности работников, которые в силу трудовых отношений обязаны соблюдать правила работы с личными данными, но нарушили их (ст. 192 ТК РФ). То есть, привлечь к ответственности можно, к примеру, менеджера отдела кадров, которому поручена соответствующая работа. За дисциплинарный проступок сбора, обработки и хранения персональных данных работодатель может наказать своего работника, применив к нему одно из следующих взысканий (ч.1 ст. 192 ТК РФ):

  • замечание;
  • выговор;
  • увольнение.

Материальная ответственность

Материальная ответственность работника может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ). Предположим, что ответственный работник отдела кадров допустил грубое нарушение – распространил персональные данные сотрудников в сети Интернет. Работники, узнав об этом, подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию – 50 000 рублей каждому». В такой ситуации работодатель имеет возможность возложить на виновного сотрудника отдела кадров ограниченную материальную ответственность в пределах его среднего месячного заработка (ст. 241 ТК РФ). Взыскание причиненного ущерба можно осуществить по распоряжению руководителя не позднее одного месяца со дня окончательного установления размера причиненного сотрудником ущерба. Если месячный срок истек, то взыскать ущерб придется через суд. Такой порядок предусмотрен в статье 248 Трудового кодекса РФ.

При полной материальной ответственности сотрудник должен будет полностью возместить организации всю сумму ущерба, возникшего в связи с нарушениями в сфере персональных данных (ст. 242 и 243 ТК РФ). Однако, как правило, на работников, ответственных за обработку персональных данных полную материальную ответственность не возлагают.

Дисциплинарную и материальную ответственность работодатель (к примеру, коммерческая организация) применяет исключительно по своему усмотрению. Государственные контролирующие органы (в том числе., Роскомнадзор) в этом процессе участия не принимают.

Административная ответственность

За нарушение порядка сбора, хранения, использования или распространения персональных данных работодателя и должностных лиц контролирующие органы могут привлечь к административной ответственности в виде штрафов, которые могут составлять:

  • для должностных лиц (например, генерального директора, главного бухгалтера, кадровика или индивидуального предпринимателя): от 500 до 1000 рублей;
  • для организации: от 5000 до 10 000 рублей.

Отдельный (самостоятельный) штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 рублей. Такие меры ответственности описаны в статьях 13.11 и 13.14 Кодекса РФ об административных правонарушениях.

Уголовная ответственность

Уголовная ответственность для директора, главного бухгалтера или начальника отдела кадров компании или другого лица, ответственного за работу с персональными данными, может наступить за незаконные действия:

  • сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
  • распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.

За такие нарушения в части обращения с персональными данными допускаются следующие меры уголовной ответственности:

  • штраф до 200 000 рублей (или в размере доходов осужденного за период до 18 месяцев);
  • обязательные работы на срок до 360 часов;
  • исправительные работы на срок до одного года;
  • принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
  • арест на срок до четырех месяцев;
  • лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются жестче:

  • штрафом от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
  • лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
  • арестом на срок от четырех до шести месяцев;
  • лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет (статья 137 Уголовного кодекса РФ).

Что изменится с 1 июля 2017 года

Федеральный закон от 07.02. 2017 № 13-ФЗ расширил перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов. Этот закон вступает в силу с 1 июля 2017 года. Сразу скажем, что административная ответственность в сфере персональных данных существенно ужесточена. При этом важно следующее: вместо единственного вида административной ответственности, описанного в статье 13.11 КоАП РФ, появится семь. Таким образом, за различные нарушения работодателей в сфере персональных данных можно будет применять разные штрафы. Если нарушение по разным составам выявят несколько, то, соответственно, количество штрафов может увеличиваться. Поясним новые составы правонарушений более детально.

Нарушение 1: обработка персональных данных в «иных» целях

С 1 июля 2017 года обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных – самостоятельные виды административного нарушения (ч. 1 ст. 13.11 КоАП РФ). Приведем пример: организация-работодатель собирает персональные данные работников и передает эти данные сторонним компаниям в рекламных целях (передаются ФИО, телефоны, регионы проживания, уровень дохода). Потом рекламные фирмы начинают рассылать работникам на телефон, e-mail и домашние адреса различный спам и рекламные предложения. Если в таких действиях работодателя не будет выявлено уголовного состава преступления, то можно будет применить административную ответственность. С 1 июля 2017 года административное наказание может быть следующим:

  • или предупреждение;
  • или штрафы.

Нарушение 2: обработка персональных данных без согласия

Обработка персональных данных работодателем, по общему правилу, возможна только с письменного согласия работников. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):

  • ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
  • наименование или ФИО и адрес работодателя (оператора), получающего согласие сотрудника;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
  • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись работника.

С 1 июля 2017 года обработка персональных данных без согласия работника в письменной форме, либо если письменное согласие не содержит обозначенных выше сведений – это самостоятельное административное нарушение, предусмотренное в части 2 статьи 13.11 КоАП РФ. За него возможны штрафные санкции:

Нарушение 3: доступ к политике по обработке персональных данных

Оператор персональных данных (например, работодатель или интернет-сайт) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных в Интернете (например, через сайт), обязан опубликовать в Интернете документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу. Это предусмотрено пунктом 2 статьи 18.1 Закона от 27 июля 2006 г. № 152-ФЗ.

С выполнением этой обязанности на практике сталкиваются многие пользователи сети Интернет. Так, например, когда вы оставляете какую-либо заявку на сайтах и указываете свои ФИО и e-mail, то можете обратить внимание на ссылку на подобные документы: «Политика обработки персональных данных», «Положение об обработке персональных данных» и т.п. Однако стоит признать, что некоторые сайты этим пренебрегают и никакой ссылки не приводят. И получается, что человек оставляет заявку на сайте, не знает, в каких целях сайт собирает персональные данные.

Некоторые работодатели также на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить форму «О себе». В таких случаях интернет-сайт также должен обеспечить доступ к «Политике обработке персональных данных».

С 1 июля 2017 года в части 3 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения – невыполнение оператором обязанности по публикации или предоставлению неограниченного доступа к документу с политикой по обработке персональных данных или сведениями по их защите. Ответственность по этой статье может выглядеть как предупреждение или административные штрафы:

Нарушение 4: сокрытие информации

Субъект персональных данных (то есть, физическое лицо, кому принадлежат эти данные) имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей (ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ):

  1. подтверждение факта обработки персональных данных оператором;
  2. правовые основания и цели обработки персональных данных;
  3. цели и применяемые оператором способы обработки персональных данных;
  4. наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  6. сроки обработки персональных данных, в том числе сроки их хранения;
  7. порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
  8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
  10. иные сведения, предусмотренные Федеральным законом или другими федеральными законами.

С 1 июля 2017 года невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, является самостоятельным административным нарушением. Оно влечет предупреждение или наложение административных штрафов:

Нарушение 5: уточнения или блокировка

Статья 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» предусматривает, что в ряде случаев оператор обязан уточнять, блокировать или уничтожать персональные данные физических лиц.

С 1 июля 2017 года введен новый вид административного нарушения – невыполнение оператором требования субъекта персональных данных или его представителя об уточнении, блокировке, уничтожении данных (если данные неполные, устаревшие, неточные, незаконно получены или не являются необходимыми для заявленной цели обработки). Такие действия с 1 июля 2017 года влекут т предупреждение или наложение административных штрафов:

Нарушение 6: сохранность персональных данных

Многие работодатели собирают персональные данные работников только «на бумаге» и не ведут никакой автоматизированной обработки, не имеют специальных программ для обработки и за данных. С 1 июля 2017 года законодатели выделили для таких операторов (в частности, работодателей) новый вид правонарушения за необеспечение оператором при обработке персональных данных без использования средств автоматизации обязанности по сохранности персональных данных при хранении их материальных носителей, если это привело к неправомерному или случайному доступу к персональным данным. А это, в свою очередь, послужило причиной их уничтожения, изменения, блокирования, копирования, предоставления, распространения либо иного неправомерного действия. Если это произошло, то административная ответственность может наступить в виде административного штрафа:

Нарушение 7: обезличивание

В исключительных случаях, предусмотренных законодательством, государственные и муниципальные органы должны обезличивать персональные данные, которые обрабатывают в своих информационных системах, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (подп. «з» п. 1 перечня, утвержденного постановлением Правительства РФ от 21 марта 2012 г. № 211). К таким случаям относится, например, необходимость государственных и муниципальных органов размещать в открытом доступе документы, содержащие персональные данные, допустим, обезличенные копии судебных актов (п. 3 ст. 15 Закона от 22 декабря 2008 г. № 262-ФЗ).

Под обезличиванием персональных данных можно понимать процесс, в результате которого становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному человеку (ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).

С 1 июля 2017 года невыполнение должностными лицами государственного или муниципального органа – оператора персональных данных обязанностей по обезличиванию персональных данных либо за нарушение требований к этому процессу – административное нарушение. Возможна ответственность в виде предупреждения или наложения административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.

Получается, что административные штрафы с 1 июля 2017 года существенно увеличились. При этом установили новые размеры штрафов в зависимости от вида совершенного правонарушения. Так, должностных лиц могут оштрафовать на сумму от 3000 до 20 000 руб., ИП – на сумму от 5000 до 20 000 руб., организации – на сумму от 15 000 до 75 000 руб. Причем привлекать в ответственности могут по разным составам правонарушений. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

До 1 июля 2017 года максимально возможный административный штраф составлял для организаций – 10 000 рублей. И состав нарушения в статье 13.11 КоАП РФ был одним.

Привлекать к ответственности станет проще

До 1 июля 2017 года возбуждать дела по административным делам, связанным с персональными данными, по статье 13.11 КоАП РФ был вправе исключительно прокурор. Это предусмотрено частью 1 ст. 28.4 КоАП РФ. С 1 июля 2017 года участие прокурора будет необязательным. С указанной даты дела по статье 13.11 КоАП будут вправе возбуждать должностные лица Роскомнадзора. Такая поправка внесена комментируемым законом в пункт 58 части 2 статьи 28.3 КоАП РФ. Следовательно, процедура привлечения к ответственности по делам о персональных данных становится проще.

Ежедневно люди выполняют множество операций в сети, которые предусматривают использование персональных данных гражданина. Большинство из них не знают простых правил безопасности при использовании интернета. По этой причине, правительство возложило обязанность по защите этих граждан на учреждения, использующие информацию о сотрудниках.

Основным правовым документом, регулирующим обработку персональных сведений различными организациями, является закон «О персональных данных» от 27.07.2006 года № 152-ФЗ.

Постановления закона распространяются на организации, которые работают с обработкой персональных сведений граждан или те, кто имеет к ним доступ.

Действия, которые не регулируются законом 152-ФЗ:

  • Персональные сведения обрабатываются физическими лицами для личных нужд. Необходимо отметить, что обработка не должна нарушать права обладателя данных;
  • Организация архивов, которая регулируется законодательством об архивации в Российской Федерации;
  • Обработка личных данных, которые содержат информацию, относящуюся к государственной тайне;
  • Личные данные, которые относятся к деятельности судебных органов и которые были представлены в судебном порядке;
  • Персональные сведения, относящиеся к деятельности судов.

А знаете ли вы, что закон с предыдущим номером 151, посвящен вопросу .

Когда принят?

152-ФЗ был принят Государственной Думой 8 июля 2006 года. Одобрил его Совет Федерации 14 июля 2006 года. Последняя редакция закона произошла 22 февраля текущего года. Действовала она до 1 марта 2017.

Порядок использования персональных данных

Согласно закону РФ, руководитель компании должен утвердить порядок использования личных сведений. Необходимые нормы указываются в локальном документе организации о защите данных. Они должны соответствовать требованиям правовых актов РФ и 152-ФЗ.

Оператор личных данных — это правительственный, муниципальный орган или физическое, юридическое лицо, которое организует осуществление обработки личной информации и определяет цели их использования.

В обязанности оператора входит :

1. При сборе личных сведений, оператор предоставляет по просьбе гражданина информацию о том, чьи данные он получил, информацию, которая предусмотрена ст. 14 ч.7 152-ФЗ.

2. Если гражданин обязан предоставить свои сведения по закону РФ, оператор должен объяснить ему, что в случае отказа, можно столкнуться с юридическими последствиями.

3. Если полученная оператором для обработки личная информация не была предоставлена ее владельцем, он обязан предоставить ему следующую информацию:

  • ФИО и адрес оператора;
  • С какой целью обрабатываются данные и на основании каких правовых актов;
  • Права гражданина, чьи данные были получены;
  • При помощи какого источника была получена личная информация.

4. Согласно положениям 152-ФЗ, оператор назначает ответственное лицо в определенной организации, которое организовывает обработку полученных материалов. Уполномоченное лицо получает указания по дальнейшим действиям от оператора.

Обработка личной информации по 152-ФЗ разрешается в следующих случаях:

  • Анализ личной информации вправе осуществляться с согласия гражданина, чьи данные были получены;
  • Если обработка информации требуется для достижения целей, предусмотренные законом РФ или международными договорами России;
  • Анализ информации необходим для судебной инстанции;
  • Обработка сведений требуется для защиты жизни гражданина;
  • Производится в статистических или исследовательских целях, за исключением целей, указанных в статье 15, 152-ФЗ.

Кстати, текст закона о почтовой связи тоже важно изучить. Подробности

Последние изменения ФЗ «О защите персональных данных»

Поскольку законодательные акты зачастую претерпевают корректировки, в 152-ФЗ также были внесены изменения.

По причине вступления в силу Федерального закона от 03.07.2016 № 230-ФЗ претерпели изменения условия анализа личной информации, описанные в Федеральном Законе 152.

Статья 3

В 3 статье закона описываются основные понятия, которые используются в акте: персональные данные, оператор, обработка персональных сведений, а также распространение и предоставление личных сведений. В последней редакции представленная статья не претерпела изменений.

Статья 5

В 5 статье федерального закона описаны принципы анализа информации. Отмечается, что обработка сведений осуществляется только по закону и объединение базы данных с личной информацией граждан запрещена. В последнем редактировании текущая статья не подвергалась изменениям.

Статья 7

В 7 ст. 152-ФЗ сказано, что операторы и другие ответственные лица, получившие доступ к личным данным, обязаны не распространять информацию, не получив согласие владельца. Изменений статья не претерпела.

Статья 9

В 9 ст. 152-ФЗ указана информация о согласии субъекта на обработку его личных данных. Представлены сведения о том, как составить письменное согласие.

При последней редакции, изменений в текущей статье не было.

Статья 19

19 статья 152 Федерального Закона указывает меры для обеспечения безопасности личной информации при ее анализе.

Скачать 152-ФЗ

Чтобы разрешить конфликтную ситуацию или иные вопросы, связанные с защитой персональных данных, изучите последнюю редакцию 152-ФЗ РФ. В представлены все поправки, дополнения и изменения. Скачать измененный закон можно по

Гражданство

Как следует из положений частей 2 и 3 статьи 105 Воздушного кодекса Российской Федерации, договор воздушной перевозки пассажира, договор воздушной перевозки груза или договор воздушной перевозки почты удостоверяется соответственно билетом и багажной квитанцией в случае перевозки пассажиром багажа, грузовой накладной, почтовой накладной; билет, багажная квитанция, иные документы, используемые при оказании услуг по воздушной перевозке пассажиров, могут быть оформлены в электронном виде (электронный перевозочный документ) с размещением информации об условиях договора воздушной перевозки в автоматизированной информационной системе оформления воздушных перевозок. Таким образом, авиаперевозчикам в целях реализации вышеуказанных положений закона, требуется осуществление деятельности по обработке персональных данных пассажира в целях оформления документов, удостоверяющих заключение договора воздушной перевозки.

В соответствии со ст. 85.1 Воздушного кодекса Российской Федерации, в целях обеспечения авиационной безопасности перевозчики обеспечивают передачу персональных данных пассажиров воздушных судов в автоматизированные централизованные базы персональных данных о пассажирах в соответствии с законодательством Российской Федерации о транспортной безопасности и законодательством Российской Федерации в области персональных данных, при международных воздушных перевозках также в уполномоченные органы иностранных государств в соответствии с международными договорами Российской Федерации или законодательством иностранных государств вылета, назначения или транзита в объеме, предусмотренном законодательством Российской Федерации, если иное не установлено международными договорами Российской Федерации. При этом следует иметь ввиду, что Российская Федерация является стороной ряда международных конвенций в области авиаперевозок, в частности, Чикагской конвенции («Конвенция о международной гражданской авиации» заключена в Чикаго 7 декабря 1944 года, вступила в силу для Российской Федерации 16 августа 2005 года - «Собрание законодательства РФ», 30.10.2006, №44) , Варшавской конвенции («Конвенция об унификации некоторых правил, касающихся международных воздушных перевозок» заключена в Варшаве 12 октября 1929 года, вступила в силу для СССР 13 февраля 1933 года, Сборник действующих договоров, соглашений и конвенций, заключенных СССР с иностранными государствами, Вып. VIII, - М., 1935, с. 326 - 339. ) и Гваладахарской конвенции («Конвенция, дополнительная к Варшавской конвенции, для унификации некоторых правил, касающихся международных воздушных перевозок, осуществляемых лицом, не являющимся перевозчиком по договору» заключена в Гвадалахаре 18 сентября 1961 года, вступила в силу для СССР 21 декабря 1983 года, «Ведомости ВС СССР», 15.02.1984, №7 ), которые также составляют неотъемлемую часть правового регулирования деятельности авиаперевозчиков и связанных с нею информационных процессов.

Исходя из вышеизложенного, требования ч. 5 ст. 18 ФЗ «О персональных данных» не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, так как они подпадают под исключение, предусмотренное п. 2 ч. 1 ст. 6 ФЗ «О персональных данных».

Требования ч. 5 ст. 18 ФЗ «О персональных данных» также не распространяются на деятельность лиц, действующих от имени авиаперевозчика (уполномоченный агент), деятельность которых предусмотрена пунктом 6 Общих правил воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Минтранса России №82 от 28 июня 2007 года «Об утверждении Федеральных авиационных правил "Общие правила воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей», а также иных лиц, в части обработки персональных данных граждан-пассажиров исключительно для целей бронирования, оформления и выдачи последним авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, в том числе в электронном виде при внутрироссийских и международных перелетах, в случае, если вышеуказанная деятельность данных лиц предусмотрена законодательством Российской Федерации или соответствующим международным договором, в том числе для целей обеспечения авиационной безопасности.

В случае, если обработка персональных данных подпадает под исключения, предусмотренные пунктами 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных», положения части 5 статьи 18 152-ФЗ не применяются. Соответствующая квалификация осуществляемых действий по обработке персональных данных и обеспечение ее соответствия требованиям законодательства осуществляются оператором персональных данных при обеспечении (организации обеспечения) такой обработки. Корректность упомянутой квалификации и обеспечения обработки в конкретной ситуации проверяется уполномоченным федеральным органом при проведении контрольных мероприятий.

Товары и услуги

Из совокупности положений части 5 статьи 18 Федерального закона «О персональных данных» («при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона) и пункта 2 части 1 статьи 6 Федерального закона «О персональных данных» («обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей») следует, что обработка персональных данных в целях и в соответствии с требованиями, установленными ратифицированной Российской Федерацией Конвенции Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера не противоречит законодательству Российской Федерации, регулирующему отношения в области защиты персональных данных. Кроме того, часть 5 статьи 18 152-ФЗ не ограничивают трансграничную передачу персональных данных граждан Российской Федерации.

Закон не предусматривает понятия «первичный сбор», а устанавливает требования к обработке персональных данных при любом сборе информации, при этом выделяя такие операции с ПД, как уточнение (обновление, изменение) информации, содержащей персональные данные. В целях закона в процесс сбора информации включены также процедуры хранения и накопления информации, что само по себе не позволяет использовать такое понятие, как «первичный сбор». Таким образом, закон налагает на оператора обязанность при осуществлении обработки собранных персональных данных путем систематизации, накопления, хранения, уточнения, извлечения, использовать базы данных, находящиеся на территории Российской Федерации. Таким образом, если для составления отчетности, либо анализа информации, содержащей персональные данные, оператору требуется осуществить упомянутые формы обработки персональных данных, то такие действия должны осуществляться с использованием баз данных, находящихся на территории Российской Федерации.

Трактовка в части первичного сбора является неверной по следующим основаниям. Закон не предусматривает понятия «первичный сбор», а устанавливает требования к обработке персональных данных при любом сборе информации, при этом выделяя такие операции с ПД, как уточнение (обновление, изменение) информации, содержащей персональные данные. В целях закона в процесс сбора информации включены также процедуры хранения и накопления информации, что само по себе не позволяет использовать такое понятие, как «первичный сбор». Таким образом, закон налагает на оператора обязанность при осуществлении обработки собранных персональных данных путем систематизации, накопления, хранения, уточнения, извлечения, использовать базы данных, находящиеся на территории Российской Федерации.

В соответствии с положениями пункта 7 части 4 статьи 16 Федерального закона №149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации», обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

Принимая во внимание также положения части 5 статьи 18 Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных» (вступающей в силу с 1 сентября 2015 года), устанавливающих, что при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, считаем, что обработка ПД граждан Российской Федерации на территории другого государства может осуществляться исключительно в случаях, предусмотренных пунктами 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных», для которых имеется изъятие в части 5 статьи 18 152-ФЗ. Следует также учитывать, что законодательно не имеется разделений на «основную» базу персональных данных и ее «копию». В обоих случаях речь идет о базе данных, с помощью которой обрабатываются персональные данные. Вместе с тем, Федеральный закон не содержит указаний на общий запрет обработки персональных данных граждан Российской Федерации с использованием баз данных, не находящихся на территории Российской Федерации.

В этой связи считаем, что обработка персональных данных граждан Российской Федерации посредством сбора, записи, систематизации, накопления, хранения, уточнения, извлечения может осуществляться с использованием баз данных, не находящихся на территории Российской Федерации в следующих случаях:

  • если такая деятельность подпадает под случаи, предусмотренные пунктами 2-4, 8 части 1 статьи 6 152-ФЗ;
  • если такая деятельность не подпадает под случаи, предусмотренные пунктами 2-4, 8 части 1 статьи 6 152-ФЗ, и на территории Российской Федерации находятся используемые для такой обработки персональных данных базы данных, в которых содержится больший объем персональных данных или равный находящемуся за пределами территории Российской Федерации (в этом случае недопустимо нахождение за пределами территории Российской Федерации персональных данных, которые одновременно не находятся в пределах территории Российской Федерации).

Трансграничная передача персональных данных не запрещена при условии соблюдения требований, установленных в статье 12 Федерального закона №152-ФЗ. При этом трансграничная передача данных должна иметь заранее определенную цель обработки, при достижении которой субъекту персональных данных должно быть гарантировано уничтожение переданных данных на территории иностранного государства. При соблюдении указанных требований ответственность, предусмотренная российским законодательством, применима к оператору в случае нарушения порядка и условий, установленных для договора-поручения.

В соответствии с положениями пункта 2 статьи 3 Федерального закона «О персональных данных», оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, положения Федерального закона №242-ФЗ распространяются на всех вышеуказанных субъектов. Принятый федеральный закон не привязывает распространение части 5 статьи 18 152-ФЗ только к операторам, где обработка персональных данных является их основным видом деятельности, либо к операторам, обрабатывающим персональные данные только с использованием информационно-телекоммуникационных сетей.

В соответствии с положениями пункта 2 статьи 3 Федерального закона «О персональных данных», оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, положения Федерального закона №242-ФЗ распространяются на всех вышеуказанных субъектов. Принятый федеральный закон не привязывает распространение части 5 статьи 18 152-ФЗ только к операторам, где обработка персональных данных является их основным видом деятельности, либо к операторам, обрабатывающим персональные данные только с использованием информационно-телекоммуникационных сетей. В существующих планах законопроектной деятельности не предусмотрена разработка проекта федерального закона, корректирующего это положение.

Вышеуказанные требования закона распространяются, в том числе, и на обработку оператором полученных в результате сбора персональных данных, а именно запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение.

Понимание правильное. 152-ФЗ термин «использование персональных данных» не раскрывает. В целях толкования под «использованием персональных данных» можно понимать действия с персональными данными, не относящиеся к иным формам обработки персональных данных, в том числе принятие решений на основе персональных данных, для осуществления которых был осуществлен сбор персональных данных (цель сбора персональных данных должна соответствовать цели использования персональных данных).

Понятие «оператор» содержится в статье 3 закона №152-ФЗ, под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Принимая во внимание, что статья 3 Закона №152-ФЗ не содержит исключений в части осуществления лицом отдельных операций по обработке персональных данных, а равно иных определений, отличных от оператора, лицо, определяющее цель обработки персональных данных, либо осуществляющее отдельные действия по обработке персональных данных в контексте положений закона №152-ФЗ является оператором, осуществляющим обработку персональных данных.

— Действительно ли не требуется повторное или дополнительное уведомление об обработке персональных данных после 1 сентября 2015 года. Нужно ли дополнительно сообщать, где находятся базы данных?

Понятия «повторного» или «дополнительного» уведомления не существует. Статьей 22 Федерального закона «О персональных данных» установлена обязанность оператора до начала обработки персональных данных направить уведомление. В части 2 указанной статьи приведен ряд исключений, когда такого уведомления не требуется. В Федеральный закон №242-ФЗ вносятся изменения в часть 3, которая определяет требования к содержанию уведомления. Если организация ранее направила в Роскомнадзор уведомление об обработке персональных данных, то после вступления в силу закона операторы, руководствуясь частью 7 данной статьи, должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.

— Подпадает ли первоначальный сбор персональных данных на бумажных носителях с последующим их внесением в электронную базу данных под требования части 5 статьи 18 Федерального закона №152-ФЗ?

Согласно требованиям части 5 статьи 18 Федерального закона №152-ФЗ при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона. Основополагающим принципом законодательства в области персональных данных является принцип, согласно которому обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. В связи с этим внесение персональных данных в информационную систему персональных данных, используемую в целях, аналогичных сбору данных на бумажных носителях, следует рассматривать как единый процесс, реализация которого должна осуществляться в строгом соответствии с требованиями части 5 статьи 18 Федерального закона №152-ФЗ. Разделение указанного единого процесса на отдельные действия законодательством Российской Федерации в области персональных данных не предусмотрено. Таким образом, отдельные виды обработки персональных данных, предусмотренные частью 5 статьи 18 Федерального закона №152-ФЗ, в том числе сбор персональных данных на бумажных носителях с последующим их внесением в электронную базу данных, должны осуществляться как единый процесс в правовом поле законодательной нормы, обязывающей хранить персональные данные на территории Российской Федерации.

ТАСС-ДОСЬЕ. Федеральный закон (ФЗ) РФ номер 242 "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях" был подписан президентом РФ Владимиром Путиным 21 июля 2014 года. Согласно данному закону, с 1 сентября 2015 года хранение и обработка персональных данных россиян в интернете допускаются только с использованием серверов, расположенных на территории России.

Соответствующий законопроект был внесен в Государственную думу 24 июня 2014 года межфракционной группой депутатов: Вадимом Деньгиным, Андреем Луговым (оба - ЛДПР) и Александром Ющенко (КПРФ). Был принят в третьем чтении 4 июля 2014 года. 325-ю голосами "за" и 65-ю голосами "против" - не поддержали закон 60 депутатов КПРФ, из всей фракции "за" голосовал только Ющенко. Законопроект был одобрен Советом Федерации 9 июля 2014 года.

Закон вносит поправки в ФЗ "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 года, ФЗ "О персональных данных" от 27 июля 2006 года. и ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" от 26 декабря 2008 года.

Согласно поправкам, операторы интернет-сайтов "обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ". Доменные имена и сетевые адреса, которые не будут соблюдать положений закона, будут внесены в специальный реестр нарушителей прав субъектов персональных данных. Вести его должен Роскомнадзор, а основанием для включения в список будет имеющий законную силу судебный акт. Кроме того, нарушение закона повлечет штраф в размере до 10 тыс. рублей или ограничение доступа к данному ресурсу. После устранения нарушений доступ предполагается восстанавливать. Исключение из закона сделано для личной информации, которая передается в рамках международных соглашений: так, при сборе личных данных для выдачи виз российским гражданам иностранные государства могут хранить их на своей территории. Также в августе 2015 г. Минкомсвязи разъяснило, что закон не коснется систем бронирования авиабилетов.

При обсуждении законопроекта в Госдуме член комитета нижней палаты парламента по информационной политике Роман Чуйченко ("Единая Россия") назвал документ вынужденной мерой, которая призвана усилить информационную безопасность страны и граждан. По его словам, "вызвана она усложнением международной ситуации".

В первоначальном тексте закона было указано, что он вступает в действие 1 сентября 2016 г. 31 декабря 2014 г. президент РФ Владимир Путин подписал закон, согласно которому новые положения вступят в силу на год раньше, с 1 сентября 2015 г.

Закон вызвал негативную реакцию крупных интернет-компаний и торговых ассоциаций: в частности, они сомневались в целесообразности и возможности переноса серверов с личными данными в сжатые сроки. Летом 2015 г. о начале переноса личных данных в Россию сообщили компании Aliexpress, Booking.com, Ebay, PayPal, Uber и др. При этом 16 июля 2015 г. глава Роскомнадзора Александр Жаров пообещал отсрочить применение наказаний за нарушение законодательства: по его словам, первые проверки могли пройти через определенный срок после вступления в силу документа.

Персональные данные - это любая информация о физическом лице, в том числе его фамилия, имя, отчество, дата и место рождения, адрес проживания, семейное и социальное положение, данные о доходах, образовании, состоянии здоровья и профессии. В 2014 году в мире произошло 1158 крупных случаев потери, кражи или публикации личной информации. При этом 90% утечек личных данных можно было избежать, если бы заранее были приняты меры организационного и технического плана по их безопасности.

Продолжение

Персональные данные - это сведения о том или ином физическом лице. Эту информацию пользователи вводят на различных интернет-серверах ежедневно. В 2015 году подписан закон о хранении персональных данных. Согласно этому акту информация о гражданах РФ может храниться лишь на территории России. Что это значит? И чем грозит несоблюдение

Предыстория

Еще в далеком 2006 году был принят ФЗ о персональных данных, призванный регулировать специфические отношения физических лиц с так называемыми операторами. Целью его было обеспечить защиту пользователей интернета от нежелаемой обработки и передачи личных данных третьему лицу.

Оператор - это понятие довольно широкое. Им может быть и государственный орган, и юридическое лицо, и физическое. Оператор - это тот, кто в каких-либо целях вносит личные данные о человеке в свою базу. Он, разумеется, не имеет права разглашать данные и использовать их в целях, которые неизвестны тому, кто их предоставил. Такие действия неэтичны, а последние десять лет они являются также и незаконными.

С 1 сентября 2015 года, после того как был подписан закон о хранении персональных данных на территории России, оператор больше не вправе пользоваться в своей работе иностранными серверами. Для того чтобы понять, кого в первую очередь касаются подобные изменения и какое они влияние оказывают, следует разобраться с основными понятиями.

Персональные данные

Существует ошибочное мнение, что это понятие означает информацию, которая содержится в паспорте и других важных документах. В действительности персональными данными являются различные сведения о человеке. Это не обязательно может быть номер или Такими данными являются имя, фамилия, дата рождения, адрес электронной почты. Таким образом, если владелец бизнеса создает корпоративный сайт, содержащий форму для регистрации посетителей, он становится оператором персональных данных. Пользоваться он полученной информацией может лишь для осуществления той деятельности, о которой известно тем, кто ее предоставил. Разглашение персональных данных предполагает административную или уголовную ответственность, в зависимости от тяжести преступления.

Конфиденциальность информации

Распространять данные о человеке оператор может лишь с его согласия. Подобные действия неправомерны. Неразглашение персональных данных - важное условие обработки информации. Основные ее принципы содержатся во второй главе закона. Распространять оператор имеет право только те сведения, которые содержатся в общедоступных источниках, например - адресных и телефонных книгах.

Персональные данные можно разделить на общие, биометрические и специальные. Общие содержатся в паспорте, дипломе, военном билете, трудовой книжке. К специальным относится информация о расовой, религиозной, политической принадлежности.

Биометрические данные - это биологические и физиологические особенности человека. К ним же и относятся фото и видеозаписи. Таким образом, передачу подобных файлов третьему лицу можно идентифицировать как разглашение личных данных. Исключением являются групповые фотографии.

Обработка

В встречаются словосочетания, смысл которых может быть не всегда ясен. Одно из них - обработка персональных данных. Под этим термином понимают действия, которые оператор производит над полученной информацией, а именно персональными данными. Он их накапливает, хранит, уточняет, использует, обезличивает, блокирует и уничтожает. На все это оператор имеет право. Преступает закон он лишь тогда, когда происходит разглашение персональных данных, то есть передача личной информации третьему лицу.

С 1 сентября 2015 г. введены существенные ограничения в этой сфере деятельности. Закон о хранении персональных данных не позволяет, например, владельцу интернет-сайта хранить полученные данные на иностранных серверах. Даже если он пользуется ими исключительно в благих целях.

Обезличивание

Это действие производится для того, чтобы скрыть принадлежность персональных данных того или иного человека (в законодательном акте он именуется субъектом). Это своего рода защита персональных данных. Способов обезличивания существует несколько:

  • замена части информации;
  • замена цифровых данных:
  • сокращение сведений;
  • распределение сведений на разных серверах.

Субъект

Человек вправе получить доступ к своим персональным данным. Права субъекта персональных данных предполагают возможность физического лица, чьи данные хранятся в базе, требовать от оператора, чтобы он их уточнил, изменил, при необходимости уничтожил. Каждый человек вправе требовать предоставление сведений в том случае, если они не содержат данных других субъектов.

Другие понятия

Все данные о человеке хранятся в базах. С помощью определенных средств они обрабатываются и используются оператором. Эта технология называется информационной системой персональных данных. Ею сегодня пользуются все, начиная от мелких коммерсантов, заканчивая государственными исполнительными органами. На них же и возложена защита персональных данных. Контроль соблюдения требований, предусмотренных законодательством, осуществляют Роскомнадзор, ФСБ и ФСТЭК.

Трансграничная передача данных - это передача информации физическому или юридическому лицу иностранного государства.

ФЗ о персональных данных обеспечивает неприкосновенность физического лица, его семейной и личной жизни. Новый закон преследует те же цели, однако создает определенные неудобства для многих операторов.

Хранение данных на территории России

В своей деятельности каждый оператор должен теперь использовать только те базы данных, которые хранятся на территории России. Для чего созданы такие ограничения? Закон, о котором говорилось выше, затрагивает прежде всего безопасность персональных данных. Но ничего не говорится о сфере его действия.

Все области деятельности на территории России должны осуществляться с соблюдением Законодательства РФ. Однако во Всемирной сети любые действия имеют трансграничный и виртуальный характер, что осложняет контроль над работой операторов. В то же время то, что интернет-сайт доступен жителям России, вовсе не говорит, что на него должно распространяться российское законодательство. Хранение баз данных на российских серверах облегчает контроль над деятельностью операторов.

Закон о хранении персональных данных предусматривает обработку персональных данных лишь на российских интернет-ресурсах. Но здесь существуют и исключения. Они касаются иностранных серверов, направленных на территорию РФ. На такую направленность может указывать русскоязычность сайта или доменное имя. Однако, поскольку русский язык довольно распространен и за пределами РФ, дополнительно рассматриваются следующие элементы: возможность расчета в российских рублях, заключение договоров на территории РФ. Таким образом, иностранные предприниматели включают в свою бизнес-стратегию российских потребителей. А действие закона о персональных данных при этом направлено и на их деятельность.

Иностранные серверы

Итак, хранение персональных данных закон теперь допускает лишь на российских серверах. Базы данных, находящиеся за пределами РФ, обрабатываться не могут. Госдума приняла закон об этом запрете. Однако документ этот порождает многие проблемы. И прежде всего трудности касаются предпринимательской деятельности.

Специалисты в области электронных коммуникаций полагают, что это может привести к уходу глобальных интернет-ресурсов, а он, в свою очередь, к существенным экономическим потерям. В первую очередь речь идет о сайтах по бронированию авиабилетов.

Неудобства для предпринимателей

Специалисты полагают, что новый закон негативно отразится на деятельности многих российских компаний. Каждый его нарушитель с 1 сентября 2016 года попадает в черный список Роскомнадзора. Этот перечень сегодня состоит из пиратских сайтов и сайтов, пропагандирующих незаконную деятельность либо действия, не соответствующие морально-этическим нормам (насилие, суицид, детское порно, экстремизм). Запрет на эти ресурсы вполне понятен. Но многие предприятия, которые осуществляют абсолютно законную деятельность, возможно, не смогут перенести свои базы на российские ресурсы к указанной дате.

Еще одна цель этого закона - обеспечение безопасности персональных данных от действий американских спецслужб. Этим государственным структурам иностранные ресурсы обязаны предоставлять всю имеющуюся информацию. Однако, обеспечив безопасность персональных данных от проникновения сотрудников зарубежных спецслужб, закон создает немало неудобств и проблем для мелких, средних и крупных российских предприятий.

Сервисы для хранения данных

Большинство компаний сегодня осуществляют продажи, прибегая к интернет-маркетингу. Один из основных инструментов - email-рассылка. Владельцы корпоративных сайтов пользуются онлайн-сервисами для информирования своих клиентов о различных мероприятиях, которые проводятся в их компаниях. Эта схема настолько распространена, что без нее сегодня сложно представить развитие какого бы то ни было бизнеса. Существует все же заблуждение, что владельцы сайтов не являются операторами, поскольку они не хранят персональные данные. Это за них делают специальные онлайн-сервисы. Но ведь обрабатывает и формирует данные о пользователях именно владелец сайта. А потому он является оператором и в ближайшее время обязан перенести всю имеющуюся у него информацию о пользователях интернета на российские ресурсы. Сделать это непросто, и подобные действия, прежде всего, сопряжены с немалыми финансовыми затратами.

Обратная сила закона

Устоявшиеся правовые принципы предполагают, что уже имеющиеся у операторов базы персональных данных, созданные до даты подписания закона, не являются нарушением. Однако использование персональных данных предполагает их обновление и изменение. Закон же гласит, что обрабатывать эту информацию оператор теперь вправе лишь на российском сервере.

Сбор информации

Оператор обязан осуществить локализацию всех данных на российском сервере. И эти действия, согласно формулировке в законе, тесно связаны со сбором персональных данных. Этот термин используется для обозначения целенаправленного получения информации о физических лицах. Ее, как правило, предоставляет сам пользователь интернета. Но нередко случается, что данные попадают случайно. Например, в результате получения различных писем. Сбором информации также не являются данные об одном юридическом лице, полученные другой организацией. Такая информация является контактной, и ее обработка необходима для осуществления совместной деятельности.

Передача данных за пределы РФ

Закон не затрагивает трансграничную передачу данных. Положения, которые были сформулированы еще в 2006 году, не утратили своей силы. А потому операторы, как и прежде, вправе передавать данные, внесенные в базу, созданную на территории РФ, в другие, находящиеся за рубежом. Однако такие действия требуют соблюдения определенных норм. Прежде всего, оператор должен убедиться в том, что страна, на территорию которой будет осуществляться передача данных, обладает адекватной защитой личной информации пользователей интернета.

Влияние нового закона на банковскую сферу

Многие покупки сегодня осуществляются через интернет. Покупатель часто оплачивает товары банковской картой. Сотовые компании и платежные системы находятся, как правило, на иностранных серверах. Российская платежная система пока отсутствует. И без нее соблюдать закон будет непросто.

Однако некоторые крупные компании все же хранят информацию на территории РФ. А обмениваясь данными с иностранными партнерами, они прибегают к обезличиванию.

Дата-центр

В настоящий момент в Московской области строится новый дата-центр, который станет самым крупным в России. В этот проект инвестируют средства крупные компании, поскольку они не могут недооценивать важность хранения персональных данных. Однако эти работы сопряжены с некоторыми трудностями. Построить быстро дата-центр невозможно.

Специалисты полагают, что новый закон необходимо дорабатывать. Иначе он не сможет действовать в полную силу. Главным его недостатком является очередной запрет, от которого особенно может пострадать малый и средний бизнес. А эта область сегодня и без того находится в довольно плачевном состоянии. Так или иначе, у нового закона немало противников, но есть и те, кому он не страшен.



Рекомендуем другие статьи

Салат «Французский» — проверенные рецепты

Салат «Французский» — проверенные рецепты

Цыганское гадание что он имеет ко мне

Цыганское гадание что он имеет ко мне