Обзор новых правил локализации и трансграничной передаче персональных данных

С 1 сентября 2015 г. в России вступил в силу Федеральный закон от 21 июля 2014 г.Федеральный закон от 21.07.2014 № 242-ФЗ (ред. от 31.12.2014) "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно телекоммуникационных сетях" № 242-ФЗ. Теперь при сборе персональных данных оператор обязан обеспечить запись, систематизацию, хранение и уточнение данных на территории России за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

Основные понятия:

• Одним из ключевых вопросов является толкование термина “база данных” в контексте данных норм. Одно из пониманий данного термина содержится в ГК РФ. Определение “базы данных” можно встретить, например, в ГОСТ 20886-85, в котором база понимается как совокупность данных, организованных определенным образом. Согласно Модельному закону о персональных данных, принятому в г. Санкт-Петербурге 16.10.1999 Постановлением 14-19 под базой данных понимается “упорядоченный массив персональных данных”. Таким образом, источники исходят в основном из расширенного толкования термина “база данных”.

• Понятие персональных данных определено в Конвенции № 108 “О защите физических лиц при автоматизированной обработке персональных данных" и законе “О персональных данных”. Определение персональных данных содержится в статье 3 данного закона. Под “персональными данными” в законе понимается любая информация, относящаяся к прямо или косвенным образом определяемому физическому лицу. Тем не менее, такая информация должна позволять идентифицировать физическое лицо. В случае если информация, используемая отдельно не позволяет идентифицировать лицо,  данные не могут быть признаны персональными

• Под оператором применительно к данному вопросу понимается субъект, который обладает информацией, технологиями по ее обработке и техническими средствами.

• Под обработкой же персональных данных понимаются любые действия с такими данными, независимо от того, используются для этого автоматизированные средства или нет, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение

Сфера действия закона:

По кругу лиц:

• Порядок определения гражданства субъектов персональных данных не урегулирован в нормативном порядке, что предоставляет возможность оператору самостоятельно решать данный вопрос. Сбор персональных данных должен осуществляться на территории России, что позволяет распространить действие нормы на иностранцев и лиц без гражданства.

• Нормы закона применяются также к российским компаниям. Иностранным компаниям, которые имеют в РФ официальное представительство или филиал и к иностранным компаниям, не имеющим официального присутствия в России. В то же время закон экстерриториального действия не имеет и не распространяется на нерезидентов, собирающих персональные данные россиян за границей.

Во времени:

• Порядок применения закона во времени также требует детального рассмотрения.

По общему правилу обратная сила закона применяться не должна, если иной порядок не был предусмотрен законом.

• Как следует из разъяснений Минком связи на базы данных, созданные за рубежом до 1 сентября 2015 года требование о локализации распространяться не будет ( “архивные базы”). Тем не менее, изменение таких баз, их актуализация должна производиться с помощью баз, которые находятся на территории России

Персональные данные

Исполнение требований закона:

• Поправки были внесены в ст. 18 ФЗ “О персональных данных”, в п. 5 которой указывается, что при сборе персональных данных оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации.

• Исходя из толкования нормы, можно сделать вывод, что предусматривается обязательное требование осуществления на территории России поименованных в законе действий. То есть данные виды операций должны производиться с исполнением требования о “локализации” на территории России.

• “Локализация” может производиться в любой форме как электронной, так и бумажной.

В п.5 ст. 18 предусматривается ряд исключений:

1. Обработка, необходимая для осуществления возложенных законодательством на оператора функций. При этом данный факт будет устанавливаться, и проверяться в каждом конкретном случае Роско надзором
2. Обработка необходима для осуществления правосудия или исполнения акта
3. Обработка необходима для исполнения полномочий федеральных органов исполнительной власти
4. Обработка необходима для осуществления профессиональной деятельности журналиста или законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных

Санкции:

• В настоящее время каких-либо специальных норм, закрепляющих ответственность за нарушение правил локализации персональных данных, законодательством не предусмотрено.

• Тем не менее в отношении субъектов, нарушающих правила о локализации могут быть предусмотрены следующие санкции:

1. a) Ст.13.11 КОАП РФ устанавливает штраф за нарушение порядка сбора, хранения, использования или распространения персональных данных. Штраф за такие нарушения составляет не более 10 тысяч рублей
2. b) В качестве другой санкции может быть применена возможность внесения доменных имен и сетевых адресов в реестр нарушителей прав субъектов персональных данных

Трансграничная передача данных:

• Согласно статье 3 Закона о персональных данных трансграничная передача персональных данных - это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу

• Помимо возможности запрета трансграничной передачи персональных данных в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, никаких ограничений на передачу персональных данных странам, обеспечивающим адекватную защиту прав субъектов в законе не предусмотрено.

• Под странами, обеспечивающими адекватную защиту, понимаются страны, являющиеся сторонами Конвенции, а также иностранные государства, перечень которых установил Роскомнадзор в Приказе № 274 «Об утверждении Перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных»

• Уполномоченным органом формируется перечень иностранных государств, которые не являются сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных.

• Закон также обязывает оператора убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

При этом в соответствие с п.4 ст.12 Федерального закона от 27.07.2006 № 152-ФЗ ”О персональных данных” трансграничная передача может осуществляться в случаях:

• Наличия письменного согласия субъекта персональных данных
• Предусмотренных международными договорами Российской Федерации
• Предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации
• Исполнения договора, стороной которого является субъект персональных данных
• Защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных

При этом при осуществлении трансграничной передачи необходимо осуществить следующие действия:

1. Уведомить Роскомнадзор об осуществляемой трансграничной передаче
2. Проинформировать субъекта персональных данных до начала обработки его персональных данных об осуществляемой трансграничной передаче
3. Отразить условия трансграничной передачи персональных данных во внутренних нормативных документах оператора
4. Обеспечить защиту канала передачи данных

• После принятия Федерального закона от 21.07.2014 № 242-ФЗ было введено описанное ранее требование о “локализации” персональных данных.
• Новый закон запретил трансграничную передачу персональных данных в базы данных, размещенные за пределами территории России. Тем не менее, в соответствие с разъяснениями Минсвязи, изменения в ФЗ «О персональных данных», внесенные ФЗ-242, не затронули положений закона о трансграничной передаче данных.
• Поэтому трансграничная передача персональных данных за пределы России разрешена, как и ранее, с соблюдением условий, указанных в ст. 12 ФЗ «О персональных данных».

Нормативный акт:

Федеральный закон от 21.07.2014 № 242-ФЗ (ред. от 31.12.2014) "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно телекоммуникационных сетях".

Практическая реализация новых правил вызвала множество вопросов и поэтому требует более детального рассмотрения. Многие ответы, касающиеся применения законодательства о “локализации”, были выданы Минком связи России и Роскомнадзором.

Рекомендации Роском надзора и Минком связи по применению новых положений законодательства о персональных данных

1)  Определение гражданства субъекта персональных данных с целью выполнения требований локализации

• Вопрос о порядке определения гражданства субъектов персональных данных не урегулирован в нормативном порядке. Законодатель тем самым предоставил возможность оператору персональных данных самостоятельно решать данный вопрос исходя из специфики его деятельности. Если данный вопрос не решен оператором, то возможно применение нормы ко всем персональным данным, сбор которых был осуществлен на территории Российской Федерации

2) Применение новых правил к компаниям-авиаперевозчикам

• Договор воздушной перевозки удостоверяется билетом и багажной квитанцией. Авиаперевозчикам в целях реализации вышеуказанных положений закона, требуется осуществление деятельности по обработке персональных данных пассажира в целях оформления документов, удостоверяющих заключение договора воздушной перевозки. Требования ч. 5 ст. 18 ФЗ «О персональных данных» не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов, багажных квитанций и иных перевозочных документов, так как они подпадают под исключение, предусмотренное п. 2 ч. 1 ст. 6 ФЗ «О персональных данных».

3) Можно ли осуществлять трансграничную передачу персональных данных работников?

• Осуществление такого типа передачи возможно в соответствие с законодательством России.

4) Необходимо ли осуществлять “локализацию” персональных данных работников, если такая передача осуществляется с целью соблюдения норм трудового законодательства?

• В случае, если обработка персональных данных подпадает под исключения, предусмотренные пунктами 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных», положения части 5 статьи 18 152-ФЗ не применяются. Корректность такой квалификации определяется уполномоченными федеральными органами.

5) Могут ли граждане РФ размещать персональные данные в удобном для них формате и пользоваться услугами, предлагаемыми на мировом рынке товаров, работ и услуг?

• Изменения, вносимые в законодательство Российской Федерации Федеральным законом №242-ФЗ, не препятствуют гражданам Российской Федерации получать за пределами Российской Федерации услуги, в случае, если в их рамках обрабатываются персональные данные граждан Российской Федерации за пределами территории Российской Федерации, в соответствии с международным договором или в соответствии с федеральным законом, либо в рамках иных исключений, на которые не распространяется норма части 5 статьи 18 152-ФЗ.

6) Имеет ли закон экстерриториальное действие?

• Внутреннее законодательство государства действует исключительно на территории такого государства и не распространяется на нерезидентов государства, находящихся на территории иного государства.

7) Распространяются ли поправки на правоотношения, возникшие до его вступления в силу?

• Закон распространяется на правоотношения, возникшие после его вступления в силу, если иное не определено в самом законе. В Федеральном законе №242-ФЗ не имеется указаний на иной порядок распространения его норм во времени. К “архивным” базам данных не применяется. В случае если в отношении данных стали осуществляться действия, предусмотренные частью 5 статьи 18, то “локализация” должна производиться.

8) Возможно ли осуществление обработки персональных данных, если субъект дает согласия на осуществление таких действий?

• Само по себе это не является основанием для осуществления указанных действий.

9) Распространяется ли требование закона о “локализации” только на первичный сбор информации?

• Трактовка в части первичного сбора является неверной по следующим основаниям. Закон не предусматривает понятия «первичный сбор», а устанавливает требования к обработке персональных данных при любом сборе информации.

10) На протяжении какого периода действует согласие на обработку персональных данных?

• В законодательстве в сфере персональных данных отсутствует понятие «прекратившееся согласие». Согласно части 7 статьи 5 Федерального закона №152- ФЗ обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

11) Возможно ли передавать персональные данные работников иностранным компаниям, принадлежащим к той же группе компаний, что и российский работодатель, на основании безвозмездного договора о передаче данных?

• Трансграничная передача персональных данных не запрещена при условии соблюдения требований, установленных в статье 12 Федерального закона №152-ФЗ. При этом трансграничная передача данных должна иметь заранее определенную цель обработки, при достижении которой субъекту персональных данных должно быть гарантировано уничтожение переданных данных на территории иностранного государства

12) В течение какого периода данные могут находиться на иностранных серверах третьих лиц после передачи?

• Федеральным законом №152-ФЗ (часть 4 статья 21) предусмотрено, что в случае достижения цели обработки персональных данных (ПД), оператор обязан прекратить обработку ПД или обеспечить ее прекращение и уничтожить ПД в срок, не превышающий 30 дней с даты достижения цели обработки.

• В случае отсутствия возможности уничтожения ПД в течение указанного срока оператор осуществляет блокирование ПД и обеспечивает их уничтожение в срок не более чем 6 месяцев.

13) Необходимо ли получить предварительное одобрение для того, чтобы осуществить трансграничную передачу персональных данных?

• Федеральный закон №152-ФЗ не устанавливает подобных требований согласования Роскомнадзором документов или действий оператора персональных данных при трансграничной передаче данных на территорию любого иностранного государства.

14) Действительно ли не требуется повторное или дополнительное уведомление об обработке персональных данных после 1 сентября 2015 года. Нужно ли дополнительно сообщать, где находятся базы данных?

• Понятия «повторного» или «дополнительного» уведомления не существует. Статьей 22 Федерального закона «О персональных данных» установлена обязанность оператора до начала обработки персональных данных направить уведомление. В части 2 указанной статьи приведен ряд исключений, когда такого уведомления не требуется. Если организация ранее направила в Роскомнадзор уведомление об обработке персональных данных, то после вступления в силу закона операторы, руководствуясь частью 7 данной статьи, должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.

1)  Подпадает ли идентификационный номер автомобиля под определение «персональные данные»?

• Государственный номер автомобиля, иная техническая информация, включая историю ремонта транспортного средства, не относится к персональным данным, поскольку не позволяет идентифицировать конкретное физическое лицо. Так, указанные сведения относятся не к субъекту персональных данных, а автомобильному средству.

2) Должны ли иностранные операторы персональных данных осуществляющие или планирующие осуществлять сбор и обработку персональных данных граждан РФ с использованием WEB-сайтов, осуществлять такую обработку и хранение на территории РФ?

• Не имеет значения, расположена ли иностранная компания в России или нет, если она распространяет свою деятельность именно на российский сегмент, рассчитанный на российского потребителя, то 242-ФЗ будет к ней применяться. В связи с чем, сбор и обработка персональных данных российских граждан, территориально находящихся в Российской Федерации, должен осуществляться на территории России.

3) Какие особенности обработки общедоступных персональных данных и применимости к ним требований конфиденциальности?

• Согласно п.10 ч.1 ст. 6 Федерального закона «О персональных данных» допускается без согласия субъекта персональных данных обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе. Соответственно, требование конфиденциальности, установленное ст. 7 Федерального закона «О персональных данных», на обработку указанных сведений не распространяется.

4) Какой срок и процедура для восстановления доступа к заблокированному сайту/странице сайта?

• Сроки и порядок восстановления доступа к заблокированному сайту будет определен нормативным правовым актом Правительства Российской Федерации, разработанным во исполнение 242-ФЗ, который сейчас находится на стадии утверждения.

5) Имеется ли переходный период для компаний, чтобы они могли обеспечить выполнение новых требований?

• Положения ФЗ-242 вступают в силу с 1 сентября 2015 года. Никаких исключений или переходных периодов ни 242-ФЗ, ни 526-ФЗ, внесший изменения в 242-ФЗ в части уточнения времени вступления его в законную силу, не установлено.

6) Утверждена ли форма для уведомления о месте расположения баз данных?

• Статьей 22 Федерального закона «О персональных данных» установлена обязанность оператора до начала обработки персональных данных направить уведомление. В части 2 указанной статьи приведен ряд исключений, когда такого уведомления не требуется. 242-ФЗ вносятся изменения в часть 3, которая определяет требования к содержанию уведомления. Если организация ранее направила в Роскомнадзор уведомление об обработке персональных данных, то после вступления закона в силу операторы руководствуюсь частью 7 данной статьи, должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.

7) В каком виде должна быть оформлена база данных по сбору персональных данных по новому закону о персональных данных? В каком виде эта база данных должна храниться на российском хостинге, в виде файла или в виде сайта и т.д.?

• 242-ФЗ вносит изменение только в части места нахождения базы данных при осуществлении определенных видов обработки, и не вносит изменений в Федеральный закон «О персональных данных» в части, касающейся мер (в том числе технических) по обеспечению безопасности персональных данных при их обработке (см. ст. 19 Федерального закона «О персональных данных»).

8) Насколько с точки зрения Роскомнадзора вероятна возможность перенесения ответственности за невыполнение норм законодательства о персональных данных в части передачи персональных данных за рубеж (новелл 242-ФЗ) до 1 сентября 2016 года?

• Закон не предусматривает переходные положения, поэтому никакого перенесения ответственности за невыполнение норм законодательства о персональных данных не будет. Вместе с тем как было указано выше в случае выявления нарушений 242-ФЗ операторам персональных данных будут давать предписания по их устранению в определенный срок, который будет установлен подзаконным нормативным правовым актом.

9) Имеются ли еще какие-либо предписания/ограничения для деятельности серверов на территории России?

• Деятельность технических площадок (серверов, центров обработки данных) на территории Российской Федерации должна соответствовать установленным требованиям конфиденциальности и безопасности персональных данных, обрабатываемых с использованием вышеуказанных технических мощностей. Руководящие документы по обеспечению безопасности размещены на официальных сайтах ФСТЭК России и ФСБ России.

Персональные данные

10) Какие категории персональных данных, подпадающие под сферу действия 242-ФЗ?

• Положения 242-ФЗ относятся к любой информации, относящейся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), а не к отдельным категориям персональных данных (специальных персональных данных, биометрических персональных данных).

11) По каким критериям система должна определять, что человек является гражданином РФ (по месту жительства, месту рождения)?

• Законодатель предоставил возможность операторам персональных данных самостоятельно определять процедуру установления гражданства в соответствии со спецификой деятельности каждого юридического лица, осуществляющего сбор персональных данных граждан России. В связи с чем, предполагается, что дополнительного законодательного регулирования данный вопрос не требует.

12) Распространяются ли положения 242-ФЗ на государственные и муниципальные базы данных?

• В 242-ФЗ отсутствуют положения о том, что он не распространяется на государственные и муниципальные базы данных. Кроме того, согласно ст. 1 Федерального закона «О персональных данных» положения данного закона распространяются на органы государственной власти и местного самоуправления. Учитывая, что 242-ФЗ вносит изменения в Федеральный закон «О персональных данных», положения 242-ФЗ не могут не распространяться на порядок формирования и ведения государственных и муниципальных баз данных.