Как подготовиться ко вступлению в силу федерального закона о персональных данных?

Закон о персональных данных С 1 сентября 2015 года вступает в силу Федеральный закон от 21.07.2014 №242-ФЗ (ред. от 31.12.2014) «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

В соответствии со ст. 2 ФЗ №242-ФЗ ст. 18 ФЗ «О персональных данных», будет дополнена частью 5 следующего содержания: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».

Исключения, указанные в пунктах 2, 3, 4, 8 части 1 статьи 6 ФЗ «О персональных данных» сводятся к следующему:

п.2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей,

п.3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве,

п.4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг,

п.8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.

Исходя из представленной Заказчиком информации можно сделать вывод, что вышеуказанные исключения не относятся к сфере его деятельности в связи со следующим:

Согласно ст. 3 ФЗ «О персональных данных»:
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

База данных – ФЗ «О персональных данных» не дает определения данному термину.

Косвенно определение Базы данных сформулировано в ст. 1260 ГК РФ, а именно: База данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ).

В данном случае считаем так же необходимым отметить, что Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), целью которой является контроль за соблюдением исполнения норм ФЗ «О персональных данных» в своих неофициальных разъяснениях указывала, что в качестве базы персональных данных может выступать «любой массив персональных данных независимо от материального носителя».

Что же делать, если сервера находятся за границей?

Если сервер, на котором находятся персональные данные работников находится за границей, тогда ваша компания подпадает под действие вступающих с 1 сентября 2015г. изменений в ФЗ «О персональных данных».

Если при сборе и обработке персональных данных своих сотрудников (граждан РФ) или же своих клиентов (граждан РФ) компания осуществляет запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных (серверов), находящихся на территории другой страны (первичная база данных – база данных на которую персональные данные попадают от субъектов персональных данных) – закон нарушается, организация попадает под действие вступающих с 1 сентября 2015г. изменений в ФЗ «О персональных данных».

Пути решения
Во избежание нарушения законодательства РФ необходимо производить первичную обработку персональных данных с использованием баз данных, находящихся на территории РФ.

Статья 2 ФЗ №242-ФЗ не запрещает использование баз персональных данных граждан РФ за рубежом, однако первичная база данных должна находиться на территории РФ.

Статьей 12 ФЗ «О персональных данных» предусмотрена трансграничная передача персональных данных, в соответствии с которой передача данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных, а так же иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных» осуществляется в соответствии с ФЗ «О персональных данных».

Выясните, является ли страна, где расположен ваш сервер, участников данной конвенции. Если да, то можно сделать вывод, что оператор вправе (ему не запрещается) передавать персональные данные своих работников за границу, при условии их первичной обработки на сервере, находящемся на территории РФ.

Кроме того п. 2 ст. 12 вышеуказанной Конвенции, установлено, что государство не должно запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другого государства, с единственной целью защиты частной жизни.

К сожалению, официальных разъяснений практического применения ст. 2 ФЗ №242-ФЗ законодатель пока не давал.

Как подготовиться к вступлению в силу закона о персональных данных

Внести соответствующие изменения в локальные нормативные акты вашей компании, регулирующие обработку персональных данных сотрудников.
Изменения должны касаться сведений о наличии и местоположении баз данных.

Кроме того, целесообразно получить от работников, чьи персональные данные подлежат трансграничной передаче, согласие в письменной форме на такую их передачу.

Порядок обработки персональных данных клиентов

В случае, если ваша компания намеревается обрабатывать персональные данные своих клиентов (граждан РФ), то в соответствии со ст. 22 ФЗ «О персональных данных» необходимо уведомить Роскомнадзор о таком намерении.
Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом Заказчика.

Что должно содержать уведомление в Роскомнадзор

Ответственность, предусмотренная за нарушение ФЗ «О персональных данных»
В силу положений ст. 24 ФЗ "О персональных данных", виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.

Административная ответственность за нарушение порядка обработки персональных данный предусматривается в ст. 13.11. КоАП РФ согласно которой к оператору могут быть применены следующие санкции:

Предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

В случае, если Роскомнадзором оператору будет выдано предписание с требованием устранить недостатки в своей деятельности и привести работу в соответствии с положениями ФЗ «О персональных данных» и оператор это предписание по каим – либо причинам не исполнит или же не успеет это сделать в срок, то оператор в данном случае также может быть привлечен к административной ответственности по ч. 1 ст. 19.5. КоАП РФ в виде административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.

Также не искючаем возможность предъявления работником исков о возмещении морального вреда, связанного с неправомерными действиями работодателя, как оператора по обработке персональных данных (ст. 237 ТК РФ).

Размещение персональных данных сотрудников (работников) на интернет-ресурсах организации

Согласно статье 15.5 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», которая вступит в силу с 1 сентября 2015 года, в случае если решением суда на основании заявления субъекта персональных данных, то Роскомнадзор, по обращению субъекта персональных данных на основании судебного решения сможет включить сведения об операторе-нарушителе в специализированный «Реестр нарушителей прав субъектов персональных данных» и ограничить (блокировать) доступ к интернет-ресурсу оператора, где было обнаружено нарушение, в том числе, если сервер с персональными данными будет находиться за границей.

Выводы:
1. Если базы данных вашей компании находятся в РФ, а так же в Нидерландах, то для исключения нарушений ФЗ «О персональных данных» и ФЗ №242-ФЗ необходимо разработать и реализовать техническое решение, обеспечивающее первичную обработку персональных данных в базе, находящейся на территории РФ.
В дальнейшем обработка персональных данных, в том числе и их копирование, может осуществляться и на территории другой страны, при условии, что имеется соответствующее согласие субъекта таких персональных данных на их трансграничную передачу.

2. Целесообразно внести изменения в локальные нормативные акты вашей компании, регулирующие обработку персональных данных сотрудников и/или клиентов, особенно в части сведений о наличии и местонахождении сервера (первичной базы данных).
Это необходимо для представления доказательств соблюдения законодательства о персональных данных в Роскомнадзор в случае проверки.

В случае отсутствия указанных локальных актов по обработке персональных данных необходимо их ввести, с учетом рекомендаций, приведенных выше, кроме того, необходимо получить от всех лиц (сотрудники, клиенты), чьи персональные данные подлежат трансграничной передаче, согласие в письменной форме на такую передачу.

В случае, если ваша компания намеривается обрабатывать (обрабатывает) персональные данные своих клиентов (граждан РФ), то в соответствии со ст. 22 ФЗ «О персональных данных» необходимо уведомить Роскомнадзор о таком намерении.

3. Необходимо отметить, что в настоящий момент на рассмотрении Государственной Думы РФ находится проект Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который может повлечь увеличение штрафов по ст. 13.11 КоАП РФ до 30 000 рублей, введение статьи 13.11.2. КоАП РФ - Незаконная обработка специальных категорий персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости) – для юридических лиц штраф в размере 1,5 % совокупного дохода за прошедший отчетный год, но не менее 400 000 рублей. Данный законопроект уже был принят в первом чтении, однако точную дату его принятия, а так же вступления его в законную силу спрогнозировать невозможно.


Михаил Черепнов По вопросам правового консультирования
вы можете обратиться к Черепнову Михаилу Евгеньевичу.
Контакты для связи:
Тел.: +7 831 430 52 25, 430 52 20
Email: mike@tk-legal.ru

Отзывы и рекомендации


ООО "Маммут Рус" настоящим письмом выражает вам искреннюю благодарность и признательность за профессиональную юридическую поддержку в области в области трудового и административного права, оказанную нашему предприятию.
Руководитель трудовой практики "ТЧК" Ирина Питунова проявила себя как юрист высоких компетенций, продемонстрировав профессионализм в текущем сопровождении компании по трудовым и административным вопросам.
Юрий ПоповГенеральный директор

Рейтинги

Ассоциации и союзы