FZ 242 w sprawie ochrony danych osobowych. Prawo federalne 242 (federalna ustawa o danych osobowych): zmiany i uwagi

W Rosji istnieje odrębna ustawa, wzgodnie z którym do przeprowadzenia transakcji z danymi osobowymi wymagane są różne organizacje i osoby fizyczne - ustawa federalna nr 152. Ustawodawca wprowadza okresowo zmiany do odpowiedniego aktu prawnego. W szczególności, 1 września 2015 r. Weszły w życie normy ustawy federalnej nr 242, po opublikowaniu których w przepisach federalnych nr 152 pojawiło się wiele zupełnie nowych norm. Czym one są? Kto jest zobowiązany do przestrzegania odpowiednich przepisów prawa?

Co to jest federalne prawo danych osobowych?

Należy to szczególnie podkreślićfundamentalna kwestia: Prawo 242-FZ, która weszła w życie z dniem 1 września 2015 r, jest aktem normatywnym, który wprowadza drugiej, podstawowym źródłem prawa - Prawo federalne № 152, przyjęta w lipcu 2006 r. Tak więc sformułowanie zawarte w ustawie nr 242 należy rozpatrywać wyłącznie w kontekście norm zawartych w ustawie federalnej nr 152.

Podstawowy akt prawny - ustawa federalna nr 152, ustanowiony w ustawodawstwie Federacji Rosyjskiej takie kategorie prawne jak:

- dane osobowe;

- operator odpowiednich informacji;

- przetwarzanie danych osobowych.

W ramach pierwszej kategorii prawnej ustawodawcazaleca zrozumienie wszelkich informacji, które bezpośrednio lub pośrednio odnoszą się do osoby. Może to być na przykład jego pełne imię i nazwisko, dane osobowe, dane kontaktowe.

Zgodnie z drugą kategorią prawnąoznacza organ administracji państwowej lub samorządowej, organizację lub osobę, która samodzielnie lub w trakcie interakcji z innymi podmiotami przeprowadza procedurę przetwarzania danych, a także określa ich skład i działanie z nimi.

Zgodnie z trzecią kategorią prawną, ustawodawcazaleca zrozumienie dowolnej operacji lub ich sekwencji, która ma związek z danymi osobowymi i odbywa się za pomocą narzędzi do automatyzacji lub bez nich.

Podstawowe operacje z danymi osobowymi,określone w ustawie nr 152: gromadzenie, rejestrowanie, przechowywanie, dostosowanie, wykorzystanie, przekazywanie, blokowanie, usuwanie. Te kategorie prawne, w zasadzie w momencie przyjęcia, można uznać za całkiem nowe dla systemu prawnego Federacji Rosyjskiej. Wcześniej obrót danych osobowych był regulowany przez rosyjskie ustawodawstwo raczej pobieżnie.

Nowość ustawy federalnej № 152

Ustawa o danych osobowych, przyjęta w Federacji Rosyjskiej, byław ten sposób zbliżyć krajowy system prawny do światowych standardów zapewniających poufność wymiany informacji - przede wszystkim prezentowanych w formie elektronicznej i wykorzystywanych w ramach komunikacji online. Ale Ustawa federalna nr 152 również stworzyła otoczenie prawne również w celu zapewnienia ochrony różnych danych off-line.

Zgodnie z tym normatywnym aktem prawnymZidentyfikowano kilka klas danych osobowych, które wymagały użycia pewnych algorytmów ochrony. Ponadto ustawa federalna nr 152 ustanowiła normy, zgodnie z którymi obrót różnymi danymi mógłby zostać przeprowadzony w wyspecjalizowanych systemach informatycznych - tych, które wymagały szczególnie wysokich kwalifikacji administratorów, a także uzyskania licencji na prowadzenie operacji z danymi osobowymi.

Pomimo faktu, że ustawa federalna nr 152 została wydana w 2006 rokuW praktyce jego główne przepisy dla operatorów danych osobowych stały się obowiązkowe dopiero od 1 lipca 2011 r. Od tego czasu, co zauważyliśmy powyżej, okresowo wprowadzane są różne poprawki do odpowiedniego źródła prawa. W szczególności te, które zostały zatwierdzone przez władze federalne na mocy ustawy 242-FZ. Rozważmy bardziej szczegółowo jego funkcje.

Cechy zastosowania aktu prawnego

Prawo federalne 242-FZ "O danych osobowych"(Dokładniej, „w sprawie zmian do aktów w ramach danych wyjaśnienia”) ustanowiony stanowisko, zgodnie z którym operatorzy stają się zobowiązany do przetwarzania i przechowywania danych tylko na serwerach, które znajdują się na terytorium Rosji. Lub jeśli są to dane osobiste offline - umieść je w bazach danych, które znajdują się w RF. Należy zauważyć, że w ustawie 242-FZ istnieje szereg wyjątków od tej reguły, które z kolei znajdują odzwierciedlenie w przepisach ustawy federalnej nr 152.

Kolejnym niuansem stosowania prawa jestFakt, że poprzez swojego ustawodawcy dokonał również zmian nie tylko do głównego aktu prawnego regulującego transakcje z danymi osobowymi, ale także do innych źródeł. Mianowicie ustawy 149 "O informacji", a także 249 ("O ochronie podmiotów prawnych i własności intelektualnej w ramach kontroli państwowej i samorządowej").

W rosyjskich mediach aktywnie replikowaneinformacje, że Roskomnadzor, agencja odpowiedzialna za zapewnienie zgodności operatorów danych z postanowieniami FZ-242 "O ochronie danych osobowych", w 2016 r. przeprowadzi kontrole największych dostawców rozwiązań IT działających w Federacji Rosyjskiej. W szczególności, powiedziano, że celem Roskomnadzor jest sprawdzenie, czy wymagania prawa branego pod uwagę są spełnione przez takie marki jak Microsoft, Vkontakte, HeadHunter, LaModa. Założono, że departament wykona około 1 tys. Różnych czeków.

Zainicjowany przez władze federalne przezedycje ustawy federalnej nr 242-FZ, zmiany danych osobowych w podstawowym prawie mogą predestynować potrzebę dużych operatorów do przeprowadzenia znacznej modernizacji sprzętu i oprogramowania. Ale to zadanie powinno być rozwiązane przez marki, w przeciwnym razie, jeśli wykorzystywana przez nich infrastruktura nie spełnia wymogów danego prawa, Roskomnadzor może nałożyć na spółkę karę.

Znacząca rola w inspekcjach, takich jakzakłada się, że użytkownicy różnych rozwiązań IT powinni grać. Jeśli zaczną podejrzewać, że ich dane nie są całkowicie bezpieczne, informacje o usłudze, która jest zaangażowana w operacje z odpowiednimi danymi, mogą być przekazywane przez użytkowników bezpośrednio do Roskomnadzor. Które z kolei będą musiały zainicjować kontrolę usługi pod kątem zgodności z przepisami 242-FZ.

Przydatne będzie rozważenie, na czym polega zakres rozważanego źródła prawa.

Ustawa nr 242: zakres źródła prawa

Głównym punktem dyskusji w tym przypadku -czy jurysdykcja FZ-242 "O ochronie danych osobowych" rozciąga się na zagraniczne firmy, które z jednej strony świadczą usługi rosyjskim użytkownikom, z drugiej strony znajdują się poza Federacją Rosyjską zarówno pod względem prawnym, jak i pod względem infrastruktury.

Oddzielne przepisy przedmiotowej ustawy,który jednoznacznie określiłby geografię jego działania, prawodawca nie wyraził zgody. W związku z tym, aby znaleźć odpowiedź na rozważane pytanie, należy zastosować do innych aktów prawnych.

Tak więc, zgodnie z ustawą o informacji,działając w Federacji Rosyjskiej, wykorzystanie w Rosji różnego rodzaju infrastruktury komunikacyjnej powinno odbywać się z uwzględnieniem norm zatwierdzonych w ustawodawstwie Federacji Rosyjskiej. Tak więc, jeśli zastosujesz się do tej zasady, możesz dojść do wniosku, że Federalna ustawa nr 242-FZ rozciąga się tak samo tylko na te usługi, które w wyjątkowy sposób wykorzystują infrastrukturę znajdującą się w Rosji.

Definicja operatora danych osobowych w Rosji

Najważniejsze kryterium ustalania jurysdykcjirozważane źródło prawa - centrum marki, która jest właścicielem określonej usługi. Jeśli dana witryna przeznaczony przede wszystkim do rosyjskich użytkowników, należy uznać za podlegające regulacji z punktu widzenia zastosowania prawo liczby 242. Fakt, że usługa ma na celu uzyskanie danych osobowych obywateli Federacji Rosyjskiej może być ustalone w oparciu o fakt, że:

- w strukturze adresu strony używana jest domena .ru, .su, .рф lub, na przykład, moskwa;

- zawartość strony jest w języku rosyjskim;

- strony portalu mają możliwość nawiązania stosunków prawnych z usługą za pomocą formularzy umów sporządzonych zgodnie z Kodeksem cywilnym Federacji Rosyjskiej.

W praktyce spada liczba operatorów danychpod jurysdykcją ustawy federalnej nr 242 mogą istnieć różnorodne struktury - na przykład usługi kadrowe przedsiębiorstw, banków, centrów obsługi telefonicznej. Wszyscy są zobowiązani do zapewnienia zgodności swojej działalności z wymogami danej ustawy.

Ustawa nr 242 w zakresie stosowania jej mocy wstecznej

Ustawa nr 242-FZ o zmianach do ustawy federalnej nr 152został wydany później niż sam fakt istnienia samego FL 152, a także poprzednie poprawki do niego, wymagały jednak dodatkowej interpretacji przepisów głównego aktu prawnego. W szczególności wśród prawników toczyła się dyskusja o tym, czy ustawę nr 242 należy uznać za działającą z mocą wsteczną.

Najbardziej popularny punkt widzenia, wzgodnie z którym w odniesieniu do oceny skutków prawnych rozpatrywanego aktu prawnego konieczne jest zastosowanie ogólnych zasad prawnych, zgodnie z którymi nie powinno się wykonywać modernizacji tych przepisów, które pogarszają sytuację niektórych osób lub ustanawiają dla nich dodatkowe obowiązki.

Wyjątki mogą byćAkty, w których zasada działania wstecz jest ustalana bezpośrednio. Prawo 242-FZ nie zawiera takich przepisów. Dlatego tylko ci uczestnicy stosunków prawnych, którzy rozpoczynają przetwarzanie danych osobowych po tym, jak odpowiedni akt prawny weszli w życie, są zobowiązani do ich przestrzegania. Oznacza to, że od 1 września 2015 r.

Istota gromadzenia danych

Inna dyskusyjna chwila charakteryzującaRozpatrywanym aktem prawnym jest definicja pojęcia "gromadzenia danych" w oparciu o obecne w nim sformułowanie. Jaka jest złożoność interpretacji w tym przypadku? Faktem jest, że zgodnie z przepisami ustawy federalnej nr 152, zmiany danych osobowych zostały dokonane poprzez wydanie ustawy federalnej nr 242-FZ, operatorzy są zobowiązani do zapewnienia lokalizacji plików w procesie zbierania odpowiednich informacji. Z kolei istota tej procedury nie jest jasno określona w prawie, co oczywiście nie przyczynia się do skutecznego wdrażania jej postanowień w wielu kontekstach.

W eksperckim środowisku, z punktu widzeniaktóre w ramach "kolekcji" słusznie rozumieją proces, w którym operator danych otrzymuje je bezpośrednio od jakiegoś podmiotu lub upoważnionych stron trzecich. Okazuje się, że zlokalizowane zgodnie z przepisami ustawy federalnej 242 powinny być tylko te dane osobowe, które zostały nabyte przez operatora w tym, że przeprowadził celowe prace w celu zebrania odpowiednich danych. I jeśli na przykład operator otrzymał je przypadkowo - jako opcję, w formie listu na e-mail, to nie jest konieczne zlokalizowanie, jak nakazuje ustawa 242-FZ. Podobnie błędem jest postrzeganie jako proces zbierania danych ich odbioru przez jedną firmę od drugiej, jeśli są to telefony i inne dane kontaktowe przedstawicieli firmy.

Umiejscowienie danych za granicą zgodnie z ustawą nr 242

Kolejny najważniejszy niuans, który charakteryzujepraktyka ścigania we wdrażaniu przepisów prawa numerem 242 - możliwość umieszczania tych operatorów za granicą w razie potrzeby - na przykład, jeśli chodzi o tworzenie kopii zapasowych istotnych informacji na temat serwerów dzierżawionych od zagranicznych dostawców. Z jednej strony, prawo № 242-FZ danych osobowych musi być umieszczony na serwerach znajdujących się na terytorium Rosji. Z drugiej strony, oczywiście, może istnieć obiektywna potrzeba umieszczenia ich w zasobach zagranicznych.

Jak zauważają prawnicy, transfer transgranicznyw zasadzie możliwe są dane bez naruszania przepisów prawnych. W oparciu o które przepisy prawa stanowisko to można uznać za zgodne z prawem?

Kiedy transfer transgraniczny jest legalny

Faktem jest, że prawo dotyczące lokalizacji osobistych242-FZ nie zawiera przepisów dotyczących dokonywania korekty aktów prawnych regulujących transgraniczne przekazywanie plików zawierających zindywidualizowane informacje o obywatelach Federacji Rosyjskiej i innych podmiotach podlegających ochronie ustawy nr 152-FZ. Dlatego procedura ta jest legalna, a także do momentu przyjęcia poprawek do rozważanej ustawy.

Ale jeszcze raz uważaj - za granicąTransmisja danych może odbywać się tylko w celu utworzenia kopii zapasowej odpowiednich plików. Dlatego ich oryginały muszą być koniecznie umieszczone na serwerach w Federacji Rosyjskiej. Jednocześnie operator danych sam jest odpowiedzialny za nieuprawnione korzystanie z plików na zagranicznych serwerach przez osoby fizyczne. Ponadto prawdopodobnie dostosuje swoje systemy informacyjne do wymogów określonych w przepisach prawa państwa, na terytorium którego znajdują się serwery.

Sankcje za naruszenia prawa nr 242

Zbadaliśmy więc, co wprowadził ustawodawcapoprzez wydanie ustawy 242-FZ zmiany ustawy federalnej nr 152. Przydatne będzie również rozważenie, jakie sankcje mogą nakładać operatorzy danych, którzy naruszyli przepisy odpowiedniego źródła prawa.

Najpierw firma, która jest wymagana do wykonaniazgodnie z wymogami ustawy nr 242 może zostać nałożona grzywna administracyjna. Jego wartość wynosi 500-1000 rubli dla urzędników, a także 10 razy większe kwoty - dla osób prawnych. Ta kara jest ustawiona na sztukę. 13.11 Kodeksu administracyjnego Federacji Rosyjskiej.

Po drugie, taka sankcja może być stosowana,jako operator danych w rejestrze osób naruszających prawo. Jest to zautomatyzowana baza danych zawierająca nazwy domen i adresy stron stron, na których przetwarzane są dane osobowe z naruszeniami. Należy zauważyć, że włączenie operatora do odpowiedniego rejestru odbywa się na podstawie decyzji sądu. Wyjątkiem jest po jego anulowaniu lub po wyeliminowaniu przez firmę naruszeń przedmiotowej ustawy.

Po trzecie, dostęp do strony może być ograniczony,na którym realizowane jest niewłaściwe przetwarzanie danych osobowych. Ta procedura jest przeprowadzana po przesłaniu podmiotowi danych osobowych do Roskomnadzor wniosku o potrzebie podjęcia środków w celu zablokowania odpowiedniego zasobu.

Ponadto ten dokument również powinien byćuzupełniony aktem prawnym, który wszedł w życie. Po tym, Roskomnadzor wysyła informacje o naruszeniach przez właściciela witryny ustawy nr 242 do dostawcy hostingu, a jeśli właściciel zasobu nie eliminuje naruszenia, strona jest zablokowana.

Procedura stosowania sankcji wobec osób naruszających prawoprzepisy danego aktu prawnego w dużej mierze zależą od praktyki egzekwowania prawa. Do operatorów danych osobowych ma sens regularne zapoznawanie się z nimi, a także, na przykład, i różne analizy analityczne przepisów prawa nr 242-FZ, uwagi adwokatów do niego. Wykonywanie norm ustawy federalnej nr 152, z uwzględnieniem faktycznych zmian, jest najważniejszym warunkiem prawidłowego funkcjonowania odpowiednich usług informacyjnych.