2024/01/27 17:18:44

Регулирование персональных данных в РФ
изменения с 1 сентября 2015 года

С 1 сентября 2015 года в России вступило в силу положение, обязывающее операторов персональных данных обрабатывать и хранить персональные данные россиян с использованием баз данных, размещенных на территории РФ.

Содержание

Положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в ФЗ-242[1] от 21 июля 2014 года, указывает, что «при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ». Исключение составляют случаи, указанные в пунктах 2, 3, 4, 8 части 1 статьи 6 данного ФЗ (ч. 5 ст. 18 ФЗ «О персональных данных»).

Законом 242 внесены изменения в законы 152 ("О персональных данных"), 149 ("Об информации") и 249 ("О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля").

С 1 сентября 2015 года персональные данные россиян должны обрабатываться с использованием баз данных, расположенных на территории РФ

Экономика данных (национальный проект)

Основная статья: Экономика данных (национальный проект)

Хронология событий

2024: Роскомнадзор обезличит данные о блокировке сайтов

2 февраля 2024 года Роскомнадзор обнародовал приказ об изменениях в правилах работы информационной системы, через которую операторы получают данные о заблокированных сайтах. Ведомство предлагает обезличить информацию, связанную с процедурой ограничения доступа к сетевым ресурсам. Подрообнее здесь.

2023

Число обращений по удалению персональных данных из сети растет

В России зафиксирован рост обращений за юридической помощью по вопросам нелегального распространения персональных данных в интернете. Пользователи просят удалить упоминания любых идентификаторов личности. Об этом 25 января 2024 года сообщила пресс-служба депутата ГосДумы РФ Антона Немкина.

В 2023 году число обращений от физлиц с просьбой защитить право на удаление персональных данных, опубликованных без их согласия, а также о защите чести и достоинства, в случае публикации негативной и порочащей информации, выросло на 10-15%, приводят данные адвокатское бюро БВМП и юридический сервис DestraLegal.ru.Трендвотчинг рынка CRM. Аналитический отчет TAdviser 10.6 т

По словам советника БВМП Сусаны Киракосян, рост обращений связан в том числе с участившимися случаями утечек персональной информации. Киракосян подчеркивает, что «пострадавшему интереснее обеспечить защиту своих прав не административными, а частноправовыми мерами». То есть, граждане предпочтут обратиться с требованием об удалении персональной информации в сети, а также о выплате компенсации морального вреда. В случае неудовлетворения требований может быть инициировано и судебное разбирательство.

Рост числа обращений зафиксирован и в Центре правовой помощи гражданам в цифровой среде ГРЧЦ. Общее число обращений в организацию в 2023 году составило 3270, продемонстрировав рост на 82%, в сравнении с 2022 годом. Из них 759 обращений – претензии и иски по вопросам персональных данных.

«
Каждое пятое обращение относится к тематике неправомерной обработки персональных данных граждан, 7% обращений по теме нежелательной рекламы, а каждое двадцатое — по вопросам защиты чести и достоинства, - сообщила пресс-служба центра.
»

В 2023 году Роскомнадзор зафиксировал 168 утечек персональных данных – в сеть попало 300 млн записей, отметил Антон Немкин.

«
В 2022 году цифры были немного иные - было обнаружено 140 утечек, но в свободный доступ попало 600 млн записей. Несмотря на то, что число записей сократилось в два раза, количество «слитых» данных продолжает поражать своими масштабами. Поэтому стремление граждан обезопасить себя и убрать какие-либо сведения из общего доступа совершенно понятны, – сказал депутат.
»

По словам Антона Немкина, ждать значительного прироста обращений по удалению пользовательской информации в интернете, все-таки, не стоит.

«
Это связано с масштабами цифровизации. Интернет-сервисы и приложения становятся тем, без чего мы не можем обойтись в повседневной жизни. При этом практически все приложения агрегируют терабайты пользовательской информации, поэтому полноценно устранить свой цифровой след получится только в случае полного отказа от цифровых технологий, – пояснил он.
»

Скорее стоит говорить о развитии сознательного подхода к предоставлению своих персональных данных, считает Антон Немкин.

«
Значительная часть граждан долгое время достаточно некритично относилась к сведениям, которые они передают. Многие и вовсе предпочитают автоматически нажимать на кнопку «соглашаюсь», даже не ознакомившись с пунктами согласия на обработку данных, под которым они подписываются. В результате передачи сведений большому числу компаний, вероятность найти свои данные в утечке, конечно, возрастает, – подчеркнул он.
»

Для того, чтобы обезопасить себя от возможных утечек, не стоит предоставлять особенно чувствительную информацию большому количеству сервисов.

«
Например, можно завести отдельную почту и номер телефона, которые будут использоваться исключительно для регистрации на различных сервисах: например, развлекательных. В условиях развития eSIM, процесс оформления не займет много времени. Кроме того, не всегда стоит указывать свое ФИО – можно обойтись инициалами, – порекомендовал Немкин.
»

Депутат напомнил, что в первом чтении уже были приняты законопроекты, направленные на ужесточение ответственности за утечки данных. По его словам, усиление ответственности будет стимулировать бизнес инвестировать в защиту собственной безопасности:

«
Это однозначно «встряхнет» бизнес, который должен понимать, что сохранение персональных пользовательских данных – безусловный приоритет, – заключил парламентарий.
»

Мишустин поручил Минцифры разработать меры по выявлению недостоверных данных

В декабре 2023 года премьер-министр Михаил Мишустин дал поручения по итогам стратегической сессии, посвященной национальному проекту «Экономика данных». Одно из них предполагает проработку мероприятий по выявлению недостоверных данных, в том числе генерируемых с использованием искусственного интеллекта. Выполнить это поручение Минцифры РФ должно к 19 марта 2024 года. Подробнее здесь.

Минцифры разработало два способа обезличивания персональных данных россиян

В начале декабря 2023 года стало известно о том, что Минцифры РФ подготовило поправки к закону «О персональных данных», определяющие два механизма обезличивания персональной информации. Такой процесс необходим в том числе для формирования датасетов большого объема, предназначенных для обучения моделей искусственного интеллекта.

Как сообщает газета «Ведомости», один из предлагаемых Минцифры вариантов предполагает, что операторы персональных данных будут обезличивать поступающие к ним сведения самостоятельно. Вторая схема предусматривает передачу информации в Минцифры в оригинальном виде: в этом случае обезличиванием будет заниматься подведомственное министерству ФГАУ НИИ «Восход». Такой подход, как утверждается, позволит объединить данные, очищенные от маркеров, указывающих на конкретного человека, из сотен госсистем, реестров и баз.

Минцифры РФ подготовило поправки к закону «О персональных данных», определяющие два механизма обезличивания персональной информации

Обезличивание персональных данных необходимо для обеспечения безопасности. После выполнения такой процедуры информацией в случае ее утечки не смогут воспользоваться злоумышленники в мошеннических целях. Минцифры отмечает, что обезличенные данные большого объема станут доступны разработчикам, прежде всего — для развития приложений и сервисов ИИ. Речь идет о массивах информации, которые не допускают обратное восстановление маркеров и идентификацию личности. Такими датасетами смогут обмениваться ведомства и бизнес.

Однако с точки зрения операторов персональных данных процесс обезличивания является неоднозначным. Несмотря на то, что для этого не требуется какое-то специальное оборудование, необходимы дополнительные серверные мощности, которыми зачастую располагают только крупные компании. Кроме того, по состоянию на конец 2023 года отсутствуют официальные рекомендации по поводу того, какие методы обезличивания информации должны использовать операторы персональных данных.[2]

В России принят закон, разрешающий силовикам корректировать данные своих сотрудников в ГИС

16 ноября 2023 года Госдума РФ приняла закон, разрешающий силовикам корректировать данные своих сотрудников в государственных информационных системах.

Новые нормы предоставляют силовым ведомствам доступ к государственным, муниципальным и другим информационным системам, в которых содержатся данные о ведомственной принадлежности их сотрудников, с целью изменения, обезличивания или удаления этих данных.

Госдума приняла закон, разрешающий силовикам корректировать данные своих сотрудников в ГИС

Документ вносит в 11 законов поправки, направленные на введение особого порядка обработки персональных данных отдельных категорий лиц, перечень которых установит президент РФ.

Предполагается, что к 1 сентября 2025 года будет создан реестр информационных систем, в которых будет осуществляться обработка персональных данных в особом порядке. Замглавы Минцифры Александр Шойтов, рассказывая депутатам о законопроекте, объяснил необходимость его принятия «текущей ситуацией».

«
Утечки данных защищаемых лиц, которые могут быть в последующем использованы в том числе зарубежными спецслужбами, несут риски их жизни и здоровью, обороне страны и безопасности государства в целом, а особенно в текущей геополитической ситуации, в связи с чем законопроектом предлагается создать единый механизм, способствующий минимизации возможности раскрытия данных отдельных категорий защищаемых лиц, — указывал он (цитата по «Коммерсанту»).
»

Ассоциация банков России (АБР) выступила против этой инициативы, аргументируя свою позицию тем, что закон приведет к нарушению конституционных прав граждан из-за предоставления спецслужбам неограниченного доступа к персональным данным физлиц, в том числе и не имеющих отношения к силовикам. Не понравилась инициатива и Ассоциации больших данных, куда входят, в частности, «Яндекс», VK, «Ростелеком» и «МегаФон»: там заявили, что принятие закона может привести к нарушению целостности ИТ-систем.[3]

Минцифры РФ разъяснило, что считать биометрией

В ноябре 2023 года Министерство цифрового развития, связи и массовых коммуникаций РФ представило проект постановления правительства «Об утверждении перечня видов биометрических персональных данных, на которые распространяется действие Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных…». Документ среди прочего вводит определение биометрии.

Как сообщает издание D-Russia.ru со ссылкой на проект постановления, под регулирование федерального закона о биометрических данных попадает изображение лица человека, полученное с помощью фото- и видеоустройств, а также запись голоса человека, полученная с помощью звукозаписывающих устройств. Новшество вступит в силу 1 сентября 2024 года.

Минцифры ввела определение биометрии

Как этого дня, как пояснется в материалах Минцифры, положения части 4 статьи 3 Федерального закона № 572-ФЗ не применяются и действие Федерального закона № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных…» распространяется на виды биометрических персональных данных, определенные правительством РФ по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности (ФСБ) и Координационным советом по развитию цифровых технологий идентификации и аутентификации на основе биометрических персональных данных.

Ранее президент России Владимир Путин подписал закон, который предусматривает создание перечня видов собираемой биометрии; их только два: изображение лица и образец голоса.

«
Эта норма, как предполагается, будет действовать до 1 сентября 2024 года, но изменение этого перечня, исходя из текста законопроекта, возможно только правительством по предложению Координационного совета, который формируется правительством с обязательным вхождением в него представителей общественности, централизованных религиозных организаций, - уточнял глава комитета Госдумы по информационной политике Александр Хинштейн.[4]
»

Шадаев: Госуслуги не будут хранить данные россиян

8 ноября 2023 года в Министерстве цифрового развития, связи и массовых коммуникаций России сообщили о решении уйти от хранения персональных данных пользователей портала Госуслуг в пользу использования распределенных систем, при которых вся информация будет храниться на серверах ведомств. Подробнее здесь.

Минцифры обяжет операторов связи передавать Роскомнадзору имена абонентов

В конце августа 2023 года стало известно об инициативе Минцифры, согласно которой операторы связи должны будут передавать Роскомнадзору имена абонентов. Соответствующий проект постановления правительства опубликован на федеральном портале проектов нормативных правовых актов.

В документе говорится о необходимости установить требование о представлении Роскомнадзору в виде хэш-кода сведений о фамилии, имени и отчестве абонента и пользователя услугами связи абонента — юридического лица либо индивидуального предпринимателя. Также операторы должны будут сообщать сведения о дате заключения и расторжения договора с абонентами. Кроме того, предлагается обязать предоставлять перечень абонентских номеров, выделенных коммерческим компаниям и индивидуальным предпринимателям, которые заключили договоры о предоставлении услуг связи.

Операторы связи должны будут передавать Роскомнадзору имена абонентов
«
Предлагается также установить требование о представлении в информационный ресурс Роскомнадзора в виде хэш-кода, вычисляемого в соответствии с межгосударственным стандартом ГОСТ 34.11-2018 «Информационная технология. Криптографическая защита информации. Функция хэширования», только сведений о фамилии, имени и отчестве (при наличии) абонента и пользователя услугами связи абонента – юридического лица либо индивидуального предпринимателя, — сказано в пояснительной записке.
»

Ранее в 2023 году телекоммуникационных операторов обязали уведомлять Роскомнадзор при передаче персональных данных россиян в любую страну. Также они должны убедиться, что иностранный партнер сможет соблюдать конфиденциальность переданной информации и обеспечить ее защиту при обработке. В течение 10 дней Роскомнадзор имеет право запретить передачу таких данных, если запрет не наложен в этот период, то данные могут быть переданы.

О внесении изменений в Правила представления операторами подвижной радиотелефонной связи информации, необходимой для осуществления мониторинга соблюдения операторами связи обязанности по проверке достоверности сведений об абонентах и сведений о пользователях услугами связи абонентов-юридических лиц либо индивидуальных предпринимателей

Верховный суд России признал адрес электронной почты не персональными данными

21 июля 2023 года Верховный Суд Российской Федерации вынес постановление, согласно которому адрес электронной почты не может считаться персональными данными зарегистрировавшего его лица.

Как сообщает Российское агентство правовой и судебной информации (РАПСИ), речь идет о разбирательстве, инициированном Роскомнадзором. Ведомство требовало признать неправомерной обработку персональных данных пользователей страховой компанией на своем интернет-сайте. Претензии возникли в связи с размещенной на сайте формой «Заявка на оформление полиса»: она содержит «Форму обращения» и запрашивает данные «e-mail» и «телефон». Роскомнадзор полагает, что в данном случае страховщик с нарушением действующего законодательства собирает персональные сведения россиян.

Адрес электронной почты не может считаться персональными данными зарегистрировавшего его лица

Однако суды трех инстанций пришли к выводу, что указанная форма не подразумевает сбора персональных данных в контексте определения «персональные данные», содержащегося в пункте 1 статьи 3 Закона о персональных данных, поскольку не используется для идентификации потребителя финансовых услуг, а является формой обратной связи. При этом отмечается, что исключительно по адресу электронной почты невозможно определить конкретное лицо, которому он принадлежит.

После получения отказа Роскомнадзор обратился в Верховный суд, но и там поддержки не нашел. В частности, Верховный суд пришел к выводу, что действия Роскомнадзора не только не соответствуют требованиям действующего законодательства, но и нарушают права и законные интересы общества в сфере предпринимательской и иной экономической деятельности.

В материалах дела также говорится, что адрес электронной почты фактически не обладает свойством «абсолютной неизменности», поскольку в случае расторжения пользовательского соглашения с электронным почтовым сервисом или удаления по любым причинам электронного почтового ящика с сервера в том же домене может быть зарегистрирован точно такой же адрес для нового пользователя.[5]

Глава Минцифры доложил Путину о новых подходах к обезличиванию больших данных

19 июля 2023 года министр цифрового развития, связи и массовых коммуникаций РФ Максут Шадаев доложил президенту России Владимиру Путину о совместной работе с комитетом Госдумы по информполитике над законопроектом о регулировании больших данных. Как уточнили в пресс-службе Минцифры, были подготовлены изменения в закон об обезличивании данных:

  • в приоритете — вопросы обеспечения защиты прав граждан при обработке больших данных и применении технологий ИИ;
  • согласованы процедуры обезличивания больших данных и четко регламентирован порядок формирования необходимых датасетов для машинного обучения, а также условия доступа к ним разработчиков нейросетей;
  • предусмотрен прямой и однозначный запрет на обработку больших данных в случае, если это может привести к риску причинения вреда жизни, здоровью, безопасности и имуществу граждан;
  • возможен доступ внешних разработчиков к большим данным только в случае исключения любых сведений, которые позволят идентифицировать конкретного гражданина;
  • запрещён внешний доступ к сформированным датасетам иностранным лицам и российским юрлицам с преимущественным иностранным участием.

Владимир Путин на совещании

По сообщению Минцифры, для организации работы с большими данными ведомство создает соответствующую госинформсистему. В нее будут загружаться обезличенные датасеты как госорганами, так и бизнесом, доступ к которым будет предоставляться авторизованным разработчикам. Такие обезличенные наборы данных нельзя будет из неё выгрузить и забрать. Можно будет на них тестировать и обучать свои нейросети, добавили в министерстве.

О том, что в составе Минцифры в 2024 году может появиться центр обезличивания, в начале июля 2023-го рассказывал заместитель главы ведомства Александр Шойтов. По его словам, для создания центра вначале потребуется его макет — специальный программно-аппаратный комплекс. При этом в ходе создания модели будут проведены исследования в области обезличивания персональных данных.[6]

В правительстве РФ одобрили право силовиков скрывать данные отдельных категорий граждан

В правительстве РФ одобрили право силовиков на «уточнение, извлечение, обезличивание, блокирование, удаление или уничтожение» данных отдельных категорий граждан. Об этом сообщили «Ведомости» со ссылкой на соответствующий документ.

Из него следует, что нововведение касается не всех, а только «отдельных категорий лиц», которые в первую очередь связаны с силовыми ведомствами. Категории будут детализированы в указе президента, а соответствующий порядок работы с данными определят нормативно-правовые акты (НПА) рангом ниже. Авторы законопроекта отмечают, что к июлю 2023 года эта сфера не урегулирована, в то время как в России и мире наблюдается «стремительное развитие технологий обработки данных (включая искусственный интеллект)».

Правительство одобрило право силовиков на «уточнение, извлечение, обезличивание, блокирование, удаление или уничтожение» данных отдельных категорий граждан

По мнению заместителя председателя правления Ассоциации юристов России Игоря Черепанова, действие инициативы будет распространяться на военнослужащих, судей, правоохранителей и граждан, ставшими участниками программы защиты свидетелей. Директор компании «Интернет-розыск» и OSINT-специалист Игорь Бедеров же считает, что большинство изменений законопроекта распространяться на очень небольшие группы граждан. Руководитель корпоративной практики Key Consulting Group Ангелина Севостьянова отмечает, что базы с персональными данными россиян могут использовать недружественные страны.

Чтобы инициатива была эффективной, нужна технологическая система маскирования данных, которая будет работать при несанкционированном доступе к информации, объясняет гендиректор компании «Киберполигон» Лука Сафонов. Такие инструменты используются в гражданском применении и позволяют при создании копии базы данных настроить правила копирования части информации так, что исходная информация будет заменена на похожую, но не соответствующую действительности, говорит он, например, можно при копировании заменить все номера телефонов клиентов на случайные наборы цифр, по структуре схожие с телефонными номерами, но целостность базы данных при этом нарушена не будет.[7]

В Роскомнадзоре рассказали о будущей модели работы с обезличенными персданными

В середине июня 2023 года в Роскомнадзоре рассказали о будущей модели работы с обезличенными персональными данными. Как заявил замглавы ведомства Милош Вагнер, служба поддерживает предложенную Минцифры РФ модель работы с данными, где личная информация граждан находится в защищенном контуре, без выноса наружу, с исследованием моделей и технологий, получаемых в результате использования подобных сведений.

«
Так будет минимизирован риск того, что вместо технологий искусственного интеллекта развитие получат сервисы «интернет-пробива и других разведок по открытым источникам», – пояснил он.
»

Роскомнадзор поддерживает предложенную Минцифры модель работы с данными, где личная информация граждан находится в защищенном контуре, без выноса наружу

По словам Вагнера, обезличенные данные все еще остаются персональными данными, поскольку характеризуют человека, может быть и без прямых идентификаторов. К июню 2023 года обмен обезличенными данными граждан уже идет, причем их владельцы ничего не могут сделать с этим, отметил представитель Роскомнадзора.

«
Тема развития бизнеса через доступ к персональным данным сейчас очень актуальна. Но мы должны сделать это так, чтобы граждане, чьими данными будут оперировать, не превратились в безмолвных и бесправных наблюдателей за тем, как их личная информация передается и распространяется, – сказал Милош Вагнер.
»

Ранее в июне 2023 года в Минцифры сообщили, что в ведомстве рассчитывают, что закон, который обязывает бизнес и государство формировать обезличенные датасеты для обучения ИИ, будет принят в весеннюю сессию Госдумы в 2023 году. Закон призван регулировать методику обезличивания.

К июню 2023 года в РФ реализуется проект по созданию национального «озера данных», которое должно систематизировать хранение и обработку данных для государственных аналитических сервисов, упростить госорганам и бюджетным организациям подготовку отчётов – благодаря автоматизированному формированию документов по заданным алгоритмам. Все собранные данные будут попадать в озеро в обезличенном виде.[8]

Роскомнадзор рассказал о первых запретах для бизнеса на передачу персональных данных россиян за рубеж

Роскомнадзор (РКН) вынес первые запреты компаниям в России на трансграничную передачу персональных данных. Об этом в ведомстве рассказали в середине июня 2023 года.

Как пишет РБК, новый порядок передачи персональных данных за рубеж начал действовать с 1 марта 2023 года. С этого момента компании для передачи таких данных в любую другую страну должны уведомлять Роскомнадзор. Исключения составляют подписавшие Конвенцию Совета Европы страны и включенные в перечень контрольного органа. Данные могут быть переданы, если в течение 10 дней после получения уведомления РКН не вынесет решение о запрете.

Роскомнадзор рассказал о первых запретах для бизнеса на передачу персональных данных россиян за рубеж

По словам представителя РКН, более чем за 3 месяца - с марта по середину июня 2023 года - поступило 589 таких уведомлений от российских операторов персональных данных, в семи случаях передача была запрещена или ограничена. Речь идет о финансовых и логистических компаниях, уточнил он, добавив, что решения о запрете и ограничении были вынесены из-за несоответствия цели трансграничной передачи персональных данных тем целям, которые были заявлены при сборе, а также их объёму и содержанию.

«
В частности, компании планировали передавать за рубеж личные данные соискателей, а также потенциальных клиентов для проверки их платёжеспособности, — пояснил представитель РКН.
»

Как предположил управляющий партнер юридической компании Enterprise Legal Solutions Юрий Федюкин, речь может идти не только о банках, но и о страховых компаниях, которые могут обмениваться данными о клиентах и заявителях в рамках процедур комплаенса и проверки контрагентов. Так, российские компании могут направлять эту информацию зарубежным партнерам и обратно, чтобы оценить платежеспособность, риски, в том числе санкционные, а также наличие непогашенной задолженности и других нарушений. Кроме того, данными клиентов могут обмениваться зарубежные компании и их «дочки» в России, которые рассматривают заявки на заключение кредитных и страховых договоров.[9]

Роскомнадзор будет контролировать хранение данных в сетях предприятий

1 сентября 2023 года вступят в силу поправки к закону «О связи», в соответствии с которым Роскомнадзор возьмет на себя обязательства по контролю за хранением информации владельцами технологических сетей связи. Об этом стало известно в начале апреля 2023 года.

Как пишут «Ведомости» со ссылкой на представителя Минцифры, у крупных корпораций есть свои технологические сети связи, которые используются не для предоставления услуг связи, но, например, для управления процессами на производстве.

Роскомнадзор возьмет на себя обязательства по контролю за хранением информации владельцами технологических сетей связи

Согласно документу Минцифры, владельцы технологических сетей связи обязаны хранить информацию о фактах приема, передачи, доставки и/или обработки голосовой информации, текстовых сообщений, аудио-, видео- и других электронных сообщений. Кроме того, хранению подлежит взаимодействие пользователей информационных систем (ИС), в том числе (с указанием точного времени) регистрация, прекращение регистрации, авторизация, изменение регистрационных данных, заказ, осуществление оплаты, получение, предоставление товаров, работ и услуг, получение справочной информации. Владельцы технологических сетей также должны будут хранить информацию о пользователях ИС, включая идентификатор пользователя в ИС, его регистрационные данные, номер телефона и адреса электронной почты, сетевые адреса, порта, местоположение, наименование программы клиента и идентификационную строку приложения пользовательского устройства.

Технологические сети связи образуют закрытую среду для передачи трафика, поступающего от инженерных и технологических систем, пояснил газете советник генерального директора ГК «Цифра» Андрей Яцков. На практике владельцами таких сетей связи являются операторы связи и крупные производственные компании. Согласно закону «О связи», технологические сети связи предназначены для обеспечения производственной деятельности организаций, управления технологическими процессами в производстве, соглашается юрист, преподаватель образовательной платформы Moscow Digital School Никита Данилов.[10]

2022

Минцифры разрешит компаниям самостоятельно обезличивать данные

7 октября 2022 года стало известно о том, что Министерство цифрового развития, связи и массовых коммуникаций РФ разрешит бизнесу самостоятельно обезличивать персональные данные российских пользователей перед передачей в Национальную систему управления данными (НСУД). Ведомство разработало соответствующие поправки в закон «О персональных данных».

Как пишут «Ведомости», утвержденная Правительством РФ концепция создания единой системы данных предполагала новый подход к работе с госданными с 2022 года: унификацию процессов их сбора, обработки, хранения и использования. В мае 2021-го Минэкономразвития и Минцифры подготовили законопроект о создании НСУД, которая как раз должна была бы выполнять эти функции. На платформе планировалось объединить данные из сотен госсистем, реестров и баз, чтобы ими могли обмениваться ведомства и бизнес. В мае 2022 года ведомства представили доработанную версию документа, в которой предлагалось предоставить бизнесу возможность на платной основе получать национальные данные и пользоваться инфраструктурой НСУД.

Минцифры планирует разрешить компаниям самостоятельно обезличивать данные

Закон об экспериментальных правовых режимах (ЭПР) предусматривал возможность использования обезличенных данных для обучения искусственного интеллекта (ИИ). Компании-разработчики и участники рынка больших данных, как предполагалось, смогут отрабатывать технологии и обучать модели на различных типах данных.

Директор по консалтингу ГК InfoWatch Ирина Зиновкина считает, что компаниям будет намного легче обезличивать обрабатываемые ими данные, чем единому будущему агрегатору обрабатывать поток данных ото всех.

Технический директор ИТ-компании HFLabs Никита Назаров добавил, что обезличивать данные самостоятельно и только потом передавать их в информационную систему надежней с точки зрения защиты от утечек. [11]

Путин поручил ввести возможность отказа от обработки персональных данных через Госуслуги

Президент России Владимир Путин поручил проработать возможность давать согласие на обработку персональных данных через Госуслуги и отзывать его. Эта информация опубликована на сайте Кремля 30 сентября 2022 года.

Правительство РФ должно будет представить предложения по внесению в законодательств изменений, направленных на расширение функционала единого портала государственных и муниципальных услуг. Предложения по расширению функционала ЕПГУ должны быть предоставлены до 15 ноября 2022 года.

Владимир Путин

Помимо возможности давать согласие на обработку персональных данных и отзывать такое согласие с помощью портала Госуслуг, к функционалу портала, согласно поручению Путина, необходимо добавить возможность размещения на сайте перечня согласий на обработку персональных данных, которые граждане давали различным структурам и организациям, в том числе при получении государственных, муниципальных и коммерческих услуг.

Еще одно поручение касается возможности реализации пилотного проекта по идентификации личности граждан в определенных жизненных ситуациях посредством использования мобильного приложения.

О необходимости ввести отзыв согласий на обработку персональных данных на Госуслугах глава Минцифры Максут Шадаев говорил на совещании президента РФ Владимира Путина с правительством в конце августа 2022 года.

«
Нам бы такую возможность отрегулировать так, чтобы у него в личном кабинете на портале Госуслуг был список всех согласий, которые он дал, и чтобы он мог отозвать каждое согласие, и организация, которая собрала у него эти данные, была обязана эти данные удалить. Здесь требуется немного законодательно отрегулировать данную историю, сделать реестр таких согласий, - отмечал министр. [12]
»

Минцифры предлагает создать реестр согласий на обработку ПДн с возможностью их отзыва через Госуслуги

1 сентября 2022 года Минцифры России предложило создать реестр согласий на обработку персональных данных, которые граждане отдают при получении различных услуг (в госорганах, банках, при оформлении программ лояльности и т.д.). На Госуслугах должна появиться возможность для отзыва таких согласий.

Пользователи смогут:

  • Видеть все отданные согласия на обработку своих персональных данных, кому и когда они были представлены;
  • Видеть состав персональных данных, которые хранятся в этих организациях;
  • Отзывать согласия;
  • Контролировать удаление своих персональных данных.

Эти функции будут доступны в личном кабинете пользователя на Госуслугах. Благодаря сервису гражданам будет легко всегда следить за тем, у кого есть право обрабатывать их персональные данные. Информация о новых отданных согласиях будет появляться автоматически.

Бизнес обяжут передавать властям данные клиентов без обезличивания

12 июля 2022 года стало известно о том, что бизнес могут заставить по запросу передавать правительству личную информацию граждан, обезличивать которую будет уполномоченный орган без согласия самого человека. Соответствующий законопроект подготовлен Минцифрой РФ.

Как отмечается, в первой версии законопроекта, прошедшей первое чтение в марте 2021 года, предусматривалось, что обезличивание данных могло происходить только с согласия человека, а бизнес мог затем их свободно использовать.

После этого Минцифры трижды вносило доработанный ко второму чтению законопроект в правительство. Третья версия включала требование для бизнеса передавать уже обезличенные данные государству.

Согласно последней версии документа, бизнес обязан передавать сведения государству по запросу. Для этого не требуется согласие субъекта персональных данных, то есть клиента.

Состав информации и цели ее использования будет определять правительство. Бесплатный доступ к ней получат госорганы, а также отечественные разработчики искусственного интеллекта.

Как отметил источник, законопроект в его текущем виде направлен на передачу персональных данных правительственным службам, а не на регулирование рынка обезличенных данных. Фактически, он направлен на монополизацию этого рынка государством[13].

Госдума одобрила в первом чтении закон о расширении доступа прокуратуры к персональным данным россиян

Госдума одобрила в первом чтении закон о расширении доступа прокуратуры к персональным данным россиян. Об этом стало известно 4 марта 2022 года.

По словам авторов, принятие законопроекта позволит «лучше контролировать депутатов и их семьи в рамках антикоррупционного закона».

Законопроект закрепляет право прокуратуры получать необходимую информацию, доступ к которой ограничен. Также ведомство получит право проводить обработку персональных данных, «полученных не только в связи с осуществлением прокурорского надзора, но и при осуществлении других полномочий и функций». Об этом сообщается на сайте Госдумы.

Как отмечают в кабинете министров, персональная информация необходима прокурорам для ведения статистики о состоянии преступности и для следственной работы. Персональные данные также обрабатывают при направлении запросов в иностранные банки, чтобы проверить соблюдение гражданами запрета открывать в них счета.

Персональные данные, которые будет обрабатывать прокуратура после принятия закона:

  • имя, фамилия, отчество;
  • расовая, национальная принадлежность;
  • политические взгляды, религиозные или философские убеждения;
  • сведения о состоянии здоровья (фактах потребления психоактивных веществ и постановки на учет в учреждениях здравоохранения) и интимной жизни.

Глава думского комитета по безопасности и противодействию коррупции Василий Пискарев рассказал, что законопроект учитывает изменения последних лет, произошедшие в антикоррупционном законодательстве.

«
Это расширит наши представления о состоянии преступности в стране и даст возможность лучше понимать, что ещё нужно изменить в законах для снижения количества тех или иных преступлений, - Василий Пискарев, глава думского комитета по безопасности и противодействию коррупции[14].
»

Чернышенко поручил открыть базы данных Россельхознадзора, ФНС и Росстата компаниям для создания ИИ-систем

В конце января 2022 года стало известно о данном Минцифры поручении вице-премьера Дмитрия Чернышенко разработать план по предоставлению бизнесу доступа к государственным обезличенным данным для обучения искусственного интеллекта. Предполагается, что первыми доступ к своим дата-сетам откроют Россельхознадзор, ФНС, Росстат, Минвостокразвития и Росреестр.

Чернышенко поручил открыть базы данных Россельхознадзора, ФНС и Росстата компаниям для создания ИИ-систем

О том, что Дмитрий Чернышенко поручил главе Минцифры Максуту Шадаеву до 1 февраля 2022 года представить согласованный план-график обеспечения доступа бизнеса к дата-сетам министерств и ведомств, пишет «Коммерсантъ» со ссылкой на документ, подготовленный по итогам совещания с руководителями цифровой трансформации министерств и ведомств. В пресс-службе Чернышенко подтвердили изданию эту информацию и сказали следующее:

«
Прорабатываются изменения в законодательство для предоставления разработчикам ИИ-решений доступа к государственным наборам данных, урегулирования вопросов обезличивания.
»

В Минцифры уточнили газете, что ведомство включило в план-график:

  • проведение стратегических сессий;
  • разработку стандартов для отраслевых решений с применением ИИ;
  • публикацию результатов внедрения ИИ в федеральных органах исполнительной власти;
  • создание единого хранилища (репозитория) наборов данных и регламентов работы с ними.

По мнению директора центра стратегического развития «Ланит-Интеграции» Павла Сварника, дата-сеты, аккумулированные государством в течение многолетнего цифрового взаимодействия с гражданами и юрлицами, — это источник бесконечной информации для бизнеса. Они позволят скорректировать тарифы по услугам, запустить востребованные сервисы, точнее спрогнозировать параметры инвестиционных проектов, а бизнес, в свою очередь, может взять на себя часть нагрузки по оказанию госуслуг, считает эксперт.[15]

2021

Путин поручил обеспечить гражданам право возражать против обработки персональных данных

В декабре 2021 года президент России Владимир Путин поручил обеспечить гражданам право возражать против обработки персональных данных. Об этом сообщает пресс-служба Кремля.

Уточняется, что Правительству РФ совместно с Банком России поручается подготовить и представить изменения, благодаря которым граждане в определенных случаях смогут «распоряжаться содержащейся в информационных системах информацией о своих хозяйственных операциях, в том числе персональными данными». Выполнить поручение необходимо до 1 июня 2022 года.

Владимир Путин поручил обеспечить гражданам право возражать против обработки персональных данных

9 декабря 2021 года Владимир Путин указал на то, что утечек персональных данных россиян слишком много, необходимо принять меры для обеспечения прав граждан. Необходимо изучить возможности для разработки дополнительных мер регулирования в данной сфере, уточнил глава государства. По словам главы государства, также следует «навести порядок» в вопросе слежки за россиянами, которую ведут интернет-платформы.

В середине декабря 2021 года Владимир Путин также поручил ускорить работу над поправками, которые предусматривают возможность давать компаниям, работающим в сфере искусственного интеллекта, доступ к обезличенным данным.

Поручение дано правительству и Госдуме, ответственные — премьер-министр Михаил Мишустин и спикер нижней палаты парламента Вячеслав Володин. Согласно поручению, необходимо ускорить подготовку изменений в законодательство, в соответствии с которыми органы власти смогут предоставлять организациям, разрабатывающим технологические решения с использованием искусственного интеллекта, и научным организациям доступ к «наборам обезличенных данных». При этом в поручении подчеркивается, что необходимо обеспечить безопасность и конфиденциальность персональных данных, в том числе обезличенных.

Срок исполнения поручения — 1 марта 2022 года.[16]

Минцифры определило показатели контроля за обработкой персональных данных

Министерство цифрового развития, связи и массовых коммуникаций РФ определило ключевые показатели контроля за обработкой персональных данных. Об этом стало известно в начале октября 2021 года.

В Минцифры пояснили ТАСС, что на законодательном уровне предлагается закрепить ключевой показатель федерального контроля за обработкой персональных данных, достижение которого будет иллюстрировать результативность контрольной (надзорной) деятельности. В соответствии с предлагаемыми целевыми показателями, начиная с 2022 года, доля лиц, в отношении которых будут выявляться нарушения законодательства, будет снижаться, что позволит минимизировать риски нарушения законодательства в области персональных данных, и, как следствие, повысить защищенность персональных данных наших граждан.

Минцифры определило показатели контроля за обработкой персональных данных

Как сообщает ТАСС со ссылкой на разработанный министерством документ, доля лиц, в отношении которых будут выявляться нарушения законодательства по итогам плановых проверок, в 2022 году составит 90%, в 2023 году — 89%, в 2024 году — 88%, в 2025 году — 87%, в 2026 году — 86%.

Документ разработан в связи с принятием закона «О государственном контроле (надзоре) и муниципальном контроле в РФ», согласно которому различных видов контроля станет меньше, а основной упор сделают на профилактику нарушений. Отмечается, что нововведение не потребует дополнительных расходов.

Документ дополняет положение разделом «VIII. Ключевые показатели федерального контроля и их целевые значения». Фигурирует один показатель:

«
Доля контролируемых лиц, в деятельности которых по итогам плановых проверок выявлены нарушения законодательства Российской Федерации в области персональных данных от общего числа контролируемых лиц, в отношении которых были проведены плановые проверки (%).[17][18]
»

ЦБ предложил дать возможность россиянам отзывать личные данные у бизнеса

ЦБ и банки выступили за создание в России платформы, позволяющей россиянам давать и отзывать согласия на обработку своих данных не только на "Госуслугах", но и у бизнеса. Об этом стало известно 10 сентября 2021 года. Такой реестр должен дать возможность бизнесу и участникам финансового рынка отслеживать, кто из клиентов и на что дает или отзывает те или иные согласия, а самим гражданам – возможность управлять своими согласиями.

Об этом сообщила РБК первый зампред ЦБ Ольга Скоробогатова.

«
Мы сделали такую платформу в рамках "Цифрового профиля", но она касается только предоставления информации с "Госуслуг", из госисточников. Мы двумя руками за то, чтобы такую платформу сделать для коммерческих согласий, — сказала Скоробогатова Ольга.
»

Как сообщил представитель Центробанка, в случае реализации проекта платформа позволит значительно упростить процесс предоставления данных из разных коммерческих источников с согласия гражданина и управлять этими согласиями. В регуляторе считают эту идею перспективной и целесообразной для реализации. По его словам, регулятор готов изучить этот вопрос на площадке АФТ[19].

Минцифры разработало порядок удаления обезличенных персональных данных

Как стало известно в начале сентября 2021 года, Министерство цифрового развития, связи и массовых коммуникаций РФ разработало порядок удаления обезличенных персональных данных. Документ определяет правила уничтожения информации участником экспериментального правового режима (ЭПР), когда действие такого статуса прекращается.

Как сообщает «РИА Новости» со ссылкой на соответствующий приказ Минцифры, он предусматривает сроки блокирования и уничтожения обезличенных данных, порядок фиксации их уничтожения и направления соответствующих документов в контролирующие и уполномоченные органы.

Минцифры представило порядок удаления обезличенных персональных данных

Согласно документу, в случаях прекращения статуса субъект ЭПР осуществляет блокирование обезличенных данных не позднее окончания рабочего дня, следующего за днем прекращения статуса, и уничтожает обезличенные данные в срок до семи рабочих дней с даты наступления такого случая. Для уничтожения обезличенных данных применяются прошедшие процедуру оценки соответствия средства защиты информации, в составе которых реализована функция уничтожения информации.

Факт уничтожения таких данных должен быть зафиксирован в акте, в котором указывается информация о дате, времени и месте его составления, о носителях обезличенных данных, о перечне и объеме уничтоженной информации, а также о средствах защиты информации, посредством которых осуществлено уничтожение. Этот акт должен быть направлен в Роскомнадзор и ФСБ в течение трех рабочих дней со дня уничтожения обезличенных данных.

К акту прилагаются копии документов, материалы и прочая информация, которая подтверждает факт уничтожения обезличенных данных. В случае непредоставления необходимых документов, контролирующий орган может принять решение о проведении в отношении субъекта экспериментального правового режима контрольных мероприятий.[20]

Роскомнадзор и ЦБ разъяснили требования к обработке персданных граждан

В начале августа 2021 года Центральный банк России и Роскомнадзор выпустили совместное письмо, в котором разъяснили требования к обработке персональных данных граждан финансовыми организациями.

Согласно документу, банкам и микрофинансовым организациям рекомендуется получать отдельное согласие заемщика на обработку персональных данных в отношении каждого лица, которое может иметь к ним доступ.

Практика показала, что некоторые кредиторы при выдаче потребительских кредитов и займов используют широкие формулировки: заёмщик одной подписью соглашается на передачу данных о себе не только кредитору, но и другим лицам. В результате эта информация может использоваться, в частности, для рекламы и других целей, не связанных с выдачей и обслуживанием кредита. Кроме того, её могут использовать даже после того, как клиент выплатил кредит, пояснили в ЦБ.

Роскомнадзор и ЦБ разъяснили требования к обработке персональных данных граждан

Роскомнадзор и ЦБ РФ напоминают, что обработка персональных данных должна ограничиваться достижением конкретных заранее определенных законных целей. В предоставляемом кредитору согласии должен быть установлен срок обработки данных. Недопустимо включение условия об автоматической пролонгации срока действия согласия на обработку персональных данных или указания на бессрочное действие согласия, говорится в письме финансового регулятора и надзорного органа.

Там же добавляется, что при предоставлении своих персональных данных и соответствующего согласия гражданин должен четко понимать, кому предоставляется согласие и данные, какие цели и задачи преследует финансовая организация, учитывая, что для исполнения условий договора предоставление человеком такого отдельного согласия не требуется.

Опрошенные «Коммерсантом» финансисты сочли рекомендации ЦБ избыточными. Необходимость получения отдельных согласий для каждого привлекаемого к процессам третьего лица может в этом смысле существенно усложнить процесс и сделать его громоздким как для клиента, так и для банка, сказал один из собеседников газеты.[21] [22]

Иностранных ИТ-гигантов обяжут открывать представительства в России

16 июня 2021 года появилась информация о том, что Госдума РФ одобрила во втором чтении законопроект, обязывающий крупные зарубежные ИТ-компании открывать свои представительства в России. Под действие закона попадают компании с ежедневной аудиторией в РФ от 500 тыс. человек. Такие организации должны будут с 1 января 2022 года создать филиалы, открыть представительства или учредить российские юридические лица, "которые должны в полном объеме представлять интересы головных компаний" и станут основным каналом взаимодействия с российским регулятором, говорится в документе.

Госдума одобрила во втором чтении законопроект, обязывающий иностранных ИТ-гигантов открывать свои представительства в России. Фото: tamlife.ru

Предварительный перечень интернет-ресурсов, владельцев которых могут обязать открыть в России филиалы или представительства, включает 20 платформ. В него входят соцсети (Facebook, Instagram, TikTok, Twitter), видеохостинги (YouTube, Twitch.tv), мессенджеры (WhatsApp, Telegram, Viber), почтовый сервис (Gmail), поисковики (Google, Bing.com), провайдеры хостинга (Amazon, Digital Ocean, Cloudflare, GoDaddy), онлайн-магазины (Aliexpress.com, Ikea.com, Iherb.com), а также Wikipedia.org. При этом данный список может корректироваться.[23]

Согласно законопроекту, компаниям потребуется зарегистрировать личный кабинет на сайте Роскомнадзора и использовать его для взаимодействия с властями, разместить на своём сайте форму для обращений жителей России и местных организаций (детали определит Роскомнадзор). Кроме того, ИТ-гигантам будет необходимо установить выбранный Роскомнадзором счетчик пользователей.

За отказ выполнить требования закона ИТ-компаниям будут грозить запрет на распространение рекламы, ограничение платежей и переводов денежных средств в адрес интернет-ресурса, запрет на сбор и передачу за рубеж персональных данных россиян, исключение из поисковой выдачи, а также частичная или полная блокировка ресурса-нарушителя.

Перечень иностранных ИТ-компаний, открывших представительства в России, будет доступен на сайте Роскомнадзора.

Законопроект был внесен в Госдуму 21 мая 2021 года.[24] Его авторами стали депутаты «Единой России» Александр Хинштейн, Сергей Боярский, Максим Кудрявцев, Антон Горелкин и сенатор России Алексей Пушков.[25]

Минцифры разрешит бизнесу обезличивать персональные данные россиян без их согласия

В конце мая 2021 года стало известно о новой версии законопроекта, регулирующего оборот обезличенных данных в России. Согласно документу, разработанному Министерством цифрового развития, связи и массовых коммуникаций РФ, компании получат возможность обезличивать данных россиян без их согласия. Это нововведение не коснется нескольких категорий граждан, в том числе сотрудников силовых ведомств, судей, потерпевших, свидетелей и иных участников уголовного судопроизводства.

Как пишет «Коммерсантъ» со ссылкой на обновленный законопроект Минцифры, в нем сохранилось требование для бизнеса передавать обезличенные данные государству «для государственного и муниципального управления». При этом оговаривается, что их передача разработчикам сервисов на базе искусственного интеллекта будет проводиться не ранее чем через три года. Данные разработчики будут получать бесплатно.

Минцифры позволит бизнесу обезличивать персональные данные россиян без их согласия

В Минцифры утверждают, что в новой версии учли некоторые предложения Ассоциации больших данных, в которую входят «Яндекс», VK (ранее Mail.ru Group), Сбербанк, Газпромбанк, Тинькофф-банк, Qiwi, МТС, «МегаФон», «ВымпелКом», «Ростелеком», oneFactor.

В законопроекте недостаточно информации о том, что считать обезличенными данными, как и в каком виде их надо передавать, и если принять документ, это «может привести к снижению приватности и безопасности данных пользователей», сообщили изданию в «Яндексе».

Опрошенные газетой эксперты называют новый вариант компромиссным: через три года коммерческая ценность данных уже будет исчерпана, но они все еще будет востребованы для разработки моделей ИИ.

По мнению члена комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Вадима Перевалова, отказ от требования получать согласие россиян на обезличивание персональных данных приближает Россию к европейскому регулированию.[26]

Роскомнадзор обязал Facebook и Twitter локализовать данные россиян до 1 июля

Зарубежные социальные сети, включая Facebook и Twitter, должны будут локализовать персональные данные российских пользователей, до 1 июля 2021 года. Об этом 26 мая заявил заместитель главы Роскомнадзора Милош Вагнер на итоговом заседании коллегии ведомства.

По его словам, в адрес компаний уже направлены требования о приведении их деятельности в соответствие с этим.

«
До 1 июля ожидаем информацию, как это требование исполняется, — добавил Вагнер (цитата по ТАСС Информационное агентство России).
»

Роскомнадзор обязал Facebook и Twitter локализовать данные российских пользователей до 1 июля

С 2015 года российские и иностранные компании обязаны хранить личную информацию россиян только на территории России. По словам Вагнера, к концу мая 2021 года около 600 иностранных компаний локализовали базы данных в России в соответствии с требованиями закона. Apple и Microsoft ранее обеспечили локализацию данных, эти требования также выполняют LG, Samsung, PayPal, Booking и другие компании.

Ранее Роскомнадзор возбудил административное производство против Facebook и Twitter, так как компании не предоставили информацию о локализации баз данных российских пользователей на серверах, расположенных на территории России. В феврале суд оштрафовал компании на 4 млн руб. каждую за нарушение части 8 статьи 13.11 КоАП («Нарушение законодательства РФ в области персональных данных»).

Кроме того, в мае 2021 года в Госдуму внесли законопроект, обязывающий иностранные ИТ-компании с ежедневной аудиторией в РФ от 500 тыс. человек открыть в стране свои филиалы. Если компании не выполнят это требование, им, в частности, могут запретить распространять рекламу, а также собирать персональные данные. Под действие этого требования могут попасть Facebook, Instagram, Twitter, TikTok, Google AdWords, YouTube, WhatsApp, Viber, Telegram, Steam и World Of Tanks.[27]

Минцифры разработало положение о госконтроле за обработкой персональных данных

20 мая 2021 года стало известно о разработанном Министерством цифрового развития, связи и массовых коммуникаций РФ положении организации и осуществлении государственного контроля за обработкой персональных данных. Соответствующий документ размещен на федеральном портале проектов нормативных правовых актов.

«
Утвердить прилагаемое положение о федеральном государственном контроле (надзоре) за обработкой персональных данных. Признать утратившим силу постановление правительства РФ от 13.02.2019 №146 «Об утверждении правил организации и осуществления государственного контроля и надзора за обработкой персональных данных». Установить, что реализация полномочий, предусмотренных настоящим постановлением, осуществляется Роскомнадзором в пределах установленной правительством РФ предельной численности работников центрального аппарата и территориальных органов Роскомнадзора, а также бюджетных ассигнований, предусмотренных Роскомнадзору на руководство и управление в сфере установленных функций, — сообщается в документе, выдержки из которого приводит ТАСС Информационное агентство России.
»

Минцифры представило положение о госконтроле за обработкой персональных данных

Согласно этой инициативе, Роскомнадзор установит контроль над деятельностью операторов и третьих лиц, действующих по поручению оператора, а также ее результатами. Служба отнесет поднадзорные объекты к одной из категорий риска причинения вреда: значительный, средний, умеренный или низкий. Также будут регламентированы частота и тип проверок.

В ведомстве также отметили, что согласно проекту постановления, при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных применяется система оценки и управления рисками.

В Минцифры считают, что реализация проекта будет способствовать повышению защищенности персональных данных граждан и снижению правонарушений в этой сфере. Постановление вступает в силу 1 июля 2021 года.[28]

Паспортные данные и суммы выигрыша игроков казино будут передавать в ФНС

В конце апреля 2021 года стало известно о приказе Федеральной налоговой службы (ФНС), согласно которому персональные данные игроков казино и залов игровых автоматов должны быть переданы ведомству для дальнейшего размещения их в специальном реестре. Налоговики получат полные имена, паспортные данные, ИНН и сумму выигрыша игроков. Подробнее здесь.

Минцифры против создания новой системы сбора данных о россиян

Министерство цифрового развития, связи и массовых коммуникаций РФ выступило против создания новой системы сбора данных о гражданах. Об этом стало известно в начале апреля 2021 года.

Как поясняет «Коммерсантъ», ведомство считает излишней передачу в систему Роскомнадзора информации интернет-пользователей, которая размещена на портале госуслуг, и попросило доработать проект приказа «Об утверждении правил использования информационной системы Роскомнадзора». В этом документе говорится о единой информационной системе для управления персональными данными россиян, сбора и отзыва их согласий на обработку данных из соцсетей, с сайтов объявлений и из открытых реестров.

Минцифры подвергло критике предложенную Роскомнадзором систему сбора данных россиян

В Минцифры считают, что сбор согласия на отправку личных данных пользователей должен быть добровольным, а инициативу следует доработать, но перед этим изменения обсудить с бизнесом. В ведомстве не видят причин, чтобы тратить дополнительные деньги на создание еще одной системы сбора и хранения данных.

Предлагаемая Роскомнадзором система рассчитана как раз на хранение информации, так как в проекте приказа указано, что ведомство будет хранить сведения, содержащиеся в согласии, говорит преподаватель Moscow Digital School Олег Блинов. Плюсом, по его словам, выглядит то, что и Роскомнадзор, и министерство пока настаивают на исключительно добровольном использовании системы предоставления согласия. Но в перспективе ведомство может ужесточить требования к формату сбора согласий сервисами в ходе проверок.

«
В результате они будут вынуждены подключиться к госуслугам для облегчения регистрации пользователей, — добавил Блинов.
»

Директор Deloitte Legal в СНГ Екатерина Портман отмечает, что добровольность является одним из базовых принципов согласия на обработку персональных данных, но неясно, как оценить ситуацию, когда гражданин хочет зарегистрироваться в соцсети или на иной площадке, распространяющей данные, и отказывается предоставить согласие на их обработку.[29]

Роскомнадзор разработал правила использования системы для обработки персональных данных

23 марта 2021 года стало известно о разработанных Роскомнадзором правилах пользования ИТ-системой, которую можно будет применять для дачи и отзыва согласия на обработку персональных данных.

Как сообщает «Интерфакс» со ссылкой на опубликованный ведомством документ, для использования системы обработки персональных данных в ней нужно будет зарегистрироваться, указав следующие данные:

  • ФИО;
  • дату рождения;
  • паспортные данные;
  • место жительства или регистрации;
  • номер телефона;
  • адрес электронной почты,
  • иностранец или апатрид.

При этом оператор данных должен указать наименование или ФИО (для индивидуальных предпринимателей и физлиц), адрес, а также регистрационные сведения, в том числе ОГРН, ИНН и код(ы) классификаторов по направлениям деятельности.

Роскомнадзор представил правила использования системы для обработки персональных данных

Вся эта информация верифицируется в том числе с помощью системы идентификации ЕСИА, и только после этого регистрация считается завершенной и предоставляется доступ к личному кабинету на сайте Роскомнадзора. В системе обеспечивается подача и отзыв согласия оператора, формирование реестра записей о поданных, полученных и отозванных согласиях, регистрация действий должностных лиц Роскомнадзора, возможность направления им запросов или требований об устранении выявленных нарушений в области персональных данных и др.

Роскомнадзор предлагает ввести обязанность оператора персональных данных компенсировать ущерб их утечки в соответствии с нанесенным вредом. Такое предложение прозвучало 23 марта 2021 года на заседании межфракционной рабочей группы Госдумы по борьбе с киберпреступностью.

По данным Роскомнадзора, только 17% обманутых в Сети попытались возбудить уголовное дело, и 83%, когда у них были утрачены данные, или когда они были каким-то образом обмануты, не обращаются в МВД.[30]

Минцифры планирует разрешить продажу обезличенных данных россиян

В начале марта 2021 года стало известно о предложении Минцифры использовать обезличенные персональные данные россиян «в том числе для предпринимательской деятельности». Ведомство разработало поправки к проекту федерального закона «О внесении изменений в ФЗ «О персональных данных», который был принят Госдумой в первом чтении 16 февраля 2021 года.

Согласно предложенным Минцифры поправкам, обезличивание персональных данных может осуществляться только с согласия субъекта или в иных случаях, предусмотренных законодательством России в области персональных данных.

Минцифры собирается разрешить продажу обезличенных данных россиян

По задумке министерства, бизнес сможет свободно обрабатывать обезличенные данные. При этом для обеспечения защиты персональных данных россиян предлагается ввести ряд ограничений для операторов, которые обрабатывают данные. Например, оператор не сможет использовать иную информацию, действия и методы, которые помогут определить принадлежность персональных данных конкретному субъекту.

Кроме того, будет запрещено в дополнение к обезличенным данным передавать третьим лицам информацию, которая позволит идентифицировать конкретного человека. Под запретом окажется деобезличивание данных, за исключением случаев, когда необходимо защитить жизнь или здоровье человека.

«
Законопроект позволит повысить эффективность системы защиты прав субъектов персональных данных – наших граждан, а также даст возможность бизнесу использовать данные, полученные в результате обезличивания. При этом права россиян на безопасную обработку и сохранение их персональных данных будут соблюдены, — заявил временно исполняющий обязанности директора департамента информационной безопасности Минцифры Дмитрий Реуцкий.
»

Как отмечает РБК, Минцифры предлагает компаниям использовать обезличенные персональные данные россиян при условии, что не будет попыток установить личность их владельца. Но опрошенные изданием эксперты считают, что проследить за этим будет сложно.[31]

Принятие закона об увеличении штрафов за нарушение правил обработки персональных данных

10 февраля 2021 года Госдума приняла в третьем (окончательном) чтении законопроект об увеличении вдвое штрафов за нарушение правил обработки персональных данных. Изменения будут внесены в статью 13.11 Кодекса об административных правонарушениях (КоАП) «Нарушение законодательства РФ в области персональных данных».

Как сообщает ТАСС Информационное агентство России со ссылкой на текст поправок, обработка персональных данных в случае, если это не предусмотрено законодательством, повлечет штрафы:

  • для граждан — от 2 тыс. до 6 тыс. рублей;
  • для должностных лиц — от 10 тыс. до 20 тыс. рублей;
  • для юридических лиц — от 60 тыс. до 100 тыс. рублей.

В РФ принят закон об увеличении штрафов за нарушение правил обработки персональных данных

За повторное нарушение закона штрафы составят:

  • для граждан — от 4 тыс. до 12 тыс. рублей;
  • для должностных лиц — от 20 тыс. до 50 тыс. рублей;
  • для индивидуальных предпринимателей — от 50 тыс. до 100 тыс. рублей;
  • для юридических лиц — от 100 тыс. до 300 тыс. рублей.

Следующее наказание предусмотрено за обработку персональных данных без согласия, данного в письменной форме:

  • для граждан — размере от 6 тыс. до 10 тыс. рублей (прежде было от 3 тыс. до 5 тыс. рублей);
  • для должностных лиц — от 20 тыс. до 40 тыс. рублей (прежде — от 10 тыс. до 20 тыс. рублей);
  • для юридических лиц — от 30 тыс. до 150 тыс. рублей (прежде — от 15 до 75 тыс. рублей).

Как отмечает агентство, перечисленные положения добавили в законопроект, изначально направленный на введение штрафов только за нарушение закона об устойчивом интернете в России.

Этот законопроект — логичное и понятное продолжение политики, направленной на защиту цифрового суверенитета страны, отметил глава Комитета по информационной политике, информационным технологиям и связи Александр Хинштейн.

«
Я хочу сказать, заведомо понимая, что скажут коллеги из оппозиционных фракций, что законопроект устанавливает ответственность за неисполнение требований уже существующего закона, в том числе этот закон вводит административную ответственность, синхронизирующуюся с ранее принятым нами законом о противодействии цензуры в интернете, — подчеркнул он.[32][33]
»

Рос­комнад­зор раз­ра­ботал новые тре­бова­ния к обработке персональных данных

В конце января 2021 года стало известно о разработанном Роскомнадзором приказе «Об установлении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

Согласно требованиям Роскомнадзора, сог­ла­сие пот­ре­буют офор­млять на рус­ском язы­ке. Оно дол­жно со­дер­жать ФИО, но­мер те­лефо­на, ад­рес элек­трон­ной поч­ты или поч­то­вый ад­рес субъ­ек­та владельца персональных данных, а так­же наи­ме­нова­ние и ад­рес опе­рато­ра, по­лучаю­ще­го сог­ла­сие.

Рос­комнад­зор раз­ра­ботал новые тре­бова­ния к обработке персональных данных

В форму документа, обеспечивающего согласие на обработку персональных данных, будет включен раздел «специальные персональные данные». Это сведения о судимости, национальности, расовой принадлежности, отношении к религии, а также философское мировоззрение, которого придерживается гражданин.

Кроме того, в согласии будет строчка о политических взглядах, состоянии здоровья и интимной жизни. Наконец, в раздел биометрических данных войдут ДНК, изображение радужной оболочки глаза, дактилоскопическая информация, цветное фото и запись с образцом голоса, а также фотоизображение рисунка вен ладони в инфракрасном диапазоне.

Также согласие должно включать срок, в течение которого оно действует, а также сведения об информационных ресурсах оператора, посредством которых он будет передавать доступ к данным неограниченному кругу лиц.

Оформлять согласие можно будет как в форме электронного документа с помощью информационного сервиса, так и в рукописном виде.

Роскомнадзор предлагает оформлять согласие по форме с указанием отчества, мобильного телефона и электронного или почтового адреса - это будет сложно, поскольку оператор должен очень постараться, чтобы собрать все требуемые данные, сообщила ComNews ассоциированный партнер Rödl & Partner в России Татьяна Вуколова.[34]

2020

Госдума приняла закон, запрещающий распространять персональные данные граждан без их согласия

Госдума приняла в третьем, окончательном чтении закон о запрете распространения персональных данных граждан без их специального согласия. В законе (N1057337-7) прописана процедура обязательного согласования на обработку персональных данных россиян любым оператором данных. Об этом стало известно 23 декабря 2020 года. Подробнее здесь.

Минцифры поддержало ужесточение регулирования персональных данных, а бизнес — нет

В начале декабря 2020 года Ассоциация больших данных (АБД), объединяющая крупнейшие ИТ-компании, банки и операторов связи, попросили Госдуму не принимать законопроект депутата Антона Горелкина об ужесточении регулирования персональных данных.

Этот законопроект предполагает запрет на размещение и распространение общедоступных персональных данных операторами без согласия пользователей. Также предлагается обязать операторов удалять персональные данные россиян и менять параметры разрешения по их обработке по первому запросу.

Как пишет «Коммерсантъ» со ссылкой на письмо, которое АБД отправила главе комитета Госдумы по информполитике Александру Хинштейну, одна из претензий заключается в том, что законопроект может привести к дополнительным расходам площадок на доработку интерфейсов. В этом случае российские ресурсы окажутся в невыгодном положении, так как контролировать соблюдение требований иностранцами будет невозможно, считают в ассоциации.

Минцифры поддерживает ужесточение регулирования персональных данных, а бизнес нет

В отзыве АБД также говорится, что, если пользователь дает двум социальным сетям согласие на обработку данных, но с разными параметрами, это создает правовую неопределенность при использовании данных.

Минцифры РФ, как сообщил замглавы ведомства Олег Иванов в ходе совещания в Совете Федерации 4 декабря 2020 года, поддерживает законопроект о регулировании общедоступных персональных данных, но просит отсрочить до середины 2021 года создание специальной ИТ-системы, через которую граждане будут подавать согласие на обработку таких данных.

«
Такая система в настоящее время не готова. Роскомнадзор как уполномоченный орган в своем ответном письме попросил, что с учетом необходимости подготовки и ввода его в эксплуатацию предусмотреть срок вступления указанных положений с 1 июня 2021 года. Затруднений в создании такой системы нет, но нужно время для того, чтобы такую систему создать, — сказал Иванов (цитата по ТАСС Информационное агентство России).[35]

[36]

»

Минцифразвития предложило разработать механизм отзыва согласия на обработку персональных данных

6 февраля 2020 года стало известно, что Министерство цифрового развития, связи и массовых коммуникаций РФ предложило разработать механизм, позволяющий гражданам отзывать свое согласие на обработку персональных данных. Помимо прочего, это позволит им защитить себя от спама, считают в министерстве.

Намерение создать механизм отзыва согласия на обработку персональных данных озвучил глава Минкомсвязи Максут Шадаев на заседании комитета Госдумы по информационной политике, информационным технологиям и связи.

«
У меня, как у абонента, нет возможности пожаловаться (на телефонный спам – ред.), а у оператора – обязанности эти жалобы учитывать и блокировать такие звонки. То же самое касается большого количества SMS-уведомлений, писем в почте. Мы должны предусмотреть механизм, чтобы от тех, кто это отправляет, был простой и доступный механизм отписки,
»

По словам Шадаева, на февраль 2020 года пользователи дают свое согласие на сбор и обработку данных, подписывают документы, но в случае чего отозвать это согласие не могут ввиду отсутствия соответствующего механизма. Поэтому нужно обеспечить гражданам возможность смотреть, кому они дали право использовать свои персональные данные, и отзывать согласие на их обработку, уверен министр.

«
Мы должны придумать и проработать схему, чтобы видеть список организаций, кому мы дали согласие на использование персональных данных, и как мы можем это согласие отозвать, блокируя дальнейшую возможность их использования,
отметил Шадаев
»

Пока что механизм только прорабатывается, и никакой конкретики в данном вопросе нет. Как предположил министр, спам-звонки и SMS-сообщения могут в будущем блокироваться оператором связи[37].

2019

Госдума одобрила во втором чтении проект о хранении личных данных

19 ноября 2019 года Государственная Дума приняла во втором чтении законопроект, существенно увеличивающий штраф за отказ хранить персональные данные россиян на серверах на территории РФ. Подробнее здесь.

Утверждены правила организации и осуществления контроля за обработкой персональных данных

16 февраля 2019 года стало известно, что Правительство РФ утвердило правила организации и осуществления государственного контроля и надзора за обработкой персональных данных (ПД). Соответствующий документ опубликован на портале правовой информации.

Правила устанавливают порядок организации и проведения проверок юрлиц и индивидуальных предпринимателей – операторов персональных данных, а также иных лиц, являющихся операторами ПД.

Действие правил не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, установленных в соответствии со ст. 19 Федерального закона «О персональных данных».

Согласно документу, контроль и надзор будет осуществлять Роскомнадзор и его территориальные органы. Под контролем и надзором подразумеваются меры по предупреждению, выявлению и пресечению нарушений операторами ПД положений закона `О персональных данных`, включающие проведение плановых и внеплановых проверок, принятие мер по пресечению и (или) устранению последствий выявленных нарушений, проведение мероприятий по контролю без взаимодействия с операторами, проведение мероприятий по профилактике нарушений.

Как указывается в постановлении, операторы ПД будут уведомляться о плановой проверке за три рабочих дня до ее начала, о внеплановой – не менее чем за 24 часа. Документ также описывает правила организации различных видов проверок и порядок их проведения; права и обязанности должностных лиц при осуществлении государственного контроля и надзора; порядок оформления результатов проверки; меры, принимаемые в отношении фактов нарушения требований; правила организации и проведения мероприятий по профилактике нарушения требований; досудебный (внесудебный) порядок обжалования решений и действий (бездействия) должностных лиц[38].

2017: Роскомнадзор расширит список стран, защищающих персональные данные

Роскомнадзор опубликовал в мае проект приказа, расширяющего список стран, которые не являются членами Конвенции Совета Европы о защите физлиц при обработке персональных данных, но обеспечивают адекватную защиту прав субъектов таких данных.

Регулятор предлагает исключить из перечня Сенегал и включить Коста-Рику, Катар, Мали, Сингапур, ЮАР, Габон и Казахстан.

В страны из этого списка, помимо стран-участниц Конвенции, допускается трансграничная передача персональных данных. В иных случаях операторам необходимо запрашивать письменное согласие у регуляторов.

Проверки компаний Роскомнадзором

2019

Роскомнадзор оштрафовал операторов персональных данных на 2,6 млн руб.

24 октября 2019 года стало известно, что по итогам проверок, проведенных в период с января по сентябрь 2019 года, Роскомнадзор выявил более 2,4 тыс. нарушений со стороны операторов персональных данных. Как сообщается на сайте регулятора, по результатам принятых мер было составлено 4 тыс. административных протоколов и наложено штрафов на общую сумму 2,6 млн руб.

За указанный период по результатам плановых и неплановых проверок Роскомнадзор и его территориальные органы выявили 1 942 нарушения в сфере защиты прав субъектов персональных данных. Наиболее частым нарушением стало представление в Уполномоченный орган уведомления об обработке персональных данных с неполными или недостоверными сведениями.

Также было выявлено 456 нарушений законодательства о персональных данных в интернете. Больше всего нарушений допускали здравоохранительные учреждения (92 нарушения), государственные и муниципальные органы (82 нарушения), образовательные учреждения (71 нарушение) и организации ЖКХ (61 нарушение). Чаще всего организации не опубликовали на сайтах и не обеспечивали доступ к документу, определяющему их политику в отношении обработки персональных данных, а также не предоставляли сведения о реализуемых требованиях к защите персональных данных[39].

Роскомнадзор завел дела на Twitter и Facebook

Роскомнадзор 20 января объявил о том, что начинает административное производство в отношении Twitter и Facebook. Полученные ответы компаний об исполнении закона о локализации баз персональных данных российских пользователей на территории РФ не удовлетворили службу.

Ранее глава Роскомнадзора Александр Жаров сообщал ТАСС Информационное агентство России о том, что в декабре 2018 г. направил в компании уведомления о необходимости соблюдения законодательства РФ в области пользовательских данных. По его словам, компании должны были предоставить юридически значимые ответы либо не ответить, что означает "нет". В случае отрицательного ответа глава Роскомнадзора пообещал возбудить административные дела и оштрафовать корпорации на 5000 руб. Срок, в течение которого они должны будут локализовать базы данных, – от шести месяцев до года. На данный момент компании пока не локализовали свои базы данных пользователей в России.

2017: Роскомнадзор проконтролирует обработку и обмен всеми персональными данными

В России осуществлять госконтроль за обработкой персональных данных поручили Роскомнадзору. Соответствующее постановление правительства подготовлено в мае 2017 года Минкомсвязи.

Проект постановления правительства о порядке госконтроля за обработкой персональных данных опубликовало Минкомсвязи. После того, как документ вступит в силу, Роскомнадзор получит доступ ко всем российским информационным системам, в которых содержатся и обрабатываются персональные данные. Пресс-служба министерства отмечает: «В статью 23 закона «О персональных данных» внесены изменения, которые наделили правительство полномочием определять порядок проведения проверок в области обработки персональных данных».

Новые полномочия дадут регулятору право не только проверять сервера операторов, но и производить оценку соответствия заявленным целям содержания, объема, способа обработки, сроков хранения персональных данных. Согласно проекту, Роскомнадзор будет контролировать и обработку данных, и оказание услуг и продажи товаров, где «предметом являются персональные данные и (или) деятельность по их обработке».

Когда документ вступит в силу, Роскомнадзор получит доступ не только к серверным помещениям, техническим средствам и программному обеспечению информационных систем персональных данных (ИСПДн), но и к самим персональным данным.

В соответствии с новым порядком, при проведении проверки Роскомнадзор будет вправе:

  • Запрашивать любую информацию, документы и локальные акты, связанные с исполнением требований законодательства в области персональных данных;
  • Проводить обследования помещений и информационных систем персональных данных;
  • Выдавать обязательные для выполнения предписания об устранении нарушений;
  • Использовать специальную технику и оборудование;
  • Получать доступ к ИСПДн (в том числе, к самим персональным данным);
  • Запрашивать документы, подтверждающие принятие оператором мер по выполнению требований законодательства, проверять и оценивать эти меры;
  • Выдавать обязательные для исполнения требования о блокировании, уничтожении, приостановлении обработки ПДн;
  • Составлять протоколы об административных правонарушениях;
  • Обращаться в правоохранительные органы и органы прокуратуры в случае препятствия осуществлению проверки;

Проведение внеплановой проверки возможно в следующих случаях:

  • На основании решения руководителя Роскомнадзора;
  • В случае неисполнения предписания об устранении нарушения;
  • По результатам рассмотрения обращений граждан;
  • В случае нарушения, выявленного по итогам мероприятий систематического наблюдения;
  • На основании представления органа прокуратуры;

2016: Microsoft, Samsung и HP в плане проверок

11 января 2016 года стало известно о планах Роскомнадзора проверить больше десяти зарубежных и российских ИТ- и интернет-компаний на предмет выполнения требований закона о локализации персональных данных граждан РФ.

Как сообщает «Интерфакс» со ссылкой на пресс-службу Роскомнадзора, в 2016 году ведомство проверит порядок хранения персональных данных россиян в российских представительствах Microsoft (проверка намечена на март), Samsung и HP (август).

Кроме того, аналогичные проверки пройдут в социальной сети «ВКонтакте», интернет-магазине «Озон» (ООО «Интернет Решения»), рекрутинговых компаниях SuperJob и HeadHunter, интернет-магазинах LaModa (ООО «Купишуз») и Wildberries, а также в сервисе онлайн-бронирования гостиниц «Островок.ру» и ЗАО «Суп Медиа» (входит в холдинг Rambler & Сo).

Роскомнадзор проверит хранение персданных Microsoft, Samsung и HP

В общей сложности планируется провести около 1 тыс. проверок на локализацию данных пользователей. Помимо ИТ- и интернет-компаний, будет изучена деятельность банков, страховых компаний и ритейлеров. Что касается иностранных компаний, не имеющих представительств в нашей стране (например, Facebook и Apple), к 11 января 2016 года они не упоминаются Роскомнадзором.

В 2015 году ведомство проверило 302 компании, грубых нарушений не было выявлено. Работающим на российском рынке организациям, которые не хранят персональные данные россиян на серверах, расположенных на территории РФ, грозит штраф в размере до 300 тыс. рублей и блокировка сайта. Компания-нарушитель помещается в специальный реестр (его оператором является Роскомнадзор) и выплачивает штраф только по решению суда.[40]

2015: Объявление о намерениях проводить проверки

10 ноября 2015 года стало известно о планах Роскомнадзора инициировать проверки ИТ-компаний на предмет следования закону о запрете хранения персональных данных россиян за рубежом.

Как сообщал «Интерфакс» со ссылкой на главу Роскомнадзора Александра Жарова, в 2016 году ведомство было намерено проверить социальные сети, финансовые институты, интернет-магазины и другие сервисные компании, которые используют трансграничную передачу информации.

Роскомнадзор проверит компании, обрабатывающие персональные данные

Хотя закон, обязывающий компании хранить и обрабатывать данные свои российских клиентов только на серверах внутри РФ, вступил в силу 1 сентября 2015 года, к 10 ноября Роскомнадзор так и не получил от Facebook и Twitter ответ на официальный запрос о том, выполняют ли эти сервисы законодательное требование. Жаров не уточнил, попадут ли Faсebook и Twitter в список проверяемых компаний на 2016 год, и отметил, что полный перечень будет опубликован в декабре 2015-го.

«Будем терпеливо ждать. Обе соцсети проинформированы о том, что Роскомнадзор считает, что они обрабатывают данные россиян. Это следует из сути их пользовательских соглашений. Рано или поздно они будут проверены», — сказал Александр Жаров.

По его словам, в 2016 году планируется проверить более 300 компаний и сосредоточиться при этом на тех, кто относится к интернет-экономике. Кроме того, проверкам подвергнутся те компании, в отношении которых поступают жалобы пользователей, подозревающих, что их персональные данные «неадекватно защищены и используются неправомерно».

В 2015 году Роскомнадзор намерен проверить на предмет следования закона в общей сложности свыше 300 компаний, среди которых — «Военно-страховая компания» и «Скартел».[41]

Разъяснения Минкомсвязи

Перед вступлением новых правил о локализации хранения и отдельных процессов обработки персональных данных в силу Минкомсвязи подготовило и опубликовало перечень разъяснений.

Пояснительная записка

Это потребовалось в связи с тем, что отдельные термины и формулировки, использованные в тексте данного положения, не имеют законодательных дефиниций и допускают различные толкования. Кроме того, по причине новизны концепции локализации персданных, возникает ряд вопросов относительно соотношения данного положения с иными нормами ФЗ «О персональных данных».

В ведомстве констатируют, что образовалась правовая неопределенность относительно порядка исполнения требований ФЗ-242: многие организации не понимают, какие изменения им необходимо внести в свою ИТ-инфраструктуру и (или) бизнес-процессы для того, чтобы исполнить закон, особенно если такая инфраструктура носит трансграничный характер. Заблаговременные разъяснения необходимы, поскольку от правильного понимания содержания ряда понятий и механизма реализации положений о локализации напрямую зависит объем затрат, которые должны понести организации для исполнения требований закона.

Перечень разъяснений подготовлен на основании информации, полученной от представителей бизнеса, научного сообщества и органов государственной власти РФ ( Совет Федерации РФ, Минкомсвязи РФ, Роскомнадзор). Большая часть данных вопросов также выступала предметом дискуссий на серии закрытых встреч, проведенных Роскомнадзором в феврале-марте 2015 года.

Сфера действия ФЗ-242 по территории и кругу лиц

В связи с трансграничным характером сети Интернет, обеспечивающей возможность приобретения товаров и услуг у иностранных лиц, возникает вопрос, при каких условиях требования ч. 5 ст. 18 ФЗ «О персональных данных» распространяются на иностранные организации, не имеющие физического присутствия на территории РФ.

ФЗ «О персональных данных» не содержит специальных положений, регламентирующих сферу его действия по территории и кругу лиц. В связи с этим для решения вопроса необходимо обратиться к положениям иных законов. В соответствии с ч. 1 ст. 15 ФЗ «Об информации, информационных технологиях и защите информации» на территории РФ использование информационно-телекоммуникационных сетей осуществляется с соблюдением требований российского законодательства в области связи, настоящего ФЗ и иных нормативных правовых актов РФ. Таким образом, действие российских законов, включая ФЗ «О персональных данных», по общему правилу, ограничено территорией РФ.

Вместе с тем, при осуществлении деятельности в интернете, который не позволяет четко обозначить географические границы, необходимо установление специальных критериев, при которых деятельность может быть отнесена к осуществляемой на территории РФ. Одной лишь доступности интернет-сайта на территории РФ недостаточно для вывода о том, что на него распространяется законодательство РФ, в том числе о пер данных, поскольку в таком случае сфера его применения носила бы по существу всемирный характер и делала бы практически невозможным контроль за его исполнением, поясняют в Минкомсвязи.

В связи с этим в международном частном праве и законодательстве о защите прав потребителей (ст. 1212 Гражданского кодекса РФ), с которым тесно связано законодательство о персональных данных, был выработан критерий направленности деятельности лица на территорию РФ как условия применения законодательства РФ к отношениям с иностранным субъектом. Аналогичный критерий используется и в европейской практике (Ст. 15(1)(с) Регламента ЕС № 44/2001 от 22 декабря 2000 г. «О юрисдикции, признании и исполнении судебных решений по гражданским и торговым делам»; ст. 6 Регламента EC № 593/2008 от 17 июня 2008 «О праве, применимом к договорным отношениям»; Ст. 3 (2) Draft EU General Data Protection Regulation).

В данном случае действие ФЗ «О персональных данных» будет направлено на интернет-ресурсы (сайт в интернете, страница сайта интернете), с использованием которых лицо осуществляет направленную на территорию РФ деятельность, которые могут быть заблокированы в установленном порядке при несоблюдении их владельцем, являющимся резидентом иностранного государства требований ФЗ «О персональных данных».

О наличии направленности интернет-сайта на территорию РФ могут свидетельствовать следующие обстоятельства:

  • использование доменного имени, связанного с РФ или ее субъектом РФ (.ru, .рф., .su, .москва., moscow и т.п.)
  • наличие русскоязычной версии интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом (использование на сайте или самим пользователем плагинов, предоставляющих функционал автоматизированных переводчиков с различных языков не должно приниматься во внимание).

При этом, поскольку русский язык широко используется в некоторых странах за пределами РФ, для определения направленности интернет-сайта именно на территорию РФ дополнительно необходимо наличие как минимум одного из следующих элементов: возможности осуществления расчетов в российских рублях; возможности исполнения заключенного на таком интернет-сайте договора на территории РФ (доставки товара, оказания услуги или пользования цифровым контентом на территории России), использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту, или иных обстоятельств, явно свидетельствующих о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию.

Таким образом, обязанности по локализации отдельных процессов обработки персданных распространяются на иностранных операторов при условии осуществления ими направленной деятельности на территорию РФ и отсутствии исключений, прямо указанных в ч. 5 ст. 18 ФЗ «О персональных данных» (например, международного договора, для достижения целей которого осуществляется обработка).

Сфера действия ФЗ-242 во времени

В Минкомсвязи отмечают, что у представителей бизнеса достаточно много вопросов возникает в связи с возможной обратной силой ФЗ-242 и распространением его действия на процессы обработки перс данных, имевших место до вступления его в силу.

В соответствии с устоявшимися правовыми принципами придание обратной силы правовым нормам, ухудшающим правовое положение лиц и устанавливающим новые обязанности, является, по общему правилу, недопустимым. Исключение составляют случаи, когда обратная сила прямо предусмотрена в законе. ФЗ-242 не содержит подобного рода положений. Соответственно, обязанность по локализации, предусмотренная ч. 5 ст. 18 ФЗ «О персональных данных», распространяется на отношения по обработке персональных данных, которые возникнут после вступления его в силу.

Таким образом, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ в рамках сбора, который будет осуществляться, начиная с 1 сентября 2015 года, должны производится с учетом новых требований ФЗ №152-ФЗ, а именно с использованием баз данных, находящихся на территории РФ.

Понятие сбора персональных данных

Формулировка ч. 5 ст. 18 ФЗ «О персональных данных» связывает обязанность оператора по обеспечению локализации с процессом сбора персональных данных. В связи с этим важное значение приобретает определение понятия «сбора» персональных данных, поскольку от него напрямую зависит размер затрат, которые необходимо понести для адаптации ИТ-систем, задействованных в процессе обработки персональных данных, к требованиям ФЗ-242.

Обязанности по локализации отдельных процессов обработки персданных возникают лишь при их сборе. Из ч. 1 ст. 18 ФЗ «О персональных данных», посвященной обязанностям оператора при их сборе, можно сделать вывод, что под сбором можно понимать целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц. Таким образом, локализации подлежат только те персональные данные, которые были получены оператором в результате осуществляемой им целенаправленной деятельности по организации сбора таких данных, а не в результате случайного (незапрошенного) попадания их к нему, например, вследствие получения писем по электронной или иной почте, в которых содержатся персональные данные.

Аналогичным образом, не является сбором получение одним юрлицом персональных данных от другого юрлица, если такие данные представляют собой контактную информацию работников или представителей такого юридического лица, переданную в ходе осуществления ими своей законной деятельности». Следует также отметить, что при осуществлении субъектом сбора информации, содержащей персональные данные, и ее последующей обработки с использованием вычислительных мощностей, предоставленных иным лицом, ответственность за соблюдение требований ч. 5 ст. 18 ФЗ «О персональных данных» лежит на указанном субъекте, учитывая целенаправленный характер его деятельности по сбору и обработке соответствующей информации.

Правовые основания обработки ПДн

Соотношение требования о локализации отдельных процессов обработки персональных данных с положениями о трансграничной передаче персональных данных

Вопрос о допустимости, а также об условиях допустимости хранения, обработки персональных данных граждан РФ за рубежом неизменно возникал в ходе любой дискуссии, связанной с принятием ФЗ-242, говорят в Минкомсвязи. Во многом это обусловлено новизной самой концепции локализации персональных данных, а также рядом заявлений и комментариев, сделанных в медийном пространстве по поводу несовместимости требований о локализации процессов хранения персональных данных на территории РФ с возможностью их обработки за рубежом. Вместе с тем от наличия четких разъяснений по данному вопросу зависит функционирование не только трансграничных компаний на российском рынке, но и ряда отечественных компаний, которые оптимизируют свои затраты посредством использования зарубежных ИТ-сервисов.

В соответствии с ч. 5 ст. 18 ФЗ «О персональных данных» сбор персональных данных, их обновление и изменение должны производиться с использованием баз данных, расположенных на территории РФ, за исключением случаев, указанных в пунктах 2, 3, 4, 8 ч. 1 ст. 6 ФЗ «О персональных данных». Однако при этом следует иметь в виду, что изменения в ФЗ «О персональных данных», внесенные ФЗ-242, не затронули положений закона о трансграничной передаче данных. Соответственно передача персональных данных за пределы РФ возможна, как и ранее, с соблюдением условий, указанных в ст. 12 ФЗ «О персональных данных».

Тем самым требование о локализации отдельных процессов обработки персональных данных, содержащееся в ч. 5 ст. 18 ФЗ «О персональных данных», следует толковать в системном единстве с положениями ст. 12 о трансграничной передаче данных и с учетом определения данного понятия, содержащегося в п. 11 ст. 3: «передача персональных данных на территорию иностранного государства иностранному лицу: органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу». Таким образом, персональные данные гражданина РФ, первоначально внесенные в базу данных на территории РФ и актуализируемые в ней («первичная база данных»), могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных.

Такие вторичные базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр. При этом при передаче персональных данных за границу иному оператору ответственность за действия, совершаемые в отношении переданных персональных данных, несет такой оператор в соответствии с применимым к нему законодательством. Предоставление удаленного доступа к базам данных, находящихся на территории РФ, с территории другого государства ФЗ-242 не запрещается.

Ответы на часто задаваемые вопросы

Гражданство

  • Как следует определять гражданство субъекта персональных данных для целей выполнения требований локализации?

Вопрос о порядке определения гражданства субъектов персональных данных не урегулирован в нормативном порядке. Законодатель тем самым предоставил возможность оператору персональных данных самостоятельно решать данный вопрос исходя из специфики его деятельности. Если же этот вопрос не был решен оператором самостоятельно, то возможно применение ч. 5 ст. 18 ФЗ «О персональных данных» ко всем персональным данным, сбор которых был осуществлен на территории РФ.

Авиаперевозки

  • Распространяются ли требования, предусмотренные ч. 5 статьи 18 ФЗ «О персональных данных» (в редакции Закона 242-ФЗ) на деятельность авиаперевозчиков, их уполномоченных агентов, а также иных лиц, в части обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов?

Из положений частей 2 и 3 статьи 105 Воздушного кодекса РФ, договор воздушной перевозки пассажира следует, что договор воздушной перевозки груза или почты удостоверяется соответственно билетом и багажной квитанцией в случае перевозки пассажиром багажа, грузовой накладной, почтовой накладной. Билет, багажная квитанция, иные документы, используемые при оказании услуг по воздушной перевозке пассажиров, могут быть оформлены в электронном виде (электронный перевозочный документ) с размещением информации об условиях договора воздушной перевозки в автоматизированной информационной системе оформления воздушных перевозок. Таким образом, авиаперевозчикам в целях реализации вышеуказанных положений закона, требуется осуществление деятельности по обработке персональных данных пассажира в целях оформления документов, удостоверяющих заключение договора воздушной перевозки.

В соответствии со ст. 85.1 Воздушного кодекса РФ, в целях обеспечения авиационной безопасности перевозчики обеспечивают передачу персональных данных пассажиров воздушных судов в автоматизированные централизованные базы персональных данных в соответствии с законодательством РФ о транспортной безопасности и в области персональных данных, а при международных воздушных перевозках также - в уполномоченные органы иностранных государств в соответствии с международными договорами РФ или законодательством иностранных государств вылета, назначения или транзита. При этом следует иметь в виду, что РФ является стороной ряда международных конвенций в области авиаперевозок, которые также составляют неотъемлемую часть правового регулирования деятельности авиаперевозчиков и связанных с нею информационных процессов.

Исходя из вышеизложенного, требования ч. 5 ст. 18 ФЗ «О персональных данных» не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им перевозочных документов, так как они подпадают под исключение, предусмотренное п. 2 ч. 1 ст. 6 ФЗ «О персональных данных». Требования ч. 5 ст. 18 ФЗ «О персональных данных» также не распространяются на деятельность лиц, действующих от имени авиаперевозчика (уполномоченный агент) и иных лиц, в части обработки персональных данных граждан-пассажиров исключительно для целей бронирования, оформления и выдачи им перевозочных документов.

Кадры

  • Имеет ли право работодатель (при наличии письменного согласия субъекта персональных данных) на трансграничную передачу персональных данных своих работников?

Учитывая, что ФЗ «О персональных данных» не предусмотрен запрет на передачу персональных данных, в том числе трансграничную, если такая передача осуществляется в соответствии с законодательством РФ, считаем возможным трансграничную передачу указанной категории персональных данных.

  • Распространяется ли требование закона об обязательной обработке ПД граждан РФ с использованием баз данных, находящихся на территории РФ, на работодателя, который обрабатывает персональные данные своих работников с целью соблюдения норм трудового законодательства РФ и у которого в силу специфики работы возникает необходимость обработки ПД своих работников с использованием баз данных, находящихся за пределами РФ?

В случае, если обработка персональных данных подпадает под исключения, предусмотренные пунктами 2, 3, 4, 8 части 1 статьи 6 ФЗ «О персональных данных», положения части 5 статьи 18 152-ФЗ не применяются. Соответствующую квалификацию действий по обработке персданных и обеспечение их соответствия требованиям законодательства должен осуществлять сам оператор персональных данных. Корректность упомянутой квалификации и обеспечения обработки в конкретной ситуации проверяется уполномоченным федеральным органом при проведении контрольных мероприятий.

Врачебная тайна и персональные данные

Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.

Товары и услуги

  • Смогут ли граждане РФ размещать свои ПД в удобном для них формате и пользоваться услугами, предлагаемыми на мировом рынке товаров, работ, услуг (например: туризм (бронирование), заказ товаров, банковские услуги и т.п.)?

Считаем, что, изменения, вносимые в законодательство РФ Федеральным законом №242-ФЗ, не препятствуют российским гражданам получать за пределами РФ услуги, в случае, если эти услуги предусматривают обработку их персональных данных за пределами РФ, в соответствии с международным договором или в соответствии с федеральным законом, либо в рамках иных исключений, на которые не распространяется норма части 5 статьи 18 152-ФЗ.

Трансграничность

  • Применяется ли закон экстерриториально и должны ли те лица (в том числе нерезиденты РФ), которым операторы или непосредственно сами субъекты ПД (граждане РФ) направляют ПД, на законных основаниях также обрабатывать их на территории РФ?

В соответствии с принципами международного права внутреннее законодательство государства действует исключительно на территории такого государства и не распространяется на нерезидентов государства, находящихся на территории иного государства. Аналогичная норма о том, что федеральные законы действуют на территории РФ, содержится также в статье 4 Конституции России. Таким образом, ФЗ-242, уточняющий порядок обработки персональных данных в информационно-телекоммуникационных сетях, не распространяются на нерезидентов РФ, находящихся и действующих на территории иных государств.

  • Ратификация РФ конвенции Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера может привести к конфликту между законом и конвенцией: «сторона не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой стороны, с единственной целью защиты частной жизни». Следует ли в данной ситуации следовать положениям закона или конвенции?

Из совокупности положений части 5 статьи 18 ФЗ «О персональных данных» и пункта 2 части 1 статьи 6 этого же закона следует, что обработка персональных данных в целях и в соответствии с требованиями, установленными ратифицированной РФ конвенции Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера не противоречит законодательству РФ, регулирующему отношения в области защиты персональных данных. Кроме того, часть 5 статьи 18 152-ФЗ не ограничивают трансграничную передачу персональных данных граждан РФ.

  • Распространяется ли закон на ПД граждан РФ, которые были переданы на законном основании для их обработки за пределы территории РФ до его вступления в силу?

Закон распространяется на правоотношения, возникшие после его вступления в силу, если иное не определено в самом законе. В ФЗ-242 не имеется указаний на иной порядок распространения его норм во времени. Если персональные данные граждан РФ были правомерно собраны до вступления в силу ФЗ-242, они могут находится в неизменном виде за границей.

Вместе с тем, в случае, если после вступления в силу ФЗ-242 были собраны персональные данные, в результате обработки которых, в том числе в отношении ранее собранных персональных данных, стали осуществляться действия, предусмотренные частью 5 статьи 18 Федерального закона «О персональных данных» (запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение), то в отношении и таких, ранее собранных персональных данных оператор обязан производить упомянутые действия с использованием баз данных, находящихся на территории РФ. Указанную позицию разделяет Государственно-правовое управление президента РФ.

  • Если субъект персональных данных дал свое согласие оператору на обработку его ПД в базах ПД за пределами РФ, позволяет ли это оператору на основании такого волеизъявления субъекта ПД вести обработку ПД в базах за пределами РФ?

Само по себе это не является основанием для осуществления указанных действий.

  • В ФЗ-242 существует формулировка «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего ФЗ». Накладывает ли закон запрет на последующую обработку (после сбора, например, составление отчетности, анализ данных и т.д.) персональных данных в базах данных, расположенных за пределами РФ?

Закон не предусматривает понятия «первичный сбор», а устанавливает требования к обработке персональных данных при любом сборе информации, при этом выделяя такие операции с ПД, как уточнение (обновление, изменение) информации, содержащей персональные данные. В целях закона в процесс сбора информации включены также процедуры хранения и накопления информации, что само по себе не позволяет использовать такое понятие, как «первичный сбор».

Таким образом, закон налагает на оператора обязанность при осуществлении обработки собранных персональных данных путем систематизации, накопления, хранения, уточнения, извлечения, использовать базы данных, находящиеся на территории РФ. Если для составления отчетности, либо анализа информации, содержащей персональные данные, оператору требуется осуществить упомянутые формы обработки персональных данных, то такие действия должны осуществляться с использованием баз данных, находящихся на территории РФ.

  • Насколько обоснована трактовка закона, согласно которой оператор персональных данных обязан обеспечить запись, систематизацию, накопление, хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, только при (первичном) сборе персональных данных, а последующая обработка с использованием баз данных, находящихся не на территории РФ, а также трансграничная передача данных третьему лицу не запрещается?

Трактовка в части первичного сбора является неверной по следующим основаниям. Закон не предусматривает понятия «первичный сбор», а устанавливает требования к обработке персональных данных при любом сборе информации, при этом выделяя такие операции с ПД, как уточнение (обновление, изменение) информации, содержащей персональные данные. В целях закона в процесс сбора информации включены также процедуры хранения и накопления информации, что само по себе не позволяет использовать такое понятие, как «первичный сбор». Таким образом, закон налагает на оператора обязанность при осуществлении обработки собранных персональных данных путем систематизации, накопления, хранения, уточнения, извлечения, использовать базы данных, находящиеся на территории РФ.

  • Распространяется ли требование локализации на случаи внесения персональных данных российских граждан в базы данных, которые расположены за пределами РФ, если такие персональные данные ранее уже были локализованы в соответствии с ФЗ-242?

Актуальность данного вопроса обуславливается частым наличием в рамках одной организации множества баз данных, в которых может осуществляться обработка персональных данных. Также нередко сбор персональных данных первоначально осуществляется в «бумажной» форме c последующим их занесением сотрудником организации в общекорпоративную электронную базу данных, расположенную за рубежом.

Возложение на оператора обязанности по локализации каждой из таких баз данных приводит к существенному возрастанию затрат, не сопровождающихся усилением защиты субъектов персональных данных (поскольку их данные уже были локализованы на территории РФ). К тому же, в некоторых случаях особенности построения информационной инфраструктуры компании не позволяют осуществить локализацию всех баз данных без кардинальной перестройки своей глобальной инфраструктуры.

Как следует из текста ч. 5 ст. 18 ФЗ «О персональных данных», обязанность оператора обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории РФ, считается исполненной, когда указанные действия были совершены при сборе персональных данных с использованием базы данных, находящейся на территории РФ. При этом, статья не содержит указания на то, что такие действия должны совершаться исключительно с использованием баз данных, размещенных на территории России.

В связи с этим, если в отношении определенного набора персональных данных уже были ранее выполнены требования ФЗ-242, повторная локализация таких персональных данных не требуется, поскольку цели закона уже достигнуты. Соответственно, если персональные данные были при сборе записаны в базу данных, расположенную на территории РФ, то впоследствии такие персональные данные могут вноситься работником (представителем) оператора в принадлежащую ему электронную базу данных, находящуюся за пределами РФ.

  • Возможно ли хранить персональные данные (ПД) граждан РФ за ее пределами при условии наличия дублирующей (копии) базы ПД граждан РФ на территории РФ (и наоборот, когда база ПД за пределами РФ является копией (или частью) базы данных, сформированной и находящейся на территории России?), либо обработка ПД на территории другого государства в принципе запрещена?

В соответствии с положениями пункта 7 части 4 статьи 16 Федерального закона №149-ФЗ[42] от 27 июля 2006 года, обладатель информации, оператор информационной системы в случаях, установленных законодательством РФ, обязаны обеспечить нахождение на территории России баз данных, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ.

В Минкомсвязи считают, что принимая во внимание также положения части 5 статьи 18 Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных» (вступающей в силу с 1 сентября 2015 года, обработка ПД граждан РФ на территории другого государства может осуществляться исключительно в случаях, предусмотренных пунктами 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных», для которых имеется изъятие в части 5 статьи 18 152-ФЗ. Следует также учитывать, что законодательно не имеет разделений на «основную» базу персональных данных и ее «копию». В обоих случаях речь идет о базе данных, с помощью которой обрабатываются персональные данные. Вместе с тем, ФЗ не содержит указаний на общий запрет обработки персональных данных граждан РФ с использованием баз данных, не находящихся на территории России.

В этой связи в Минкомсвязи считают, что обработка персональных данных граждан РФ посредством сбора, записи, систематизации, накопления, хранения, уточнения, извлечения может осуществляться с использованием баз данных, не находящихся на территории РФ в следующих случаях:

  • если такая деятельность подпадает под случаи, предусмотренные пунктами 2–4, 8 части 1 статьи 6 152-ФЗ;
  • если такая деятельность не подпадает под случаи, предусмотренные пунктами 2–4, 8 части 1 статьи 6 152-ФЗ, и на территории РФ находятся используемые для такой обработки персональных данных базы данных, в которых содержится больший объем персональных данных или равный находящемуся за пределами территории РФ (в этом случае недопустимо нахождение за пределами территории РФ персональных данных, которые одновременно не находятся в пределах ее территории).

Терминология

  • Принимая во внимание пояснительную записку к закону, где говорится, что целью такового является совершенствование института обработки персональных данных граждан РФ в информационно-телекоммуникационных сетях, необходимо уточнить, относятся ли требования закона ко всем лицам, отвечающим понятию «оператор» по смыслу ст. 3 ФЗ РФ №152-ФЗ от 27.07.2006 г., или только к операторам, чьим основным видом деятельности может быть признана обработка ПД с использованием информационно-телекоммуникационных сетей?

В соответствии с положениями пункта 2 статьи 3 ФЗ «О персональных данных», оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Таким образом, положения ФЗ-242 распространяются на всех вышеуказанных субъектов. Принятый ФЗ не привязывает распространение части 5 статьи 18 152-ФЗ только к операторам, где обработка персональных данных является их основным видом деятельности, либо к операторам, обрабатывающим персональные данные только с использованием информационно-телекоммуникационных сетей.

  • В пояснительной записке к законопроекту, а также при освещении поправок прессой было упомянуто, что целью законопроекта является ограничение обработки персональных данных исключительно посредством сети Интернет, при этом финальная версия законопроекта, которая была принята Госдумой, содержит в себе более расширительное и неоднозначное толкование данной нормы. Действительно ли закон распространяется на любую обработку персональных данных (а не только в сети интернет) и, если нет, то планируются ли к принятию какие-либо законопроекты, уточняющие этот момент?

В соответствии с положениями пункта 2 статьи 3 ФЗ «О персональных данных», оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, положения ФЗ-242 распространяются на всех вышеуказанных субъектов.

Принятый ФЗ не привязывает распространение части 5 статьи 18 152-ФЗ только к операторам, где обработка персональных данных является их основным видом деятельности, либо к операторам, обрабатывающим персональные данные только с использованием информационно-телекоммуникационных сетей. В существующих планах законопроектной деятельности не предусмотрена разработка проекта ФЗ, корректирующего это положение.

  • Что понимается под сбором персональных данных в контексте требований закона?

152-ФЗ указанный термин не раскрывает. В целях толкования под сбором персональных данных можно понимать документально оформленную процедуру получения оператором от субъекта его персональных данных, для их последующей обработки в соответствии с заявленными целями сбора. Схожее определение содержится в статье 2 Модельного закона о персональных данных, принятого на XIV пленарном заседании Межпарламентской Ассамблеи государств-участников СНГ постановлением от 16 октября 1999 года №14-19 (Сбор персональных данных - документально оформленная процедура получения держателем персональных данных от субъектов этих данных).

  • Новые требования (п.5 статьи 18) звучат «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ…». Означает ли это, что эти требования распространяются исключительно на процесс сбора, но не распространяются на любые последующие действия с персональными данными?

Вышеуказанные требования закона распространяются, в том числе, и на обработку оператором полученных в результате сбора персональных данных, а именно запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение.

  • Уточните, пожалуйста, в нормативных актах понятие персональных данных в связи с тем, что в законе это достаточно размыто.

Существующее понятие, содержащееся в пункте 1 статьи 3 152-ФЗ («любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»), соответствует международному праву – подпункт «а» статьи 1 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, ратифицированной Федеральным законом №160-ФЗ от 19 декабря 2005 года («любая информация об определенном или поддающемся определению физическом лице»). Более точно определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым. Закон также не содержит полномочий по уточнению этого термина подзаконными актами.

  • Учитывая, что с использованием баз данных, находящихся в России, оператор при сборе ПД обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ, а понятие «обработка персональных данных» помимо этих действий включает в себя также сбор, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД, правильно ли мы понимаем, что такая обработка ПД, как сбор, использование, передача, обезличивание, блокирование, удаление, уничтожение, возможна с использованием баз данных, находящихся за пределами РФ? Просьба уточнить, какие именно действия входят в понятие «использование персональных данных».

Понимание правильное. 152-ФЗ термин «использование персональных данных» не раскрывает. В целях толкования под «использованием персональных данных» можно понимать действия с персональными данными, не относящиеся к иным формам обработки персональных данных, в том числе принятие решений на основе персональных данных, для осуществления которых был осуществлен сбор персональных данных (цель сбора персональных данных должна соответствовать цели использования персональных данных).

  • Согласно п. 2 статьи 3 закона № 152-ФЗ понятие «оператор» включает в себя юридическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПД, а также определяет цели обработки ПД, состав ПД, подлежащих обработке, действия, совершаемые с ПД. В случае если юридическое лицо лишь отчасти соответствует этому определению (например, не осуществляет обработку ПД, а только определяет цели обработки ПД), считается ли такое юр. лицо оператором ПД?

Понятие «оператор» содержится в статье 3 закона №152-ФЗ, под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Принимая во внимание, что статья 3 Закона №152-ФЗ не содержит исключений в части осуществления лицом отдельных операций по обработке персональных данных, а равно иных определений, отличных от оператора, лицо, определяющее цель обработки персональных данных, либо осуществляющее отдельные действия по обработке персональных данных в контексте положений закона №152-ФЗ является оператором, осуществляющим обработку персональных данных.

Смотрите также

Примечания

  1. Федеральный закон №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»
  2. Минцифры предусмотрело два варианта для обезличивания персональных данных
  3. Силовикам разрешили шифроваться
  4. Что официально считать биометрией — проект постановления
  5. ВС отказался признать электронную почту персональными данными
  6. Обозначены новые подходы к обезличиванию больших данных
  7. В правительстве поддержали право силовиков редактировать базы данных отдельных категорий граждан
  8. Роскомнадзор обозначил позицию по использованию обезличенных данных
  9. РКН вынес первые запреты на передачу персональных данных россиян за рубеж
  10. Роскомнадзор будет контролировать хранение данных в сетях предприятий
  11. Минцифры хочет разрешить бизнесу самостоятельно обезличивать данные
  12. Перечень поручений по итогам совещания с членами Правительства
  13. Бизнес обяжут передавать властям данные клиентов без обезличивания
  14. Госдума одобрила в первом чтении закон о расширении доступа прокуратуры к персональным данным россиян
  15. Ведомственные базы обезличенных данных откроют бизнесу
  16. Перечень поручений по итогам конференции «Путешествие в мир искусственного интеллекта»
  17. Минцифры предлагает установить ключевые показатели контроля за обработкой личных данных
  18. Паспорт проекта О внесении изменения в положение о федеральном государственном контроле (надзоре) за обработкой персональных данных
  19. ЦБ предлагает дать возможность россиянам отзывать личные данные у компаний
  20. Минцифры разработало порядок удаления обезличенных персональных данных
  21. Информационное письмо о согласиизаемщиков на обработку их персональных данных
  22. phttps://www.kommersant.ru/doc/4927617?utm_source=yxnews&utm_medium=desktop&nw=1628008193000 Личные данные — в каждые руки. Оборот информации о банковских клиентах ужесточается]
  23. Госдума приняла во втором чтении законопроект о регулировании IT-гигантов
  24. Законопроект №1176731-7 О деятельности иностранных лиц в информационно-телекоммуникационной сети "Интернет" на территории Российской Федерации
  25. Госдума одобрила во втором чтении законопроект, обязывающий крупные ИТ-компании открывать представительства в России
  26. Граждане в общих чертах. Государство соберет обезличенные данные
  27. Facebook, Twitter и другие соцсети должны локализовать базы данных россиян до 1 июля
  28. Минцифры разработало положение о контроле за обработкой персональных данных
  29. База без данных. Минцифры выступило против создания новой системы по сбору информации о россиянах
  30. РКН разработал правила использования системы для обработки персональных данных
  31. Минцифры предложило разрешить торговлю обезличенными данными россиян Но эксперты указывают на риск роста числа утечек и ужесточения правил
  32. Дума увеличила штрафы за нарушения при обработке персональных данных
  33. Госдума увеличивает штрафы за нарушение правил обработки персональных данных
  34. Персональным данным добавят конкретики
  35. Минцифры поддержало ужесточение регулирования персональных данных, а бизнес — нет
  36. Бизнес высказался общедоступно. Компании раскритиковали законопроект о персональных данных
  37. Минкомсвязи придумает, как защитить россиян от спама
  38. Правительство РФ утвердило правила осуществления госконтроля за обработкой ПД
  39. Роскомнадзор оштрафовал операторов связи на 2,6 млн руб.
  40. Роскомнадзор проверит Microsoft на локализацию данных пользователей
  41. Роскомнадзор активизирует проверку компаний на предмет локализации данных
  42. Федеральный закон №149 от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации»