В России действует отдельный закон, в соответствии с которым различные организации и физлица должны осуществлять операции с персональными данными — ФЗ № 152. В соответствующий правовой акт периодически законодатель вносит изменения. В частности, 1 сентября 2015 года в силу вступили нормы ФЗ № 242, после издания которого в ФЗ № 152 появился ряд принципиально новых норм. В чем они заключаются? Кто обязан исполнять соответствующие положения законодательства?
Что представляет собой ФЗ о персональных данных?
Следует особо акцентировать внимание на этом принципиальном моменте: закон 242-ФЗ, вступивший в силу с 1 сентября 2015 года, является нормативным актом, который внес изменения в другой, основополагающий источник права — ФЗ № 152, принятый в июле 2006 года. Таким образом, формулировки, содержащиеся в законе № 242, следует рассматривать исключительно в контексте тех норм, что содержатся в ФЗ № 152.
Основополагающий правовой акт — ФЗ № 152, установил в законодательстве РФ такие правовые категории, как:
- персональные данные;
- оператор соответствующих сведений;
- обработка персональных данных.
Под первой правовой категорией законодатель предписывает понимать любую информацию, что прямо или косвенно относится к физическому лицу. Это могут быть, например, его Ф.И.О., персональные данные, контактные сведения.
Под второй правовой категорией в законе понимается государственный или муниципальный орган власти, организация или физическое лицо, которые самостоятельно либо в ходе взаимодействия с иными субъектами осуществляют процедуру обработки данных, а также определяют их состав и операции с ними.
Под третьей правовой категорией законодатель предписывает понимать любую операцию либо их последовательность, что имеют отношение к персональным данным и осуществляются посредством применения средств автоматизации или же без них.
Основные операции с персональными данными, определенные законом № 152: сбор, запись, хранение, корректировка, использование, передача, блокирование, удаление. Указанные правовые категории, в принципе, на момент принятия могли считаться довольно новыми для правовой системы РФ. До того оборот персональных данных регламентировался российским законодательством достаточно поверхностно.
Новизна ФЗ № 152
Закон о персональных данных, принятый в РФ, был призван, таким образом, приблизить отечественную правовую систему к мировым стандартам обеспечения конфиденциальности обмена информацией — прежде всего, представленной в электронном виде и используемой в рамках онлайновых коммуникаций. Но ФЗ № 152 в равной степени создал правовую среду также для обеспечения защиты различных офлайновых данных.
В соответствии с данным нормативно правовым актом было определено несколько классов персональных данных, которые требовали применения определенных алгоритмов защиты. Кроме того, ФЗ № 152 установил нормы, в соответствии с которыми оборот различных данных мог осуществляться в специализированных информационных системах — тех, которые требовали особенно высокой квалификации администраторов, а также получения ими лицензий на осуществление операций с персональными данными.
Несмотря на то что ФЗ № 152 был издан в 2006 году, на практике его основные положения операторам персональных данных стало обязательно применять только с 1 июля 2011 года. С того момента в соответствующий источник права, как мы отметили выше, периодически вносились различные корректировки. В частности, те, что были утверждены федеральными властями посредством Закона 242-ФЗ. Рассмотрим его особенности подробнее.
Особенности применения правового акта
Федеральный закон 242-ФЗ «О персональных данных» (точнее, «О внесении изменений в акты в части уточнения обработки данных») установил положение, в соответствии с которым операторы стали обязаны осуществлять обработку и хранение сведений только на серверах, что размещены на территории России. Либо если это офлайновые персональные данные — размещать их в базах данных, что находятся в РФ. Отметим, что в законе 242-ФЗ прописан ряд исключений относительно указанной нормы — которые, в свою очередь, отражены в положениях ФЗ № 152.
Еще один нюанс применения закона заключается в том, что посредством его законодатель также внес изменения не только в основной правовой акт, регулирующий операции с персональными данными, но и в другие источники. А именно в законы 149 «Об информации», а также 249 («О защите юрлиц и ИП при государственном и муниципальном контроле»).
В российских СМИ активно тиражировалась информация о том, что Роскомнадзор — ведомство, отвечающее за обеспечение соответствия деятельности операторов данных положениям ФЗ-242 «О защите персональных данных», в 2016 году будет проводить проверки крупнейших поставщиков IT-решений, которые осуществляют деятельность в РФ. В частности, говорилось о том, что цель Роскомнадзора — узнать, выполняют ли предписания рассматриваемого закона такие бренды, как Microsoft, «Вконтакте», HeadHunter, LaModa. Предполагалось, что ведомство выполнит порядка 1 тыс. различных проверок.
Инициированные федеральными властями посредством издания ФЗ № 242-ФЗ изменения о персональных данных в основном законе могли предопределить необходимость проведения крупнейшими операторами значительного обновления аппаратного и программного обеспечения. Но данная задача должна быть решена брендами, иначе, при несоответствии используемой ими инфраструктуры требованиям рассматриваемого закона, Роскомнадзор может наложить штраф на компанию.
Значительную роль в проверках, как предполагается, должны сыграть пользователи различных IT-решений. В случае если они начнут подозревать, что их данные не вполне надежно защищены, то сведения о сервисе, который задействуется при операциях с соответствующими данными, могут быть переданы пользователями непосредственно в Роскомнадзор. Который, в свою очередь, должен будет инициировать проверку сервиса на предмет соответствия нормам закона 242-ФЗ.
Полезно будет рассмотреть то, какова сфера действия рассматриваемого источника права.
Закон № 242: сфера действия источника права
Главный дискуссионный момент в данном случае — то, распространяется ли юрисдикция ФЗ-242 «О защите персональных данных» на иностранные фирмы, которые, с одной стороны, оказывают услуги российским пользователям, с другой, располагаются за пределами РФ как с юридической точки зрения, так и в плане задействуемой инфраструктуры.
Отдельных положений в рассматриваемом законе, которые бы однозначно определяли географию его действия, законодатель не утвердил. Поэтому, в целях нахождения ответа на рассматриваемый вопрос, необходимо обращаться к иным правовым актам.
Так, в соответствии с законом об информации, действующим в РФ, применение на территории России различных типов коммуникационной инфраструктуры должно осуществляться с учетом норм, утвержденных в законодательстве РФ. Таким образом, если следовать данной норме, то можно прийти к выводу, что Федеральный закон № 242-ФЗ распространяется все же только на те сервисы, которые однозначно задействуют инфраструктуру, что размещена в России.
Определение деятельности оператора персональных данных в России
Важнейший критерий определения юрисдикции рассматриваемого источника права — направленность деятельности бренда, владеющего тем или иным сервисом. Если тот или иной сайт преимущественно обслуживает российских пользователей, то он должен считаться объектом регулирования с точки зрения применения норм закона № 242. Тот факт, что сервис направлен на получение персональных данных граждан РФ, может устанавливаться исходя из того, что:
- в структуре адреса сайта используется домен .ru, .su, .рф или, например, .москва;
- контент сайта выполнен на русском языке;
- на страницах портала есть наличие возможности вступить в правоотношения с сервисом с использованием форм договоров, составляемых в соответствии с Гражданским кодексом РФ.
На практике операторами данных, которые попадают под юрисдикцию ФЗ № 242, могут быть самые разные структуры — например, кадровые службы предприятий, банки, call-центры. Все они обязаны обеспечивать соответствие своей деятельности требованиям закона, о котором идет речь.
Закон № 242 с точки зрения применения его обратной силы
Закон № 242-ФЗ о внесении изменений в ФЗ № 152 был издан позже, чем появился собственно сам ФЗ № 152, а также предыдущие поправки к нему, однако обусловил возникновение необходимости в дополнительной интерпретации положений основного правового акта. В частности, в среде юристов появилась дискуссия о том, следует ли рассматривать закон № 242 как имеющий обратную силу.
Более всего популярна точка зрения, в соответствии с которой в отношении оценки юридического действия рассматриваемого правового акта следует применять общеюридические принципы, в соответствии с которыми наделение обратной силой тех законов, которые ухудшают положение тех или иных лиц либо устанавливают для них дополнительные обязанности, осуществляться не должно.
Исключения могут приниматься в отношении правовых актов, в которых принцип обратной силы зафиксирован непосредственно. Закон 242-ФЗ подобных положений не содержит. Поэтому соблюдать его обязаны только те участники правоотношений, которые начинают обрабатывать персональные данные уже после вступления соответствующего правового акта в законную силу. То есть с 1 сентября 2015 года.
Сущность сбора данных
Еще один дискуссионный момент, характеризующий рассматриваемый правовой акт — определение понятия «сбор данных» исходя из формулировок, присутствующих в нем. В чем заключается сложность трактовок в данном случае? Дело в том, что в соответствии с положениями ФЗ № 152, в которые были внесены посредством издания ФЗ № 242-ФЗ изменения о персональных данных, операторы обязаны обеспечивать локализацию файлов в процессе как раз таки сбора соответствующих сведений. В свою очередь, сущность данной процедуры однозначно не определена в законе, что, конечно же, не способствует эффективной реализации его положений в ряде контекстов.
В среде экспертов распространена точка зрения, по которой под «сбором» правомерно понимать процесс, в рамках которого оператор данных получает их непосредственно от некоторого субъекта либо управомоченных третьих лиц. Получается, что локализованы в соответствии с нормами ФЗ 242 должны быть только те персональные данные, что были приобретены оператором по факту проведения им целенаправленной работы по сбору соответствующих данных. И если, например, оператор получил их случайно - как вариант, в виде письма на электронную почту, то локализовать, как это предписывает закон 242-ФЗ, персональные данные необязательно. Аналогично неправомерно рассматривать как процесс сбора данных их получение одной фирмой от другой, если они представляют собой телефоны и иные контактные данные представителей компании.
Размещение данных за рубежом по закону № 242
Следующий важнейший нюанс, характеризующий правоприменительную практику при реализации положений закона № 242 — возможность размещения данных операторами за рубежом в необходимых случаях — например, если речь идет о резервном копировании соответствующих сведений на серверах, арендованных у иностранных поставщиков. С одной стороны, по закону № 242-ФЗ персональные данные должны размещаться на серверах, что расположены на территории России. С другой, конечно, может возникать их объективная необходимость в размещении также и на зарубежных ресурсах.
Как отмечают юристы, трансграничная передача данных без нарушения положений регулирующего законодательства, в принципе, возможна. Исходя из каких положений законодательства данную позицию можно считать правомерной?
Когда трансграничная передача легальна
Дело в том, что закон о локализации персональных данных 242-ФЗ не включает положений о внесении корректировок в правовые акты, регулирующие трансграничную передачу файлов, содержащих индивидуализированные сведения о гражданах РФ и иных субъектах, которые попадают под защиту закона № 152-ФЗ. Поэтому данная процедура легальна, как и до того момента, когда был приняты рассматриваемые поправки в закон.
Но еще раз обратим внимание — трансграничная передача данных может быть осуществлена только в целях резервного копирования соответствующих файлов. Их оригиналы, таким образом, обязательно должны быть размещены на серверах в РФ. При этом оператор данных сам несет ответственность за несанкционированное использование теми или иными лицами файлов на зарубежных серверах. Кроме того, ему, вероятно, предстоит привести в соответствие свои информационные системы с требованиями, установленными нормами права государства, на территории которого располагаются сервера.
Санкции за нарушения закона № 242
Итак, мы изучили то, какие внес законодатель посредством издания закона 242-ФЗ изменения в ФЗ № 152. Полезно будет также рассмотреть то, с какими санкциями могут столкнуться операторы данных, нарушившие положения соответствующего источника права.
Во-первых, на компанию, которая обязана выполнять требования закона № 242, может быть наложен административный штраф. Его величина составляет 500-1000 рублей для должностных лиц, а также в 10 раз большие суммы - для юридических лиц. Данный штраф установлен ст. 13.11 КоАП РФ.
Во-вторых, может быть применена такая санкция, как внесение оператора данных в реестр нарушителей. Он представляет собой автоматизированную базу, включающую доменные имена и адреса страниц сайтов, на которых персональные данные обрабатываются с нарушениями. Отметим, что включение оператора в соответствующий реестр осуществляется на основании решения суда. Исключение — после его отмены или же по факту устранения компанией нарушений рассматриваемого закона.
В-третьих, может быть ограничен доступ к сайту, на котором реализуется некорректная обработка персональных данных. Данная процедура осуществляется после того, как субъект персональных данных направляет в Роскомнадзор заявление о необходимости принятия мер по блокировке соответствующего ресурса.
Кроме того, данный документ также должен быть дополнен судебным актом, который вступил в законную силу. После этого Роскомнадзор направляет сведения о нарушениях владельцем сайта закона № 242 хостинг-провайдеру, и тот, если владелец ресурса не устранит нарушение, блокирует сайт.
Порядок применения санкций к нарушителям положений рассматриваемого правового акта во многом зависит от правоприменительной практики. Операторам персональных данных имеет смысл регулярно изучать ее, так же как, например, и различные аналитические исследования положений закона № 242-ФЗ, комментарии юристов к нему. Исполнение норм ФЗ № 152 с учетом актуальных поправок к нему — важнейшее условие корректного функционирования соответствующих информационных сервисов.