ФЗ 242 аб абароне персанальных дадзеных. Федэральны закон 242 (ФЗ аб персанальных дадзеных): змены і каментары

У Расіі дзейнічае асобны закон, у адпаведнасці з якім розныя арганізацыі і фізічныя асобы павінны ажыццяўляць аперацыі з персанальнымі дадзенымі - ФЗ № 152. У адпаведны прававы акт перыядычна заканадавец ўносіць змены. У прыватнасці, 1 верасня 2015 года ў сілу ўступілі нормы ФЗ № 242, пасля выдання якога ў ФЗ № 152 з'явіўся шэраг прынцыпова новых нормаў. У чым яны заключаюцца? Хто абавязаны выконваць адпаведныя палажэнні заканадаўства?

Што ўяўляе сабой ФЗ аб персанальных дадзеных?

Варта асабліва акцэнтаваць увагу на гэтым прынцыповым моманце: закон 242-ФЗ, які ўступіў у сілу з 1 верасня 2015 года, з'яўляецца нарматыўным актам, які ўнёс змены ў іншы, асноватворны крыніца права - ФЗ № 152, прыняты ў ліпені 2006 года. Такім чынам, фармулёўкі, якія змяшчаюцца ў законе № 242, варта разглядаць выключна ў кантэксце тых нормаў, што ўтрымліваюцца ў ФЗ № 152.

Асноватворны прававы акт - ФЗ № 152, усталяваў у заканадаўстве РФ такія прававыя катэгорыі, як:

- персанальныя даныя;

- аператар адпаведных звестак;

- апрацоўка персанальных дадзеных.

Пад першай прававой катэгорыяй заканадавец загадвае разумець любую інфармацыю, што наўпрост ці ўскосна ставіцца да фізічнай асобы. Гэта могуць быць, напрыклад, яго імя па бацьку, персанальныя дадзеныя, кантактныя звесткі.

Пад другі прававой катэгорыяй у законе разумеецца дзяржаўны або муніцыпальны орган улады, арганізацыя або фізічная асоба, якія самастойна альбо ў ходзе ўзаемадзеяння з іншымі суб'ектамі ажыццяўляюць працэдуру апрацоўкі дадзеных, а таксама вызначаюць іх склад і аперацыі з імі.

Пад трэцяй прававой катэгорыяй заканадавец загадвае разумець любую аперацыю альбо іх паслядоўнасць, што маюць дачыненне да персанальных дадзеных і ажыццяўляюцца з дапамогай прымянення сродкаў аўтаматызацыі ці ж без іх.

Асноўныя аперацыі з персанальнымі дадзенымі, вызначаныя законам № 152: збор, запіс, захоўванне, карэкціроўка, выкарыстанне, перадача, блякаваньне, выдаленне. Названыя прававыя катэгорыі, у прынцыпе, на момант прыняцця маглі лічыцца даволі новымі для прававой сістэмы РФ. Да таго абарот персанальных дадзеных рэгламентавацца расійскім заканадаўствам дастаткова павярхоўна.

Навізна ФЗ № 152

Закон аб персанальных дадзеных, прыняты ў РФ, быў прызваны, такім чынам, наблізіць айчынную прававую сістэму да сусветных стандартаў забеспячэння прыватнасці абмену інфармацыяй - перш за ўсё, прадстаўленай у электронным выглядзе і выкарыстоўваецца ў рамках анлайнавых камунікацый. Але ФЗ № 152 у роўнай ступені стварыў прававую сераду таксама для забеспячэння абароны розных афлайнавых дадзеных.

У адпаведнасці з дадзеным нарматыўна прававым актам было вызначана некалькі класаў персанальных дадзеных, якія патрабавалі прымянення пэўных алгарытмаў абароны. Акрамя таго, ФЗ № 152 устанавіў нормы, у адпаведнасці з якімі абарот розных дадзеных мог ажыццяўляцца ў спецыялізаваных інфармацыйных сістэмах - тых, якія патрабавалі асабліва высокай кваліфікацыі адміністратараў, а таксама атрымання імі ліцэнзій на ажыццяўленне аперацый з персанальнымі дадзенымі.

Нягледзячы на тое што ФЗ № 152 быў выдадзены ў 2006 годзе, на практыцы яго асноўныя палажэнні аператарам персанальных дадзеных стала абавязкова ўжываць толькі з 1 ліпеня 2011 года. З таго моманту ў адпаведны крыніца права, як мы адзначылі вышэй, перыядычна ўносіліся розныя карэкціроўкі. У прыватнасці, тыя, што былі зацверджаны федэральнымі ўладамі з дапамогай Закона 242-ФЗ. Разгледзім яго асаблівасці падрабязней.

Асаблівасці прымянення прававога акта

Федэральны закон 242-ФЗ «Аб персанальных дадзеных» (дакладней, «Аб унясенні змяненняў у акты ў частцы ўдакладнення апрацоўкі дадзеных») усталяваў становішча, у адпаведнасці з якім аператары сталі абавязаны ажыццяўляць апрацоўку і захоўванне звестак толькі на серверах, што размешчаны на тэрыторыі Расіі . Альбо калі гэта афлайнавыя персанальныя дадзеныя - размяшчаць іх у базах дадзеных, што знаходзяцца ў РФ. Адзначым, што ў законе 242-ФЗ прапісаны шэраг выключэнняў адносна названай нормы - якія, у сваю чаргу, адлюстраваны ў палажэннях ФЗ № 152.

Яшчэ адзін нюанс прымянення закона заключаецца ў тым, што з дапамогай яго заканадавец таксама ўнёс змены не толькі ў асноўны прававы акт, які рэгулюе аперацыі з персанальнымі дадзенымі, але і ў іншыя крыніцы. А менавіта ў законы 149 «Аб інфармацыі», а таксама 249 ( «Аб абароне юрыдычных асоб і ІП пры дзяржаўным і муніцыпальным кантролі»).

У расійскіх СМІ актыўна тыражаваліся інфармацыя пра тое, што Роскомнадзор - ведамства, якое адказвае за забеспячэнне адпаведнасці дзейнасці аператараў дадзеных палажэнням ФЗ-242 "Аб абароне персанальных дадзеных», у 2016 годзе будзе праводзіць праверкі найбуйнейшых пастаўшчыкоў IT-рашэнняў, якія ажыццяўляюць дзейнасць у РФ. У прыватнасці, гаварылася пра тое, што мэта Роскомнадзора - даведацца, выконваюць Ці прадпісанні разгляданага закона такія брэнды, як Microsoft, «Вконтакте», HeadHunter, LaModa. Меркавалася, што ведамства выканае парадку 1 тыс. Розных праверак.

Ініцыяваныя федэральнымі ўладамі праз выданне ФЗ № 242-ФЗ змены аб персанальных дадзеных у асноўным законе маглі прадвызначыць неабходнасць правядзення найбуйнейшымі аператарамі значнага абнаўлення апаратнага і праграмнага забеспячэння. Але дадзеная задача павінна быць вырашана брэндамі, інакш, пры неадпаведнасці якая выкарыстоўваецца імі інфраструктуры патрабаванням разгляданага закона, Роскомнадзор можа накласці штраф на кампанію.

Значную ролю ў праверках, як мяркуецца, павінны згуляць карыстальнікі розных IT-рашэнняў. У выпадку, калі яны пачнуць падазраваць, што іх дадзеныя не цалкам надзейна абаронены, то звесткі аб сэрвісе, які задзейнічаецца пры аперацыях з адпаведнымі дадзенымі, могуць быць перададзены карыстальнікамі непасрэдна ў Роскомнадзор. Які, у сваю чаргу, павінен будзе ініцыяваць праверку сэрвісу на прадмет адпаведнасці нормам закона 242-ФЗ.

Карысна будзе разгледзець тое, якая сфера дзеяння разгляданага крыніцы права.

Закон № 242: сфера дзеяння крыніцы права

Галоўны дыскусійны момант у дадзеным выпадку - тое, ці распаўсюджваецца юрысдыкцыя ФЗ-242 "Аб абароне персанальных дадзеных» на замежныя фірмы, якія, з аднаго боку, аказваюць паслугі расійскім карыстачам, з другога, размяшчаюцца за межамі РФ як з юрыдычнага пункту гледжання, так і ў плане задействуемой інфраструктуры.

Асобных палажэнняў у разгляданым законе, якія б адназначна вызначалі геаграфію яго дзеяння, заканадаўца не зацвердзіў. Таму, у мэтах знаходжання адказу на разгляданы пытанне, неабходна звяртацца да іншых прававых актаў.

Так, у адпаведнасці з законам аб інфармацыі, што дзейнічаюць у РФ, прымяненне на тэрыторыі Расіі розных тыпаў камунікацыйнай інфраструктуры павінна ажыццяўляцца з улікам нормаў, зацверджаных у заканадаўстве РФ. Такім чынам, калі прытрымлівацца дадзенай норме, то можна прыйсці да высновы, што Федэральны закон № 242-ФЗ распаўсюджваецца ўсё ж толькі на тыя сэрвісы, якія адназначна задзейнічаюць інфраструктуру, што размешчана ў Расіі.

Вызначэнне дзейнасці аператара персанальных дадзеных у Расіі

Найважнейшы крытэр вызначэння юрысдыкцыі разгляданага крыніцы права - накіраванасць дзейнасці брэнда, які валодае тым ці іншым сэрвісам. Калі той ці іншы сайт пераважна абслугоўвае расійскіх карыстальнікаў, то ён павінен лічыцца аб'ектам рэгулявання з пункту гледжання прымянення норм закона № 242. Той факт, што сэрвіс накіраваны на атрыманне персанальных дадзеных грамадзян РФ, можа ўсталёўвацца зыходзячы з таго, што:

- у структуры адрасу сайта выкарыстоўваецца дамен .ru, .su, .рф ці, напрыклад, .москва;

- кантэнт сайта выкананы на рускай мове;

- на старонках партала ёсць наяўнасць магчымасці ўступіць у праваадносіны з сэрвісам з выкарыстаннем формаў дагавораў, складаюцца ў адпаведнасці з Грамадзянскім кодэксам РФ.

На практыцы аператарамі дадзеных, якія трапляюць пад юрысдыкцыю ФЗ № 242, могуць быць самыя розныя структуры - напрыклад, кадравыя службы прадпрыемстваў, банкі, call-цэнтры. Усе яны абавязаны забяспечваць адпаведнасць сваёй дзейнасцi патрабаванням закона, пра які ідзе гаворка.

Закон № 242 з пункту гледжання прымянення яго зваротнай сілы

Закон № 242-ФЗ аб унясенні змяненняў у ФЗ № 152 быў выдадзены пазней, чым з'явіўся уласна сам ФЗ № 152, а таксама папярэднія папраўкі да яго, аднак абумовіў узнікненне неабходнасці ў дадатковай інтэрпрэтацыі палажэнняў асноўнага прававога акта. У прыватнасці, у асяроддзі юрыстаў з'явілася дыскусія пра тое, ці варта разглядаць закон № 242 як мае зваротную сілу.

Больш за ўсё папулярная кропка гледжання, у адпаведнасці з якой у дачыненні да ацэнкі юрыдычнага дзеяння разгляданага прававога акта трэба ўжываць общеюридические прынцыпы, у адпаведнасці з якімі надзяленне зваротнай сілай тых законаў, якія пагаршаюць становішча тых ці іншых асоб або усталёўваюць для іх дадатковыя абавязкі, ажыццяўляцца не павінна .

Выключэння могуць прымацца ў дачыненні да прававых актаў, у якіх прынцып зваротнай сілы зафіксаваны непасрэдна. Закон 242-ФЗ падобных палажэнняў не ўтрымлівае. Таму выконваць яго абавязаны толькі тыя ўдзельнікі праваадносін, якія пачынаюць апрацоўваць персанальныя дадзеныя ўжо пасля ўступлення адпаведнага прававога акта ў законную сілу. Гэта значыць з 1 верасня 2015 года.

Сутнасць збору дадзеных

Яшчэ адзін дыскусійны момант, які характарызуе разгляданы прававы акт - вызначэнне паняцця "збор дадзеных» зыходзячы з фармулёвак, якія прысутнічаюць у ім. У чым заключаецца складанасць трактовак у дадзеным выпадку? Справа ў тым, што ў адпаведнасці з палажэннямі ФЗ № 152, у якія былі ўнесены праз выданне ФЗ № 242-ФЗ змены аб персанальных дадзеных, аператары абавязаныя забяспечваць лакалізацыю файлаў у працэсе як раз ткі збору адпаведных звестак. У сваю чаргу, сутнасць дадзенай працэдуры адназначна не вызначана ў законе, што, вядома ж, не спрыяе эфектыўнай рэалізацыі яго палажэнняў ў шэрагу кантэкстаў.

У асяроддзі экспертаў распаўсюджаная пункт гледжання, па якой пад «зборам» правамерна разумець працэс, у рамках якога аператар дадзеных атрымлівае іх непасрэдна ад некаторага суб'екта альбо управомоченных трэціх асоб. Атрымліваецца, што лакалізаваныя ў адпаведнасці з нормамі ФЗ 242 павінны быць толькі тыя персанальныя дадзеныя, што былі набыты аператарам па факце правядзення ім мэтанакіраванай работы па зборы адпаведных дадзеных. І калі, напрыклад, аператар атрымаў іх выпадкова - як варыянт, у выглядзе ліста на электронную пошту, то лакалізаваць, як гэта прадпісвае закон 242-ФЗ, персанальныя дадзеныя неабавязкова. Аналагічна неправамерна разглядаць як працэс збору дадзеных іх атрыманне адной фірмай ад іншай, калі яны ўяўляюць сабой тэлефоны і іншыя кантактныя дадзеныя прадстаўнікоў кампаніі.

Размяшчэнне дадзеных за мяжой па законе № 242

Наступны найважнейшы нюанс, які характарызуе правапрымяняльную практыку пры рэалізацыі палажэнняў закона № 242 - магчымасць размяшчэння дадзеных аператарамі за мяжой у неабходных выпадках - напрыклад, калі гаворка ідзе аб рэзервовым капіяванні адпаведных звестак на серверах, арандаваных у замежных пастаўшчыкоў. З аднаго боку, па законе № 242-ФЗ персанальныя дадзеныя павінны размяшчацца на серверах, што размешчаны на тэрыторыі Расіі. З іншага, вядома, можа ўзнікаць іх аб'ектыўная неабходнасць у размяшчэнні таксама і на замежных рэсурсах.

Як адзначаюць юрысты, трансмежавая перадача дадзеных без парушэння палажэнняў якое рэгулюе заканадаўства, у прынцыпе, магчымая. Зыходзячы з якіх палажэнняў заканадаўства дадзеную пазіцыю можна лічыць правамернай?

Калі трансмежавая перадача легальная

Справа ў тым, што закон аб лакалізацыі персанальных дадзеных 242-ФЗ не ўключае палажэнняў аб унясенні карэкціровак у прававыя акты, якія рэгулююць трансмежную перадачу файлаў, якія змяшчаюць індывідуалізаваныя звесткі аб грамадзянах РФ і іншых суб'ектах, якія трапляюць пад абарону закона № 152-ФЗ. Таму дадзеная працэдура легальная, як і да таго моманту, калі быў прыняты разгляданыя папраўкі ў закон.

Але яшчэ раз звернем увагу - трансмежавая перадача дадзеных можа быць ажыццёўлена толькі ў мэтах рэзервовага капіявання адпаведных файлаў. Іх арыгіналы, такім чынам, абавязкова павінны быць размешчаныя на серверах у РФ. Пры гэтым аператар дадзеных сам нясе адказнасць за несанкцыянаванае выкарыстанне тымі ці іншымі асобамі файлаў на замежных серверах. Акрамя таго, яму, верагодна, трэба будзе прывесці ў адпаведнасць свае інфармацыйныя сістэмы з патрабаваннямі, усталяванымі нормамі права дзяржавы, на тэрыторыі якога размяшчаюцца сервера.

Санкцыі за парушэнні закона № 242

Такім чынам, мы вывучылі тое, якія ўнёс заканадавец праз выданне закона 242-ФЗ змены ў ФЗ № 152. Карысна будзе таксама разгледзець тое, з якімі санкцыямі могуць сутыкнуцца аператары дадзеных, якія парушылі палажэнні адпаведнага крыніцы права.

Па-першае, на кампанію, якая абавязаная выконваць патрабаванні закона № 242, можа быць накладзены адміністрацыйны штраф. Яго велічыня складае 500-1000 рублёў для службовых асоб, а таксама ў 10 разоў вялікія сумы - для юрыдычных асоб. Дадзены штраф усталяваны арт. 13.11 КаАП РФ.

Па-другое, можа быць прыменена такая санкцыя, як ўнясенне аператара дадзеных у рэестр парушальнікаў. Ён уяўляе сабой аўтаматызаваную базу, якая ўключае даменныя імёны і адрасы старонак сайтаў, на якіх персанальныя дадзеныя апрацоўваюцца з парушэннямі. Адзначым, што ўключэнне аператара ў адпаведны рэестр ажыццяўляецца на падставе рашэння суда. Выключэнне - пасля яго адмены ці ж па факце ўхілення кампаніяй парушэнняў разгляданага закона.

Па-трэцяе, можа быць абмежаваны доступ да сайта, на якім рэалізуецца некарэктная апрацоўка персанальных дадзеных. Дадзеная працэдура ажыццяўляецца пасля таго, як суб'ект персанальных дадзеных накіроўвае ў Роскомнадзор заяву пра неабходнасць прыняцця мер па блакаванні адпаведнага рэсурсу.

Акрамя таго, дадзены дакумент таксама павінен быць дапоўнены судовым актам, які ўступіў у законную сілу. Пасля гэтага Роскомнадзор накіроўвае звесткі аб парушэннях уладальнікам сайта закона № 242 хостынг-правайдэру, і той, калі ўладальнік рэсурсу не ліквідуе парушэнне, блакуе сайт.

Парадак прымянення санкцый да парушальнікаў палажэнняў разгляданага прававога акта шмат у чым залежыць ад правапрымяняльнай практыкі. Аператарам персанальных дадзеных мае сэнс рэгулярна вывучаць яе, гэтак жа як, напрыклад, і розныя аналітычныя даследаванні палажэнняў закона № 242-ФЗ, каментары юрыстаў да яго. Выкананне нормаў ФЗ № 152 з улікам актуальных паправак да яго - найважнейшая ўмова карэктнага функцыянавання адпаведных інфармацыйных сэрвісаў.