Принятый закон «О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях)» затрагивает не только о местах хранения баз данных с персональными данными россиян, но и другие аспекты, относящиеся к законодательству о персональных данных.
В 152-ФЗ изменения коснулись ст. 18 «Обязанности оператора при сборе персональных данных» (оператор при сборе персональных данных россиян, в том числе через интернет, должен хранить их в базах данных, расположенных на территории РФ), а также ст. 22 «Уведомление об обработке персональных данных» (о том, что нужно уведомлять контролирующий орган Роскомнадзор о месте хранения баз данных).
Также в принятом законе Роскомнадзор наделяется полномочиями вести реестр нарушителей прав субъектов персональных данных, ограничивать доступ к информации, обрабатываемой с нарушением законодательства о персональных данных, возможностью блокировать ресурсы. И, нужно сказать, что формально контролирующий орган уже наделен таким правом по 139-ФЗ. Например, 8 июля Роскомнадзором был заблокирован сайт telkniga.com с номерами сотовых телефонов россиян.
На кого повлияет закон о хранении персональных данных на территории РФ?
Прежде всего, закон должен коснуться крупных российских компаний, хранящих персональные данные за границей. Им необходимо будет переносить свои дата-центры на территорию России, что потребует больших финансовых затрат. Ведь хостинг на зарубежных ресурсах значительно дешевле. Поэтому можно предположить, что некоторые компании захотят сэкономить и попытаться обойти закон. Например, создавать копии лишь части базы данных и продолжать хранить основную базу за границей. Технически очень сложно определить, что данные хранятся не на территории России. Отсюда возникает вопрос, каким образом контролирующий орган будет отслеживать выполнение закона, это кажется нетривиальной задачей. Но многие российские компании, для которых важен имидж, которые стремятся соблюсти все требования законодательства, будут размещать базы данных на территории нашей страны.
Рассмотрим, на кого еще может распространяться принятый закон. Согласно 152-ФЗ, законодательство о персональных данных распространяется на российских операторов и, в соответствии с , на представительства иностранных юридических лиц, ведущих свою деятельность на территории РФ. То есть на иностранные компании, осуществляющие сбор персональных данных россиян, в том числе с помощью информационно-телекоммуникационной сети «Интернет», действие 152-ФЗ не распространяется.
Если же взять какой-нибудь отель в Турции, на сайте которого происходит сбор персональных данных россиян, то доступ к нему будет ограничен из-за несоблюдения требований нашего законодательства. Но одно дело, когда это касается сайта какого-то небольшого отеля, а другое — когда речь идет о сайте крупной компании. Отелю для выполнения российского законодательства не имеет смысла переносить базу данных на территорию РФ с рациональной точки зрения, так как для него это будут слишком большие финансовые затраты. Но такие корпорации, как Microsoft, IBM, EMC и многие другие, захотят продолжить работать на российском рынке и постараются сохранить клиентов, создавая дата-центры или арендуя уже существующие. И в этом можно увидеть положительный момент: создание дата-центров на территории России повлечет развитие отечественной IT-индустрии.
Как изменится контроль над обработкой персональных данных?
Подписанный закон также вносит изменения в , выводя из-под действия этого закона контроль и надзор за обработкой персональных данных, за соблюдением требований в связи с распространением информации в информационно-телекоммуникационной сети «Интернет». Это значит, что если сейчас Роскомнадзор может прийти в компанию с проверкой только один раз в три года (это регулируется 294-ФЗ), то c вступлением закона в силу с 1 сентября 2016 года он может делать это в любой момент. При этом станет необязательной публикация Роскомнадзором плана проверок на следующий год, и, следовательно, компании даже не будут знать, когда к ним придут с проверкой. Для обычных компаний малого и среднего бизнеса это изменение более существенно по сравнению с изменениями, касающимися хранения персональных данных на территории России.
В последнее время российское законодательство активно меняется, особенно в области персональных данных. И есть вероятность того, что закон, который вступит в силу 1 сентября 2016 года, все же претерпит некоторые изменения. Тем более что сейчас в нем действительно много неясных моментов, помимо перечисленных.
Елена Республиканская , эксперт продукта
Установлен порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства РФ в области персональных данных. Сегодня вступил в силу Федеральный закон от 21 июля 2014 г. № 242-ФЗ " ".
Напомним, документом установлена обязанность хранения на территории России персональных данных россиян, используемых интернет-серверами. Так, операторы должны при сборе персональных данных, в том числе посредством Интернета, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории нашей страны. Кроме того, россиянам предоставлено право в судебном порядке требовать удаления своих персональных данных, если они размещены в Интернете с нарушением законодательства.
Также предусмотрено создание Реестра нарушителей прав субъектов персональных данных, в котором будут отражены сведения об интернет-сайтах, содержащих информацию, обрабатываемую с нарушением законодательства РФ в области персональных данных. Сегодня вступает в силу и постановление Правительства РФ от 19 августа 2015 г. № 857 " ".
Отметим, в начале августа Минкомсвязи России на своем официальном сайте разъяснило порядок применения новых правил. В частности, был разрешен спорный вопрос о допустимости трансграничной передачи данных – ведомство отметило, что подобные действия закон не нарушают. Кроме того, Минкомсвязи России посчитало, что под действие поправок не попадают российские и иностранные авиакомпании, и подчеркнуло, что правила нового закона распространяются исключительно на российских резидентов.
Портал ГАРАНТ.РУ узнал, как отразятся новые требования на работе крупных компаний. Так, в пресс-службе "Вконтакте" отметили, что личные данные пользователей этой социальной сети всегда хранились на территории России, поэтому никаких затруднений новые требования не вызовут. В свою очередь, по сообщению пресс-службы Mail.Ru Group, компания также готова к соблюдению вступающего в силу закона. "Для наших пользователей при этом ничего не изменится", – подчеркнули представители компании. Готова к вступлению в силу указанного закона и компания Enter – ее серверы находятся на территории РФ.
С другими документами, вступившими в силу сегодня, можно ознакомиться в нашем .
По поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные.
Штрафы разделили по видам нарушений и увеличили в десятки раз. Например, если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию - на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юрлица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч . Если нарушений несколько, то и штрафов будет несколько.
Нужно срочно привести в порядок свои сайты. Проверки уже идут 💻
Сейчас протоколы о нарушениях может выписывать только прокуратура. Штраф не зависит от вида нарушения и составляет для ИП или директора максимум 1000 рублей, а для юрлица - 10 тысяч рублей. Процедура занимает много времени, штрафы маленькие, поэтому проверяют редко и не всех.
Как узнать, являюсь ли я оператором персональных данных?
Персональные данные - это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте - можно.
Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:
- фамилию,
- отчество,
- какой-то физический адрес,
- электронную почту,
- телефон,
- дату или место рождения,
- фотографию,
- ссылку на персональный сайт или соцсети,
- профессию,
- образование,
- уровень доходов,
- семейное положение.
Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, - это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения - это тоже обработка персональных данных.
А если я записываю телефон друга или электронную почту девушки на сайте знакомств, мне нужно соблюдать этот закон?
Нет, не нужно. На данные для личных и семейных нужд закон не распространяется. Но если передать телефон друга коллекторам или опубликовать объявление с почтой девушки на форуме женоненавистников - это уже нарушение.
Как правильно работать с персональными данными, чтобы не нарушить закон?
Как минимум нужно:
- получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
- публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
- запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
- использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
- сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
- удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
- хранить базы данных в надежном месте, защищать их от взлома и утечки;
- научить сотрудников работать с персональными данными;
- зарегистрироваться в Роскомнадзоре.
Что? Я должен еще где-то зарегистрироваться?
Да, по закону операторы персональных данных должны уведомить Роскомнадзор . Причем сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.
Уведомление можно не подавать, если:
- обрабатываются только данные сотрудников;
- персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более - распространяться;
- человек сам опубликовал эти данные в общем доступе;
- у вас есть только ФИО клиента и больше ничего.
У меня есть сайт, и я получаю персональные данные. Что мне делать?
Если вы до сих пор ничего не сделали, то вы уже нарушаете закон и вас уже сейчас могут оштрафовать. Даже если ваш сайт обслуживает веб-студия или удаленный айтишник, штраф всё равно выпишут на ту компанию или ИП , которые указаны на сайте.
Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны на всех страницах. Это может быть пользовательское соглашение, как у «Ламоды» , правила продажи, официальное уведомление, как у «М-видео» , политика конфиденциальности, как у «Рестора» , «Адидаса» или «Озона» . Можно прописать условия обработки персональных данных в обычном договоре или оферте, как это делает Сбербанк .
Не используйте чужие документы. Их можно взять для ориентира, но список данных и цели использования нужно прописывать свои. То, что нужно банку для оформления кредита или интернет-магазину для доставки товара, не понадобится для электронной рассылки или доски объявлений. Запрашивать ненужные данные - нарушение закона и повод для штрафа.
Реализуйте решение, которое позволит четко установить, что человек согласился на обработку персональных данных. Это может быть галочка в форме регистрации или предупреждение при оформлении заказа. Для надежности заверьте веб-страницы у нотариуса.
Подготовьте внутренние документы о хранении персональных данных и ответственности сотрудников, которые с ними работают. Приказы, регламенты и должностные инструкции не нужно выкладывать в общий доступ.
Если нужно, отправьте уведомление в Роскомнадзор. Если уверены, что уведомление отправлять не нужно, оформите документы так, чтобы это было понятно при проверке. Например, пропишите в политике, что используете персональные данные только для исполнения конкретного договора. Или укажите, что создаете ресурс, на котором данные размещаются в общем доступе по желанию пользователя.
Это правда, что хранить персональные данные можно только на российских серверах? Если у меня хостинг в Европе, я нарушаю закон?
В законе много непонятного по этому поводу. С одной стороны, собирать, обрабатывать и хранить базы данных нужно на российских серверах. Но при этом есть отдельная статья про трансграничную передачу данных. На сайте Минкомсвязи опубликованы разъяснения по этому поводу, но в них тоже много противоречий.
Сами делайте выводы, где хранить данные. Если не знаете, что делать, отправьте запрос в Роскомнадзор или Минкомсвязи. Еще можно обратиться к своему хостеру: чаще всего у таких компаний есть готовые решения.
Да успокойтесь вы все! Никого не будут штрафовать из-за каких-то форм на сайте и ненужных бумаг.
В Тамбовской области прокуратура оштрафовала юридическую компанию за заполнение формы обратной связи без согласия пользователя на обработку персональных данных. Суды поддержали.
Директора управляющей компании оштрафовали за то, что он передал юристам данные должников, чтобы составить исковые заявления. Согласие на обработку персональных данных у жильцов он не получил. Конституционный суд ему не помог.
В Астрахани прокуроры штрафуют владельцев сайтов за формы обратной связи по алфавиту.
Кроме штрафов в пользу государства за нарушение правил обработки персональных данных могут взыскать компенсацию морального вреда и даже посадить в тюрьму.
В законе про персональные данные много непонятного. Мы разобрались и ответили на
Федеральный закон о защите персональных данных претерпел последние изменения (обновления) в сентябре 2015 года, а вот с 1 января 2016 нововведений не поступило, хотя многие их ожидали.
Согласно последней редакции ФЗ каждый гражданин РФ имеет исключительное право на защиту личной конфиденциальной информации которая является недоступной для третьих лиц.
Что является персональными данными по закону РФ?
В соответствии с нынешним профильным законодательством Российской Федерации персональными данными принято считать:
- паспортные данные,
- имена и фамилии,
- некоторые другие моменты, которые стали известны субъекту в процессе определенных правоотношений.
К примеру, ФЗ 152 также регламентирует правила о нераспространении полученной информации банком при заключении кредитных и иных соглашений. Практический смысл этого соглашения значится в том, что россиянин, доверив свои данные в рамках определенных отношений, может быть уверен в их сохранении в тайне. В противном случае, нарушение этого правила может предусматривать и уголовное наказание. Общими словами, указанная информация является конфиденциальной и о ее разглашении или распространении не может быть и речи.
152 ФЗ закон о персональных данных
Настоящий законопроект был окончательно подготовленным в 2006 году. До этого времени в России подобного акта не существовало, а это значит, что на территории нашей страны граждане в этом плане были незащищенными. Федеральный закон от 27 июля 2006 г n 152 ФЗ о персональных данных юридически вступил в силу после его одобрения Советом Федерации. Должный административный порядок предполагает, что чтение проводит Госдума, а верхняя палата дает одобрение. Этот порядок действий предусмотрен для узаконивания каждой новой редакции.
О том, что будет за нарушение ФЗ поговорим далее.
Закон 152 ФЗ об обработке персональных данных новая редакция на 2016,
Текст ФЗ с комментариями и пояснениями в новой редакции можно обнаружить в интернете на профильном сайте «Консультант+». Тут же описывается система и сфера работы данного акта. Материал указан с изменениями и поправками за 2016 год, поэтому он максимально актуальный. Ознакомившись с данным актом, каждое лицо найдет ответ на имеющийся вопрос. К примеру, россиян обычно интересуют следующие моменты:
- определение о конфиденциальности (неразглашении);
- ответственность в случае нарушения (действующая редакция);
- работа норм (или что такое персональные данные);
- судебная практика (обычно касается использования информации банками);
- новая (последняя) редакция.
Нарушение закона о персональных данных и ответственность за разглашение информации
При несоблюдении установок ФЗ 152 о неразглашении персональных данных к ответчику может быть применено сразу два вида наказания:
- по статье (до 5 лет заключения);
- и по (штраф до 5 тыс. рублей).
Гражданский и трудовой кодексы содержат лишь предписывающие диспозиции в этой связи. Здесь даются разъяснения об обработке, предоставлении, хранении, передаче, удалении информации и наказании за все эти действия.
Закон о хранении персональных данных на территории РФ в Интернете
Соблюдение всех правил и защита персональных данных и прав являются обязательными на всей территории России. Государственный контроль за работой данного постановления в сети «Интернет» осуществляет Роскомнадзор. Поэтому, если у вас обозначился вопрос относительно того, куда в таких случаях жаловаться, то мы вам указали на уполномоченную структуру. Образец обращения можно отыскать также в сети. Требование соблюдения всех положений акта не терпит исключений.
О передаче третьим лицам, что сказано в ФЗ 152?
Новой головной болью для компаний, юристов и IT-специалистов стал федеральный нормативный акт от июля 2014 № 242-ФЗ, согласно которому с сентября 2017 должны были вступить в силу изменения в Закон № 152-ФЗ «О персональных данных». В декабре 2014 вступление в силу нововведений было передвинуто на более ранний срок – на первое число сентября 2015.
Закон о защите персональных данных с 1 сентября 2018
Что является целью документа о сохранности информации? Нормативный документ о защите субъектов индивидуальных сведений изначально был принят для того, чтобы обеспечивать сохранность информации о личной жизни и регулировать работу операторов по обработке и использованию сведений о физических лицах.
Уполномоченным органом, контролирующим соблюдение положений Закона, утвержден Роскомнадзор, находящийся в составе Министерства связи, главой которого является Никифоров Николай Анатольевич, назначенный Президентом страны.
Федеральный закон с изменениями: что такое?
Каждому основополагающему нормативному акту при его утверждении присваивается определенный номер и наименование. Для того, чтобы при внесении очередных изменений не менять его установленные общеизвестные параметры принимаются федеральные законы об изменениях в основной нормативный акт. Они также позволяют проследить, когда и какие были внесены корректировки и дополнения.
Последняя редакция
Сегодня текст нормативного документа, регулирующего использование персональных сведений, по мнению экспертов и пользователей требует многочисленных доработок, так как многие его положения изложены в обобщающих вариантах без детальных пояснений. Новый закон, ужесточающий требования к операторам, стал причиной острой необходимости в разработке новых изменений, касающихся детализации отдельных понятий нормативного документа.
Закон о персональных данных с 1 сентября 2018
Необходимость в принятии корректировок в Закон озащите личных сведений связана с последними событиями (санкции со стороны стран Европы и Америки, включение РК в состав Российской Федерации, нестабильная ситуация на территории ДНР, ЛНР).
Соблюдение требований нормативного акта о сохранности личных данных россиян должны осуществляться не только при обработке информации интернет-компаниями, но и банками, работодателем, работниками полиции, в школе и в ином общественном предприятии.
О хранении на территории РФ
С внесением корректировок изменился порядок хранения персональной информации. В частности, все сведения о гражданине России должны аккумулироваться только с применением российских баз данных. Это означает, что сбор, запись, накопление, систематизация, обновление, уточнение и извлечение данных или отдельных их частей, находящихся под защитой, должно осуществляться на дата-серверах, которые располагаются на российской территории.
Исключением является обработка данных, необходимая для соблюдения условий международных соглашений (например, договор РФ и Латвийской республики о взаимодействии по гражданским и семейным делам), для осуществления правосудия, научной и литературной деятельности, для исполнения обязанностей государственных органов.
О передаче третьим лицам
Передача личных сведений третьим лицам допускается только при получении согласия ее собственников (работников организации, пользователей информационных и телекоммуникационных сетей интернета и иных). Согласие о предоставлении личных данных оформляется в любой, подтверждающей этот факт форме. Если персональные сведения обрабатываются наемными работниками, то они обязаны ознакомится с соглашением об их неразглашении в соответствии с положениями НПА и Трудового кодекса.
Закон о персональных данных с 1 января 2018 с комментариями
Обойти новое требование можно при помощи такой технической функции, как обезличивание охраняемых данных. Также в Закон о сборе личной информации не внесен никакой запрет на перенос сведений за границу. Получается, что теоретически место локализации сведений должно быть в России, но их можно хранить в продублированном виде и на иностранном сервере.
Более подробно закон о конфиденциальной информации и защите персональных данных с пояснениями о внесенных изменениях можно бесплатно изучить на справочных и правовых сайтах (Консультант Плюс, Гарант, Википедия). Там же можно скачать образец соглашения о неразглашении персональной информации.
Если же нужна только суть, итоговый анализ или краткое содержание нормативного документа, то рекомендуется прочитать реферат, также подойдет аудио- и видео-презентация на тему о персональных сведениях. В книгах можно найти перевод закона на английский язык, который будет актуальным при ознакомлении с положениями нормативного акта иностранными лицами.
Изменения и основные положения
Сегодня при заключении различных договоров или оказании услуг, которые требуют указания личных сведений требуется получить согласие о раскрытии личных сведений. Причем к личной информации относится как адрес и паспортные данные, так и иные виды, в частности, переписка в соцсетях, сведения о здоровье, регистрация в онлайн-ресурсах.
Кого касаются принятые дополнения? Новшества поставили в затруднительное положение не только компании, предоставляющие услуги с использованием личных сведений, но и их пользователей. Так как для получения доступа к услугам им теперь постоянно придется заполнять либо заявление о согласии, либо ставить обязательную галочку в пункте «Соглашение об использовании персональных данных». А это приводит только к непониманию и недоверию к оператору услуг. Так как каждый раз возникает вопрос: «Зачем нужен этот пункт? Не будет ли использовано это согласие не в моих интересах?».
Штраф: сколько заплатишь о разглашении?
Чаще всего нормативные документы о защите личной информации нарушают коллекторы, хакеры, банковские служащие, работники ЖКХ. Куда жаловаться и как могут наказать за нарушение конфиденциальности? Нарушение законодательных требований о сохранении личной информации пользователей влечет ответственность в форме штрафа, блокировки и удалении сайта, увольнения, ограничения свободы или ее лишения на срок до двух лет.
