С 1 сентября 2015 года вступает в силу Федеральный закон от 21 июля 2014 года № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», согласно которому «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопления, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».
В связи с вступление в силу 242-ФЗ, операторам персональных данных граждан РФ, осуществляющим их обработку за пределами территории РФ, необходимо принять срочные меры по переносу баз данных, используемых при сборе персональных данных, на территорию РФ и реализации соответствующих технологических процессов по их эксплуатации.
Дабы не доводить ситуацию до маразма, операторам ПДн необходимо осознавать, что 242-ФЗ не запрещает использование баз персональных данных граждан РФ за рубежом. Субъект ПДн имеет право дать согласие оператору на обработку ПДн как на территории РФ, так и за рубежом. Т.е. обработка ПДн граждан РФ за рубежом сама по себе является вполне законной при наличии согласия субъектов на такую обработку.
Оператор вправе поручить обработку ПДн за рубежом иностранному оператору при условии соблюдения им принципов и правил по защите ПДн, установленных 152-ФЗ, либо самостоятельно обрабатывать ПДн в распределенной (в том числе частично находящейся за границей) ИСПДн при условии нахождения баз данных, используемых для сбора ПДн, на территории РФ.
242-ФЗ лишь вводит российских операторов ПДн в российскую же юрисдикцию. С 1 сентября 2015 года операторам уже недостаточно будет заявить о том, что у них ИСПДн или базы ПДн находятся за рубежом и в связи с этим 152-ФЗ и нормативная база РФ в области ПДн на них не распространяются.
За невыполнение требований 242-ФЗ предусмотрена соответствующая ответственность для юридических и физических лиц. Так Статья 24 Федерального Закона № 152-ФЗ «О персональных данных» определяет, что: «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность».
Кроме того, обработка персональных данных в организации может быть приостановлена по требованию Роскомнадзора до устранения выявленных в ходе соответствующих проверок нарушений требований законодательства РФ.
В ближайшее время размер штрафа за административные правонарушения в области персональных данных (статья 13.11 КоАП РФ) может быть увеличен до 500 тысяч рублей, а при повторном нарушении – до 1 миллиона рублей.
Еще одна страшная страшилка: Роскомнадзор будет блокировать сайты компаний, не выполняющих 242-ФЗ.
Операторам ПДн можно рекомендовать следующие шаги по выполнению 242-ФЗ:
- Разработать и реализовать техническое решение, обеспечивающее нахождение баз данных, используемых при сборе ПДн, на территории РФ. Это техническое решение может быть ограничено только сбором ПДн. Дальнейшая их обработка может осуществляться таким же образом, как и раньше. Это могут быть либо реплики существующих БД, используемых при сборе ПДн, либо перенос процесса сбора ПДн и соответствующих технических средств в нем задействованных, на территорию РФ.
- После разработки технического решения, потребуется внести соответствующие этому решению дополнения в проектную и рабочую документацию СЗПДн, описание ИСПДн и в положение об обработке ПДн.
- Провести аудит выполнения требований по обработке и защите ПДн.
- По результатам аудита выполнить пересмотр и актуализацию ОРД, регламентирующих вопросы обработки и защиты ПДн.
Comments (7)
Андрей Рыбин 01-05-2015 12:27
Выполнение требований 242-ФЗ по нахождению баз данных ПДн на территории РФ
Федеральный закон 242-ФЗ вступает в силу с 1 сентября 2016 года.
Александр Астахов 06-05-2015 11:29
Выполнение требований 242-ФЗ по нахождению баз данных ПДн на территории РФ
Cпасибо. Поправил.
Александр Астахов 29-05-2015 04:00
Выполнение требований 242-ФЗ по нахождению баз данных ПДн на территории РФ
Все-таки с 1 сентября 2015 г. Пришлось исправить еще раз.
Федеральным законом от 31.12.2014 N 526-ФЗ срок вступления в силу данного документа перенесен на 1 сентября 2015 года. Изменения, внесенные Федеральным законом от 31.12.2014 N 526-ФЗ, вступили в силу со дня официального опубликования (опубликован на Официальном интернет-портале правовой информации http://www.pravo.gov.ru – 31.12.2014).
http://www.consultant.ru/document/cons_doc_LAW_173429/#c8
© КонсультантПлюс, 1992-2015
Посетитель 21-05-2015 03:52
Однако вводите в заблуждение…
Ну вообще-то как-бы запрещает. Потому что в законе прямо написано, что базы данных ПДн должны находится на территории РФ. А не запрещает трансграничную передачу, то есть передачу ПДн иностранному лицу, если это соответствующим образом обосновано.
Александр Астахов 25-05-2015 12:03
Однако вводите в заблуждение…
Во-первых. В законе речь идет о базах данных, используемых “при сборе ПДн”. Процессы обработки ПДн, реализуемые после их сбора, закон не регламентирует и соответственно не устанавливает никаких ограничений на передачу или хранение ПДн используемых в этих процессах.
Во-вторых. Использование при сборе ПДн баз данных, находящихся на территории РФ, не противоречит возможности их передачи, хранения или использование баз данных, производных от них, вне территории РФ.
Закон никаких запретов не устанавливает, а налагает на оператора дополнительные обязанности. Если бы надо было запретить, то в законе так бы и было написано: “запрещается”.
Посетитель 09-06-2015 01:57
Однако вводите в заблуждение…
“при сборе ПДн” это не совсем полная выдержка.
На самом деле “оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных”. А это почти все основные функции при обработке.
А далее, да, вы можете их передавать за границу, если у вас есть согласие субъекта.
То есть, если это переформулировать примирительно к статье, правильно говорить о возможности организации реплики БД за рубежом, а не наоборот.
Александр Астахов 09-06-2015 03:39
Однако вводите в заблуждение…
Я привел и полную выдержку и ссылку на текст закона, в котором говорится, что «При сборе персональных данных … оператор обязан обеспечить … и т.д.”. Написано вполне по-русски, что именно “при сборе”. Как можно это понять по другому? Если при сборе ПДн оператор обеспечил использование БД, находящихся на территории РФ, то он выполнил данное положение и оспаривать это невозможно. Если вы не согласны, то инициируйте поправки или пишите свой вариант закона. Закон может исполнятся только так, как он сформулирован. Если у вас имеются собственные трактовки и дополнения, то пока они не положены на бумагу и не вписаны в текст закона, это просто мнение и их исполнение не требуется.