Home / Публикации / Вводится запрет на хранение...

Вводится запрет на хранение и обработку персональных данных граждан России в базах данных, расположенных за пределами Российской Федерации

01/08/2014

21 июля 2014 года Президент Российской Федерации подписал Федеральный закон № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (далее – «Закон»), предусматривающий изменения в регулировании порядка обработки персональных данных в информационно-телекоммуникационных сетях, а также обработки персональных данных в базах данных. Закон вступит в силу 1 сентября 2016 года.

Предлагаются следующие изменения в законодательстве:

  • Обработка персональных данных граждан РФ исключительно в российских базах данных

В соответствии с поправками к Федеральному Закону от 27.07.2006 N 152-ФЗ ”О персональных данных” оператор будет обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ в базах данных, расположенных на территории РФ.

Предусматриваются исключения из этого правила в связи с определенными целями обработки персональных данных, такими как, достижение целей международных договоров или законов, выполнение законных полномочий и обязанностей оператора; осуществление правосудия; выполнение функций публично-правовых образований и организаций, предоставляющих государственные и муниципальные услуги; осуществление профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.

Обязанность оператора обеспечить нахождение баз данных информации, посредством которых осуществляется обработка персональных данных граждан РФ, на территории РФ также закрепляется в Федеральном законе от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». При уведомлении уполномоченного органа по защите прав субъектов персональных данных («Роскомнадзор») о начале обработки персональных данных оператор должен будет предоставить данные о месте нахождения базы данных, содержащей персональную информацию граждан РФ. Согласно действующему законодательству направление уведомления не требуется в ряде случаев, в частности, при обработке персональных данных в соответствии с трудовым законодательством, в связи с заключением договора, стороной которого является субъект персональных данных, при сборе исключительно Ф.И.О. субъектов персональных данных.

  • Создание «Реестра нарушителей прав субъектов персональных данных»

На основании Закона Роскомнадзором будет создан «Реестр нарушителей прав субъектов персональных данных», в который, на основании судебного решения, будет включаться информация о нарушителях, в частности доменные имена или иные указатели страниц сайтов в сети интернет, на которых содержится информация, обрабатываемая с нарушениями; сетевые адреса, позволяющие идентифицировать такие сайты и другие данные.

На основании такого судебного решения субъект персональных данных вправе подать заявление о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства о персональных данных. Законопроектом устанавливается процедура по взаимосвязи Роскомнадзора, провайдера хостинга и владельца информационного ресурса, в результате которой принимаются меры по ограничению доступа к информации. В случае непринятия таких мер доступ к соответствующему информационному ресурсу ограничивается.

Эти изменения, в частности, призваны реализовать признанное на европейском уровне право субъекта персональных данных «быть забытым» в информационно-коммуникационной сети интернет.

Следует отметить, что сбор персональных данных и формирование базы данных может осуществляться оператором как посредством информационно-телекоммуникационной сети интернет, так и другими способами. Мы полагаем, что изменения могут коснуться не только деятельности компаний, ведущих свою деятельность непосредственно в сети интернет (таких как интернет-магазины, агентства по реализации билетов и услуг бронирования физическим лицам), но и операторов, формирующих базы персональных данных иными способами (например, работодателей, хранящих персональные данные работников и клиентов на иностранных серверах, а также провайдеров услуг хранения и обработки данных в информационно-коммуникационных сетях).

Представляется, что в представленных случаях оператор должен будет обрабатывать персональные данные российских граждан путем записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения (из базы данных) только на территории РФ. Несоблюдение этого требования может повлечь санкции для оператора. В частности, специалисты соглашаются с тем, что с вступлением в силу Закона существует риск блокировки (на основании судебного решения) иностранных сайтов, содержащих персональные данные российских граждан.

Следует отметить, что Закон не исключает возможность доступа к расположенным на территории России базам данных из-за рубежа, а также не предусматривает специальных ограничений на передачу, в том числе трансграничную, персональных данных из расположенной на территории России базы данных. Поэтому возможность обработки персональных данных российских граждан иностранными компаниями как таковая должна сохраниться. Вместе с тем, при изучении Закона возникает целый ряд вопросов, которые требуют дальнейшего разъяснения. Например, необходимы пояснения, будут ли иностранные компании при переносе своих серверов обязаны также соблюдать все иные требования российского законодательства в сфере персональных данных наравне с российскими компаниями-операторами персональных данных. Мы полагаем, что особенности применения Закона будут прокомментированы в дальнейшем регулирующим органом в сфере персональных данных и определены на практике.

Источник
CMS Client Alert | August 2014 | Commercial Law
Подробнее

Авторы

Леонид Зубарев
Старший партнер
Москва
Elena Baryshnikova