Admmokrassovet.ru

Финансовый журнал
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Закон о личных данных граждан рф

УСЛУГИ

Что изменилось в обработке персональных данных с 1 марта

  • Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
  • Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
  • В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Как прекратить передачу данных, разрешенных для распространения

Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:

  • ФИО;
  • контактные данные;
  • перечень персональных данных, обработку которых нужно прекратить.

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

Кто имеет право собирать наши персональные данные

Фото: Игорь Самохвалов / ПГ

Россияне теперь будут сами решать, какие сведения позволительно использовать для своих нужд владельцам сайтов, а какие необходимо оставить приватными. Кроме того, операторы обязаны удалять персональные данные по первому запросу пользователей. Вместе с тем у соотечественников остаётся масса вопросов по поводу того, кто, в принципе, может касаться наших личных данных, а кто такого права не имеет. «Парламентская газета» разбиралась в этом вопросе.

Удалите меня полностью или частично

Помимо закона о персональных данных, принятого в 2006 году, неприкосновенность частной жизни, тайну переписки и телефонных переговоров на самом высоком уровне нам гарантирует Конституция. Тем не менее, хотя обрабатывать или распространять информацию о человеке без его согласия категорически запрещается, мы все вольно или невольно становимся участниками глобального процесса обмена персональными данными, то и дело оставляя их для оформления заказа в интернет-магазине или кредита в банке. Просто так удобно и быстрее. Не нужно стоять в очереди с бумажками для того, чтобы определить ребёнка в школу или получить субсидию от государства.

Однако, оставляя свои данные в различных учреждениях и на торговых площадках, названий которых порой и не вспомнишь, мы уверяем себя, что их не разместят в открытом доступе, а телефон не передадут посторонним лицам. Увы, самообольщение в этом случае — не лучший советник. Каждый из нас многократно убеждался в этом, отбиваясь от назойливых кредитных менеджеров или продавцов заманчивых услуг, которым кто-то «слил» информацию о нас.

Теперь, по идее, всё должно встать на свои места — доступ к приватным сведениям россиян будет серьёзно ограничен. С 1 марта в России вступил в силу запрет сайтам обрабатывать персональные данные без согласия их владельца. Также россияне получают право требовать удаления персональных данных из общего доступа без дополнительных условий.

«У граждан появится возможность указывать, какие именно персональные данные можно обрабатывать и собирать, а какие можно распространять и передавать дальше», — пояснил первый замглавы Комитета Госдумы по информационной политике, информационным технологиям и связи Сергей Боярский. Он добавил, что Роскомнадзор разработал специальную форму согласия на обработку персональных данных, разрешённых гражданином для распространения. По его словам, приказ находится на утверждении в Минюсте.

Депутат отметил, что теперь граждане могут свободно отзывать согласие на обработку персональных данных — как письменно, так и онлайн через специальную систему. «Новый закон закрепляет правило, что молчание или бездействие гражданина ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешённых им для распространения», — подчеркнул парламентарий.

Плюс День рождения и гражданство

Ранее «Парламентская газета» писала, что в Роскомнадзоре разработали список данных, которые должны фигурировать в форме согласия на обработку. Это помимо телефона и почты имя с фамилией человека. Всё остальное — биометрические данные, адрес и прочее — может быть указано дополнительно. Также в форме согласия должны быть данные об операторе и цель обработки сведений о человеке.

Напомним, в конце 2019 года список данных, которые отражаются в Единой информационной системе персональных данных, дополнили номером мобильного телефона и адресом электронной почты. Теперь же Минцифры предлагает добавить к ним дату рождения и информацию о гражданстве. Проект постановления Правительства размещён на федеральном портале проектов нормативных правовых актов 11 февраля.

Читайте также:

Также Минцифры разработало поправки к принятому 16 февраля Госдумой в первом чтении законопроекту, который вносит изменения в закон о персональных данных. Об этом сообщается на сайте ведомства 3 марта. Поправки предусматривают свободную обработку бизнесом обезличенных данных. А для защиты персональных данных россиян предлагается ввести ряд ограничений для операторов, которые обрабатывают приватную информацию. Например, оператор не сможет использовать информацию, действия и методы, которые помогут определить принадлежность персональных данных конкретному субъекту. Также будет запрещено в дополнение к обезличенным данным передавать третьим лицам информацию, позволяющую идентифицировать конкретного человека.

«Законопроект позволит повысить эффективность системы защиты прав субъектов персональных данных — наших граждан, а также даст возможность бизнесу использовать данные, полученные в результате обезличивания. При этом права россиян на безопасную обработку и сохранение их персональных данных будут соблюдены», — прокомментировал новацию врио директора департамента информбезопасности Минцифры Дмитрий Реуцкий.

Читать еще:  Как подать на алименты после развода все, что нужно знать об этом

Кто может собирать данные

По закону оператор Единой информационной системе персональных данных должен предоставить доступ к информации о человеке по запросу правоохранителей, но мы уже знаем, что некоторым операторам закон не писан и появление баз данных россиян на чёрном рынке всё ещё становится поводом для СМИ порассуждать об информационной безопасности. Так кто же эти люди, владеющие информацией о нас с вами и имеющие право ею распоряжаться?

Увы, их великое множество. Согласно закону, тот, кто обрабатывает чьи-то персональные данные, тот и становится автоматически оператором. То есть им может быть как муниципальный или государственный орган власти, так и обычная компания-работодатель или владелец сайта, где пользователи, проходя регистрацию, оставляют сведения о себе. Эти данные впоследствии систематизируются и используются в том числе для рассылки, приглашений на акции и так далее. Всё это и называется обработкой персональных данных.

В соответствие с законом, операторы персональных данных должны зарегистрироваться в Роскомнадзоре, подав уведомление в электронном виде на официальном сайте ведомства через специальную форму. Либо то же самое сделать через портал Госуслуг или в письменной форме.

При этом список контактов в наших телефонах, которые мы обрабатываем в личных целях, под действие закона о защите данных не попадают. Правда, до тех пор пока не будут нарушены права наших знакомых. А права их могут быть нарушены, если оставить их e-mail или номер телефона в качестве контактных при оформлении кредита и в остальных схожих случаях.

За сохранностью персональных данных сегодня следит Роскомнадзор, который может потребовать у провайдера или хостера предоставить подтверждение места хранения баз данных россиян. Если выяснится, что они хранятся с нарушениями или вовсе за рубежом, то у операторов возникнут проблемы. Законом устанавливается ответственность за нарушение требований о локализации баз персональных данных граждан на территории России. Для граждан штраф составляет от 30 тысяч до 50 тысяч рублей, для должностных лиц — от 100 тысяч до 200 тысяч рублей, для юридических — от 1 млн до 6 млн рублей.

Кроме того, защитой персональных данных занимается Федеральная служба по техническому и экспортному контролю, также к проверкам могут подключиться ФСБ и прокуратура, у которых достаточно полномочий, чтобы разобраться с нарушениями.

Немного о личном и трансграничном

Как закон о локализации персональных данных влияет на российский рынок

1 сентября исполняется три года с момента вступления в силу изменений в Федеральный закон № 152-ФЗ «О персональных данных» (242-ФЗ). Помимо существовавших требований ко всем компаниям, организациям и физическим лицам, которые обрабатывают конфиденциальную информацию граждан, нормативно-правовой акт ввел новые обязанности. А именно, теперь они должны хранить персональные данные (ПД) на территории РФ. Также документ определил создание Реестра нарушителей, вести который доверили уполномоченному органу по защите прав субъектов ПД – Роскомнадзору.

Кому это нужно

Целью законодательных изменений являлось прекращение бесконтрольного использования конфиденциальной информации россиян на территории других государств. Документ потребовал от операторов персональных данных выполнения единственного условия – соответствовать стандартам Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД.

242-ФЗ установил специальные критерии определения «виртуальных» границ России в соответствии с трансграничным и децентрализованным характером интернета. Так, деятельность компаний по обработке ПД может быть отнесена к осуществляемой на территории России, если:

1) у сайта есть русскоязычная версия;
2) доменное имя связано с РФ (.ru, .рф и т. д.);
3) исполнение заключенного на таком сайте договора (доставка товара, оказание услуги, пользование цифровым контентом) производится в российских рублях;
4) реклама показывается пользователю на русском языке.

Минкомсвязь в своих разъяснениях пишет, что у компаний могут быть и иные обстоятельства, «явно свидетельствующие о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию».

Изменения, внесенные 242-ФЗ, не затронули положений о трансграничной передаче данных.

ТРАНСФЕР ПД ЗА ПРЕДЕЛЫ РОССИИ ОСТАЛСЯ ВОЗМОЖЕН С СОБЛЮДЕНИЕМ УСЛОВИЙ ЗАКОНА

Как отмечали некоторые российские эксперты, Роскомнадзору удалось найти решение, позволяющее осуществлять и локализацию персональных данных, и их трансграничную передачу.

Суть решения состояла в том, чтобы разделить все базы на две группы. ПД должны быть первоначально записаны и сохранены на территории России («первичная база данных»). После этого информация из них может быть скопирована за пределы страны во «вторичную базу данных» с соблюдением условий трансграничной передачи.

«Другими словами, главная копия личных данных российских граждан, собранных в России, должна быть расположена в России, так же как последующие обновления и дополнения к этим личным данным. Технические решения, в которых первичная база данных находится за рубежом и создается только русская копия («копия» или «зеркало») такой зарубежной базы данных, не соответствуют закону», – пишет в своем исследовании юрист компании IBM (Россия/СНГ), старший научный сотрудник НИУ ВШЭ, член Консультативного совета при Роскомнадзоре Александр Савельев.

Читать еще:  Как составить соглашение об уплате алиментов

Важно, что новый порядок обработки ПД начал действовать только для тех баз с данными российских пользователей, которые были собраны после 1 сентября 2015 года. Хранилища конфиденциальной информации, созданные до даты вступления в силу закона, под требования не попали. Таким образом, компаниям дали время на подготовку к новым изменениям без ущерба для своей деятельности.

ОБНОВИТЬ И ДОПОЛНИТЬ СТАРЫЕ БАЗЫ БЕЗ ИХ ЛОКАЛИЗАЦИИ НА ТЕРРИТОРИИ РОССИИ, СОГЛАСНО 242-ФЗ, СТАЛО НЕВОЗМОЖНО

Закон также дал расширенные права российским интернет-пользователям по контролю за использованием их ПД. В случае неправомерной обработки граждане вправе обратиться в Роскомнадзор или суд. Если компания игнорирует нормы 152-ФЗ, ее внесут в Реестр нарушителей прав субъектов персональных данных, а к сервисам будет ограничен доступ на территории России. За несоблюдение требований 242-ФЗ предусмотрена аналогичная ответственность.

Что общего с GDPR

Российский 152-ФЗ и новый Генеральный регламент о защите персональных данных (англ. General Data Protection Regulation, GDPR) имеют самостоятельную территориальную и юрисдикционную сферу применения в пространстве, по кругу лиц и во времени.

Так, 152-ФЗ не обладает экстерриториальным действием, не распространяется на нерезидентов, собирающих ПД российских граждан за границей (в случае если они не осуществляют деятельность в интернете, направленную на Российскую Федерацию). GDPR же не ограничивает сферу действия права о персональных данных по «национальному принципу». Защита персональных данных осуществляется на территории Евросоюза и в государствах-членах независимо от гражданства или места проживания.

РОССИЙСКИЙ И ЕВРОПЕЙСКИЙ ЗАКОНЫ ПОХОЖИ В ПОДХОДАХ РЕГУЛИРОВАНИЯ ТРАНСГРАНИЧНОЙ ПЕРЕДАЧИ ДАННЫХ

Глава V Регламента GDPR регулирует порядок перемещения ПД за пределы ЕС. Передача данных может иметь место, когда Европейская комиссия сделала вывод о надлежащем обеспечении гарантий защиты ПД третьей стороной (страной, ее субъектами или международной организацией). Решение о передаче данных может быть отменено, изменено или приостановлено в случае низкой оценки уровня защиты. Критерии оценки, из которых должна исходить Европейская комиссия, закреплены в ст. 45 Регламента GDPR.

152-ФЗ разрешает трансграничную передачу ПД в страны, которые являются сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Государства, не являющихся сторонами Конвенции, также могут осуществлять трансграничную передачу, если Роскомнадзор включит их в перечень иностранных государств с адекватной защитой прав субъектов персональных данных. Сейчас в списке находятся 23 страны.

Трансграничная передача может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

Тем не менее схожие положения отечественного и европейского законов не дают оснований делать вывод относительно их «гармонизации», пишет Институт развития интернета в своем исследовании. «Для российских компаний, деятельность которых связана со сферой персональных данных, ориентированных на пользователей в Евросоюзе, имеющих договорно-правовые обязательства с контрагентами ЕС, – это означает «двойное обременение»».

Кто хочет – ищет способ

Закон вызвал противоречивую реакцию крупных организаций и торговых ассоциаций. Члены КСИИ и АЕБ просили уточнить некоторые понятия в законодательном акте и перенести сроки его вступления в силу, пишут издания «Коммерсантъ» и «РБК».

Такой поступок эксперты объясняли выжидательной позицией компаний. По мнению главного аналитика Российской ассоциации электронных коммуникаций (РАЭК) Карена Казаряна, часть IT-компаний были готовы к исполнению закона, но ждали примеров его правоприменения, на основе которых будут определять масштабы размещения в России. Их сомнения, отмечал К. Казарян, также могли быть связаны с «неспособностью российских дата-центров удовлетворить высокие требования западных компаний к уровню сервиса SLA (Service Level Agreements)».

В то же время компании Aliexpress, Booking.com, Ebay, PayPal, Uber, Samsung и др. подтвердили свою готовность исполнять новые требования после встреч с Роскомнадзором и разъяснений РАЭК. Глава комитета Госдумы по информационной политике, информационным технологиям и связи Леонид Левин заявлял: «Времени подготовиться к вступлению 242-ФЗ в силу было достаточно. Тем более что Роскомнадзор постоянно ведет консультации с заинтересованными компаниями и нехватки мощностей в дата-центрах не предвидится».

О том, что локализация данных – новый тренд развития интернета, в свое время рассказывала заместитель главы Роскомнадзора Антонина Приезжева.

Как это помогает бизнесу

Рост рынка коммерческих дата-центров в России эксперты прогнозировали сразу после принятия закона.

О местах для переноса и хранения баз данных говорил ведущий аналитик в области промышленных систем IDC Russia Михаил Попов. По сведениям эксперта, мощностей для такого объема информации должно хватить всем операторам ПД, а внедрение этого закона поможет развитию российской отрасли дата-центров.

«Безопасность российских ЦОДов определяется законодательством и технической документацией. Есть требования ФСТЕК и ФСБ, которые необходимо соблюдать для получения лицензии. Таким образом, дата-центры любого типа, которые предоставляют услуги хранения данных, сертифицированы, и все они предоставляют более или менее равные по степени защищенности услуги. На сегодня требований указанных выше ведомств достаточно, и сертификаты имеют все крупные, большинство средних и достаточное количество малых ЦОДов», – считает М. Попов.

В исследовании 2017 года эксперты iKS-Consulting отметили рост российского рынка ЦОДов на 20 процентов. Тогда его объем уже составил 16,8 млрд рублей.

Читать еще:  Как подать иск в суд на алименты

По прогнозу «ТМТ Консалтинг», рынок продолжит расти еще на 9%, до 39,6 тыс. стойко-мест, при выручке в 26,7 млрд рублей.

ПЕРСПЕКТИВНЫМ СЕГМЕНТОМ ОСТАЮТСЯ МЕЖДУНАРОДНЫЕ КОМПАНИИ, КОТОРЫЕ РАЗМЕЩАЮТ В РОССИЙСКИХ ДАТА-ЦЕНТРАХ БИЗНЕС-РЕШЕНИЯ, ИСПОЛЬЗУЮЩИЕ ПД ПОЛЬЗОВАТЕЛЕЙ РФ

К 2018 году наметилось несколько тенденций развития рынка:

Популяризация cloud-решений. Перевод в «облака» информационных систем бизнеса и госструктур спровоцировано нестабильной экономической ситуацией. Отсюда и желание компаний минимизировать расходы, сохранив при этом эффективность.

Появление новых клиентов. Услуги коммерческих ЦОДов пользуются спросом среди IT-гигантов. Принятие новых законов – 242-ФЗ, GDPR, «Закон Яровой» – стали причиной смены поставщика услуг дата-центров с иностранных на отечественных.

Развитие государственных проектов. Государство проявляет интерес к развитию собственной IT-среды. Реализация государственной программы «Цифровая экономика РФ» позволит увеличить количество дата-центров в России и выработать единую схему их распределения по стране.

С момента реализации 242-ФЗ, как сообщил Роскомнадзор, проведено более 3 тыс. плановых проверок в отношении операторов, осуществляющих обработку ПД. Локализацию баз данных на территории России подтвердили 225 666 организаций.

В итоге только одна компания не выполнила требования российского законодательства в сфере персональных данных и оказалась в Реестре нарушителей – LinkedIn.

Новые стандарты информационной безопасности становятся тенденцией для развития IT-рынка и внедрения законодательных инициатив в бизнес-процессы. 152-ФЗ, «Закон Яровой», GDPR и другие нормы мотивируют отрасль активнее развивать свои продукты и улучшать качество услуг для пользователей. А граждане цивилизованных стран получают возможность защитить свое право на неприкосновенность информации о себе и личного пространства.

Уголовная ответственность по ст. 137 УК РФ

Виновные в неисполнении условий получения, хранения и защиты информации, составляющей персональные данные, могут быть привлечены и к уголовной ответственности.

Ст. 137 УК РФ в качестве состава преступления называет несоблюдение неприкосновенности частной жизни. Обратимся к понятию частной жизни. Ст. 152.2 ГК РФ определяет частную жизнь человека как сведения о его происхождении, месте жительства, личной, семейной жизни и т. д. Список сведений является открытым. Сравнивая понятие частной жизни в гражданском законодательстве и понятие персональных данных в законе № 152-ФЗ, можно сделать вывод об их тождественности.

Умышленные действия, выражающиеся в незаконном сборе, распространении сведений о частной жизни человека без его согласия, признаются преступлением, наказуемым по ст. 137 УК РФ, т. е. влекут за собой уголовную ответственность.

Квалифицирующим признаком данного преступления является факт использования служебного положения при совершении указанных действий.

Уголовная ответственность определяется в виде:

  • либо штрафа;
  • либо обязательных, принудительных или исправительных работ;
  • либо лишения свободы.

Ответственность для государственных и муниципальных органов власти

Штрафная ответственность предусмотрена и для государственных и муниципальных органов власти (ч. 7 ст. 13.11 КоАП РФ).

В своих документах (протоколах, сводках, решениях и т.д.) они должны обезличивать персональные данные граждан, не допуская указания их места жительства и полных ФИО.

В противном случае придется заплатить штраф в размере от 3 до 6 тысяч рублей.

Регистрация операторов персональных данных в Роскомнадзоре

Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре. Для этого необходимо подать уведомление об обработке (о намерении осуществлять обработку) персональных данных (ч. 3 ст. 22 Федерального закона № 152-ФЗ).

Для подачи уведомления об обработке персональных данных необходимо заполнить электронную форму на Портале персональных данных Роскомнадзора. Электронная форма уведомления об обработке персональных данных и порядок его заполнения также размещены на Едином портале государственных и муниципальных услуг (функций).

После заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных ее следует отправить в информационную систему Уполномоченного органа по защите прав субъектов персональных данных. Затем заполненную форму нужно распечатать и заверить надлежащим образом, скрепив подписью и печатью организации, после чего направить в соответствующий территориальный орган Роскомнадзора по месту регистрации компании-оператора персональных данных.

Когда согласие на обработку персональных данных не требуется

В соответствии с ч. 1 ст. 6 закона № 152 не требуется согласие на обработку персональных данных в следующих случаях:

  • если лицо является участником судебного разбирательства;
  • если данные необходимы для исполнения госорганами своих полномочий в области предоставления государственных и муниципальных услуг, в том числе для регистрации гражданина на портале «Госуслуги»;
  • для исполнения договора, выгодоприобретателем или поручителем по которому выступает лицо (или для заключения такого договора от его имени);
  • если ситуация требует немедленных действий, необходимых для сохранения жизни и здоровья гражданина, а получить его согласие невозможно (например, человек находится без сознания);
  • собранные личные данные будут использованы в целях проведения статистического или иного исследования, при условии что они будут обезличены;
  • лицо ранее самостоятельно сделало свои данные доступными для неограниченного количества пользователей;
  • данные должны быть раскрыты в соответствии с действующими законодательными требованиями;
  • информация используется для журналистской, творческой или научной деятельности, а также для работы СМИ, при условии что это не нарушает права и законные интересы гражданина.
голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector