Новое в законе "О персональных данных"

В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций

Новое в законе "О персональных данных"

Последние поправки в закон о персональных данных не только создают большое количество сложностей для иностранного бизнеса, но и способны здорово раззадорить спящего дракона № 152-ФЗ. А отрасли предстоит ближе познакомиться с его скверным нравом и обнаружить дополнительные “зубы" у данного закона в самых неожиданных местах.

Вадим Перевалов
Юрист, Бейкер и Макензи – Си-Ай-Эс, Лимитед

Изменения на поверхности

Ключевой нормой вступившего в силу закона № 242-ФЗ¹ является требование о локализации персональных данных (ПДн): при сборе ПДн оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ. Текст данной нормы занимает всего два абзаца и не дает полноценного ответа на вопрос, как ее следует исполнять.

Особенность "систематического наблюдения" в том, что оно может осуществляться почти в любой момент на основании поручения руководителя Роскомнадзора или по жалобе третьих лиц, а в случае выявления нарушения может являться основанием для требований об устранении нарушения с возможностью последующего наложения штрафа или организации внеплановой проверки.

Согласно текущему пониманию ситуации операторам во многих случаях придется либо перенаправить свои потоки ПДн через российские серверы, либо полностью перенести инфраструктуру в Россию, либо удостовериться в том, что обрабатываемые данные не являются персональными данными.

Существующее сегодня понимание закона во многом основано на неофициальных разъяснениях, озвученных Роскомнадзором и Минкомсвязи в течение 2015 г. Данные разъяснения частично опубликованы на сайте Минкомсвязи² и на площадке РАЭК³ и отражают консолидированную позицию государственных органов по большинству вопросов, касающихся локализации ПДн.

Однако важно помнить, что подходы Роскомнадзора и Минкомсвязи не всегда совпадают между собой. Разъяснения Минкомсвязи, как правило, содержат более удобные для бизнеса толкования, в то время как интерпретации Роскомнадзора являются более сдержанными.

Например, до сих пор отсутствует ясность по одному из ключевых вопросов – может ли оператор использовать иностранные базы данных при условии первоначальной записи и хранения ПДн в российской базе данных? Роскомнадзор полагает, что требование использовать российские базы данных означает возможность использовать исключительно их. На сайте же Минкомсвязи содержатся противоречивые пояснения. Операторам предстоит самостоятельно восполнить множественные пробелы и противоречия при исполнении закона.

Динамика толкований

Помимо этого, многие помнят, что первые неофициальные толкования закона, появившиеся прошлой осенью⁴, разительно отличались от разъяснений, опубликованных Минкомсвязи сейчас. И даже в настоящее время позиции государственных органов продолжают эволюционировать.

Сейчас многие операторы исходят из узкого толкования "персональных данных", предлагаемого Роскомнадзором, согласно которому адрес e-mail не является персональными данными сам по себе, так как не позволяет точно идентифицировать гражданина. В то же время Минкомсвязи обращает внимание, что к числу персональных данных относятся и те данные, которые позволяют определить субъекта косвенно⁶, а это означает риск признания адреса персональными данными e-mail и номера телефона, а в будущем также потенциально номеров IMEI, UDID, данных геолокации и пр.

В таком случае попытка сослаться на существующие сегодня разъяснения, имеющие форму простой публикации на сайте Минкомсвязи, в лучшем случае позволит оператору избежать штрафа, но вряд ли позволит избежать предписания об устранении выявленных нарушений. Кроме того, нельзя исключить возможности исчезновения некоторых разъяснений с сайта, как это уже случалось. Единственным относительно надежным способом зафиксировать разъяснения будет являться направление письменного запроса в Минкомсвязи или Роскомнадзор, но, по слухам, даже данный способ в последнее время начинает давать сбои.⁵

Наиболее правильным решением будет при выборе той или иной интерпретации тщательно взвешивать риски и оценивать возможные действия, если правоприменительная практика пойдет по какому-либо другому пути.

Неприметные косвенные ограничения на передачу данных

После принятия закона о локализации ПДн представители Роскомнадзора стали особенно часто обращать внимание операторов на несоответствие способов обработки ПДн заявленным целям, особенно в контексте локализации.

Таким образом, операторам необходимо не только внедрить российские серверы, но и быть готовыми объяснить, зачем данные российских граждан из российских систем передаются за рубеж. В идеале данные обстоятельства должны быть отражены в договорах между операторами или иных документах.

Будет ужесточен контроль

Весьма примечателен текст научно-практического комментария, выпущенного под редакцией А.А. Приезжевой: "Прежде всего, трансграничная передача, наравне с любым иным способом обработки персональных данных, должна соответствовать целям сбора персональных данных". "Передача персональных данных школьников на серверные мощности иностранных провайдеров хостинга электронных дневников не соответствует цели сбора персональных данных, а именно предоставлению родителям сведений об успеваемости учащихся, поскольку не ясна цель передачи данных, допустим, на территорию Виргинских островов..."⁷

Принятый закон, помимо прочего, вывел контроль и надзор за обработкой ПДн из-под действия закона "О защите прав юридических лиц…"⁸, взамен которого было решено принять постановление правительства. Проект документа находится на этапе согласования.⁹

Данный проект существенно расширяет возможности Роскомнадзора по проведению как плановых, так и внеплановых проверок, в большинстве случаев допускает проверки без согласия прокуратуры, а также нормативно закрепляет фактически применяемую уже сегодня процедуру "систематического наблюдения".

Другая важная норма наделяет Роскомнадзор правом в случае неисполнения предписания направлять требование о приостановлении деятельности по обработке ПДн до устранения нарушения. Эта норма создает существенную угрозу непрерывности бизнес-процессов у операторов.

Наконец, необходимо вспомнить о появлении нового "Реестра нарушителей прав субъектов персональных данных", в который в этом году уже было внесено несколько сайтов на основании полученных Роскомнадзором судебных решений. При этом речь шла о совершенно произвольных нарушениях законодательства о персональных данных, таких как отсутствие согласий субъектов, а не только о нарушении требований о локализации.

Как теперь "с этим" жить

Учитывая расширение контрольно-надзорной деятельности Роскомнадзора по всем направлениям, целесообразно как можно скорее привести информационные системы и документы в соответствие требованиям закона. Особое внимание необходимо уделить созданию необходимых документов, поскольку сейчас акцент планируется делать на документальных проверках. Однако необходимо понимать, что рано или поздно Роскомнадзор перейдет от документального к непосредственному исследованию информационных систем, и единственный вопрос – как скоро технические несоответствия информационных систем с безупречными документами начнут регулярно выявляться при проведении проверок на практике.

Тем же операторам, которые полагают, что их документы и бизнес-процессы уже приведены в соответствие законодательству, следует еще раз проверить, насколько данные процессы отвечают заявленным целям обработки ПДн, а также убедиться в наличии не только политики об обработке ПДн, но и всех иных документов, начиная с согласий и заканчивая моделью угроз безопасности ПДн.

Кроме того, поскольку возможности блокировок интернет-сайтов на основании любых нарушений закона о персональных данных представляют большую угрозу для бизнеса, аудит процессов по обработке персональных данных на значимых для бизнеса (например, B2C) сайтах также является одной из приоритетных рекомендуемых мер.

___________________________________________
¹ О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях: федеральный закон Российской Федерации от 21 июля 2014 г. № 242-ФЗ // Российская газета – 2011. – 25 июля (№ 160).
² Сайт Минкомсвязи России [Электронный ресурс]. – Режим доступа: http://minsvyaz.ru/ru/personaldata/.
³ Сайт ПД-Инфо – все про закон о персональных данных [Электронный ресурс]. – Режим доступа: http://www.pd-info.ru/.
⁴ Новый Н., Черненко Е. Данные о гражданах прописали в России. [Электронный ресурс] / Н. Новый, Е. Черненко // Газета “Коммерсантъ" – 2014. 2 октября (№ 178) – Режим доступа: http://www.kommersant.ru/doc/2580152.
⁵ Борисов, С. СЗПДн. Анализ. Низы не могут, верхи не хотят. Сайт Securitylab.ru by Positive Technologies. [Электронный ресурс] // Режим доступа: http://www.securitylab.ru/blog/personal/sborisov/153863.php.
⁶ Агеев А. СЗПДн. Электронный ящик – персональные данные. Сайт Securitylab.ru by Positive Technologies. [Электронный ресурс] // Режим доступа: http://www.securitylab.ru/blog/personal/itsec/152772.php.
⁷ Федеральный закон “О персональных данных": научно-практический комментарий. Под редакцией заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. – М.: Редакция “Российской газеты", 2015. Вып. 11. – С. 74.
⁸ О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля: Федеральный закон Российской Федерации от 26 декабря 2008 г. № 294-ФЗ // Собрание законодательства РФ – 2008. – 29 декабря(№ 52)
⁹ Федеральный портал проектов нормативных правовых актов [Электронный ресурс]. – Режим доступа: http://regulation.gov.ru/projects?#npa=21646.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2015

Новое в законе "О персональных данных"