Обзор изменений законодательства: Новые правила о сборе и хранении персональных данных

08 апреля 2015

С 1 сентября 2015 года у операторов, осуществляющих обработку персональных данных, появится новая обязанность — обеспечивать осуществление всех действий, связанных со сбором и хранением персональных данных граждан Российской Федерации (далее — РФ), с использованием баз данных, в том числе в сети Интернет, на территории РФ.

Рассматриваемая обязанность установлена Федеральным законом от 21.07.2014 г. №242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» в редакции от 31.12.2014 г. (далее — Закон №242-ФЗ) и включена в качестве части 5 статьи 18 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»).

Новыми положениями вводится запрет на использование баз данных, которые находятся за пределами территории РФ, при сборе и обработке персональных данных граждан РФ.

Указанная обязанность не распространяется на операции с персональными данными иностранных граждан.

Операторы, осуществляющие обработку персональных данных, должны использовать при сборе и обработке персональных данных граждан РФ базы данных, в том числе расположенные в сети Интернет, находящиеся только на территории РФ.

До дня вступления в силу Закона №242-ФЗ (то есть до 1 сентября 2015 года) операторы должны перенести на территорию РФ расположенные за рубежом базы данных, содержащие персональные данные граждан РФ.

В число сведений, которые подлежат включению в уведомление об обработке персональных данных, входят сведения о месте нахождения базы данных, содержащей персональные данные граждан РФ.

К числу операторов, на которых распространяется данная обязанность, среди прочих операторов, относятся в том числе компании, признаваемые операторами в соответствии с п.2 ч.1 ст.3 ФЗ «О персональных данных», включая те, которые созданы с привлечением иностранного капитала.

Из буквального толкования новых норм прямо не следует, распространяется ли данная обязанность только на российские компании, которые признаются операторами, осуществляющими обработку персональных данных, или также на иностранные компании, которые фактически осуществляют обработку персональных данных в отношении граждан РФ.

В связи с отсутствием определенности по вопросу, к каким лицам на практике будет применяться данные нормы, ожидается, что Роскомнадзор как уполномоченный орган по защите прав субъектов персональных данных, даст разъяснения по рассматриваемому вопросу. Вместе с тем представляется, что неопределенность по данному вопросу можно устранить только путем принятия нового федерального закона, в котором будет уточнен круг лиц, на которых распространяется данная обязанность.

Помимо указанных выше изменений, часть 3 статьи 23 Закона №242-ФЗ ч.3 ст.23 ФЗ «О персональных данных» дополнена пунктом 3.1, предусматривающим право уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора) ограничивать доступ к информации, обрабатываемой с нарушением законодательства РФ в области персональных данных, в порядке, установленном законодательством РФ.

Следовательно, Роскомнадзор при выявлении нарушений требований по обработке персональных данных вправе ограничить к ним доступ, в частности, к таким нарушениям относится размещение персональных данных граждан РФ за пределами РФ.

Порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства РФ в области персональных данных (далее — Порядок ограничения доступа), включен Законом №242-ФЗ в виде отдельной статьи 15.5 в Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации».

Указанный порядок предусматривает создание реестра нарушителей субъектов персональных данных (далее — Реестр), который формируется и ведется Роскомнадзором или привлекаемой им организацией.

Включение нарушителей субъектов персональных данных в Реестр осуществляется только на основании судебного акта, вступившего в законную силу.

Обязанность ограничить доступ к соответствующему информационному ресурсу, на котором размещены данные субъектов персональных данных с нарушением законодательства в области персональных данных, возложена в первую очередь на владельца такого информационного ресурса. В случае ее невыполнения владельцем указанного информационного ресурса — на провайдера хостинга или лицо, которое обеспечивает обработку информации с нарушением указанного законодательства.