Обзор изменений законодательства:

Новые правила о сборе и хранении персональных данных

08 апреля 2015

С 1 сентября 2015 года у операторов, осуществляющих обработку персональных данных, появится новая обязанность — при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации (далее — РФ) с использованием баз данных, находящихся на территории РФ.

Рассматриваемая обязанность установлена Федеральным законом от 21.07.2014 г. №242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» в редакции от 31.12.2014 г. (далее — Закон №242-ФЗ) и включена в качестве части 5 статьи 18 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»).

Новыми положениями вводится запрет на использование баз данных, которые находятся за пределами территории РФ, при сборе персональных данных граждан РФ.

Указанная обязанность не распространяется на операции с персональными данными иностранных граждан.

Операторы, осуществляющие обработку персональных данных, должны использовать при сборе персональных данных граждан РФ базы данных, в том числе расположенные в информационно-телекоммуникационной сети Интернет, находящиеся только на территории РФ.

В число сведений, которые подлежат включению в уведомление уполномоченного органа по защите прав субъектов персональных данных (далее - Роскомнадзор) об обработке персональных данных, входят сведения о месте нахождения базы данных, содержащей персональные данные граждан РФ.

К числу операторов, на которых распространяется данная обязанность, среди прочих операторов, относятся в том числе компании, признаваемые операторами в соответствии с п.2 ч.1 ст.3 ФЗ «О персональных данных», включая те, которые созданы с привлечением иностранного капитала.

Из буквального толкования новых норм прямо не следует, распространяется ли данная обязанность только на российские компании, которые признаются операторами, осуществляющими обработку персональных данных, или также на иностранные компании, которые фактически осуществляют обработку персональных данных в отношении граждан РФ.

В связи с отсутствием определенности по вопросу, к каким лицам на практике будет применяться данные нормы, ожидается, что Роскомнадзор как уполномоченный орган по защите прав субъектов персональных данных, даст разъяснения по рассматриваемому вопросу. Вместе с тем представляется, что неопределенность по данному вопросу можно устранить только путем принятия нового федерального закона, в котором будет уточнен круг лиц, на которых распространяется данная обязанность.

Помимо указанных выше изменений, часть 3 статьи 23 Закона №242-ФЗ ч.3 ст.23 ФЗ «О персональных данных» дополнена пунктом 3.1, предусматривающим право Роскомнадзора ограничивать доступ к информации, обрабатываемой с нарушением законодательства РФ в области персональных данных, в порядке, установленном законодательством РФ.

В частности, доступ к информации, обрабатываемой с нарушением законодательства РФ в области персональных данных, может быть ограничен Роскомнадзором, если запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации осуществляется с использованием баз данных, находящихся за пределами РФ.

Порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства РФ в области персональных данных (далее — Порядок ограничения доступа), включен Законом №242-ФЗ в виде отдельной статьи 15.5 в Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации».

Указанный порядок предусматривает создание реестра нарушителей прав субъектов персональных данных (далее — Реестр), который формируется и ведется Роскомнадзором или привлекаемой им организацией.

Включение нарушителей прав субъектов персональных данных в Реестр осуществляется только на основании судебного акта, вступившего в законную силу.

Обязанность ограничить доступ к соответствующему информационному ресурсу, на котором размещены данные субъектов персональных данных с нарушением законодательства в области персональных данных, возложена в первую очередь на владельца такого информационного ресурса. В случае ее невыполнения владельцем указанного информационного ресурса — на провайдера хостинга или лицо, которое обеспечивает обработку информации с нарушением указанного законодательства.