Федеральный закон от 21 июля 2014 года № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» вновь уточняет вопросы, связанные с обработкой персональных данных. Изменения внесены в:
- Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»
- Федерального закона от 26 декабря 2008 года № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»
Стало уже традицией регулярно придумывать новые автоматизированные информационные системы глобального уровня. На этот раз федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» дополнен статьей 15.5 «Порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных». Статья предусматривает следующее:
- Создание автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных», создание, формирование и ведение которого будет осуществляться федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи;
- Основанием для включения в реестр нарушителей информации является вступивший в законную силу судебный акт;
- Обратиться в государственный орган с заявлением о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства в области персональных данных, может субъект персональных данных;
- Действия государственного органа по ограничению доступа к информации;
- Обязанности владельца информационного ресурса по устранению нарушений.
Наиболее интересные, с моей точки зрения, положения связаны с законодательным регулированием вопроса нахождения на территории Российской Федерации баз данных, с использованием которых осуществляются обработка персональных данных.
В статью 16 «Защита информации» федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» включено следующее требование к обладателю информации, оператору информационной системы:
В статью 16 «Защита информации» федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» включено следующее требование к обладателю информации, оператору информационной системы:
Статья 16. Защита информацииСтатья 18 «Обязанности оператора при сборе персональных данных» федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» дополнена следующим положением:
4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.
Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»Согласно ст.6, требование о хранении персональных данных с использованием баз данных, находящихся на территории РФ, не распространяется на случаи, когда обработка персональных данных ведется:
Статья 18. Обязанности оператора при сборе персональных данных
5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
- Для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
- Для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве ;
- Для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов РФ, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
- Для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
Уведомление об обработке персональных данных (ст. 22) теперь содержат «сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации».
Ну и последнее: действие федерального закона от 26 декабря 2008 года № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» не будет распространяться на:
Ну и последнее: действие федерального закона от 26 декабря 2008 года № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» не будет распространяться на:
- Контроль за соблюдением требований в связи с распространением информации в информационно-телекоммуникационной сети «Интернет»;
- Контроль и надзор за обработкой персональных данных.
Мой комментарий: Возникает вопрос, а какими же законодательно-нормативными актами будет регламентироваться осуществление данных видов контроля?
Федеральный закон вступает в силу с 1 сентября 2016 года.
Мой комментарий: Про этот закон эксперты начали писать уже тогда, когда он был только ещё внесен в Государственную Думу. См.:
Федеральный закон вступает в силу с 1 сентября 2016 года.
Мой комментарий: Про этот закон эксперты начали писать уже тогда, когда он был только ещё внесен в Государственную Думу. См.:
- «Суверенные базы данных и реестры нарушителей», блог «Рецепты безопасности от Емельянникова», 26 июня 2014 г., http://emeliyannikov.blogspot.ru/2014/06/blog-post_26.html
- «Общее. Опять черные списки. Теперь для операторов ПДн», блог Сергея Борисова про ИБ, 25 июня 2014 г., http://sborisov.blogspot.ru/2014/06/blog-post_25.html
- «Персональным данным россиян хотят сделать только российскую прописку», блог Алексея Лукацкого «Бизнес без опасности», 26 июня 2014 г., http://lukatsky.blogspot.ru/2014/06/blog-post_25.html
Эксперты единодушно считают, что требования о размещении баз данных только на территории Российской Федерации будет невозможно исполнить в полном объеме. Ну а пока у организаций есть полтора года на то, чтобы попытаться разобраться с тем, как приспособиться к новым требованиям.
Источник: Консультант Плюс
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=165838
Источник: Консультант Плюс
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=165838
Комментариев нет:
Отправить комментарий