четверг, 7 августа 2014 г.

Уточнен порядок обработки персональных данных в информационно-телекоммуникационных сетях


Федеральный закон от 21 июля 2014 года № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» вновь уточняет вопросы, связанные с обработкой персональных данных. Изменения внесены в:
  • Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

  • Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»

  • Федерального закона от 26 декабря 2008 года № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»
Стало уже традицией регулярно придумывать новые автоматизированные информационные системы глобального уровня. На этот раз федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» дополнен статьей 15.5 «Порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных». Статья предусматривает следующее:
  • Создание автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных», создание, формирование и ведение которого будет осуществляться федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи;

  • Основанием для включения в реестр нарушителей информации является вступивший в законную силу судебный акт;

  • Обратиться в государственный орган с заявлением о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства в области персональных данных, может субъект персональных данных;

  • Действия государственного органа по ограничению доступа к информации;

  • Обязанности владельца информационного ресурса по устранению нарушений.
Наиболее интересные, с моей точки зрения, положения связаны с законодательным регулированием вопроса нахождения на территории Российской Федерации баз данных, с использованием которых осуществляются обработка персональных данных.

В статью 16 «Защита информации» федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» включено следующее требование к обладателю информации, оператору информационной системы:
Статья 16. Защита информации

4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.
Статья 18 «Обязанности оператора при сборе персональных данных» федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» дополнена следующим положением:
Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»

Статья 18. Обязанности оператора при сборе персональных данных

5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
Согласно ст.6, требование о хранении персональных данных с использованием баз данных, находящихся на территории РФ, не распространяется на случаи, когда обработка персональных данных ведется:
  • Для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;

  • Для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве ;

  • Для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов РФ, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

  • Для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
Уведомление об обработке персональных данных (ст. 22) теперь содержат «сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации».

Ну и последнее: действие федерального закона от 26 декабря 2008 года № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» не будет распространяться на:
  • Контроль за соблюдением требований в связи с распространением информации в информационно-телекоммуникационной сети «Интернет»;

  • Контроль и надзор за обработкой персональных данных.
Мой комментарий: Возникает вопрос, а какими же законодательно-нормативными актами будет регламентироваться осуществление данных видов контроля?

Федеральный закон вступает в силу с 1 сентября 2016 года.

Мой комментарий: Про этот закон эксперты начали писать уже тогда, когда он был только ещё внесен в Государственную Думу. См.:
Эксперты единодушно считают, что требования о размещении баз данных только на территории Российской Федерации будет невозможно исполнить в полном объеме. Ну а пока у организаций есть полтора года на то, чтобы попытаться разобраться с тем, как приспособиться к новым требованиям.

Источник: Консультант Плюс
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=165838 

Комментариев нет:

Отправка комментария