ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"
Обзор и комментарии.
Романов Илья, CISA, CISM
Заместитель руководителя отдела консалтинга
ЗАО "ДиалогНаука"
Вебинар: Функциональные возможности современных SIEM-систем
Проект № 553424-6
1. ПРОЕКТ № 553424-6
ФЕДЕРАЛЬНЫЙ ЗАКОН
О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ОТДЕЛЬНЫЕ
ЗАКОНОДАТЕЛЬНЫЕ АКТЫ РОССИЙСКОЙ
ФЕДЕРАЦИИ В ЧАСТИ УТОЧНЕНИЯ ПОРЯДКА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В
ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ
СЕТЯХ
ОБЗОР И КОММЕНТАРИИ
Романов Илья, CISA, CISM
Заместитель руководителя
Отдела консалтинга
2. Содержание законопроекта
В настоящий момент (08.07.2014) проект, вызвавший широкий общественный
резонанс не только в ИБ-сообществе, но и в средствах массовой информации,
прошел 3-е чтение и был направлен в Совет Федерации.
Закон вступает в силу с 1 сентября 2016 года и уточняет требования к
порядку обработки персональных граждан РФ, и в том числе к местам
расположения баз данных, содержащих ПДн.
Законопроект вносит изменения в следующие документы:
– Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации,
информационных технологиях и о защите информации»
– Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных
данных»
– Федеральный закон от 26 декабря 2008 года
№ 294-ФЗ «О защите прав юридических лиц и индивидуальных
предпринимателей при осуществлении государственного контроля
(надзора) и муниципального контроля»
Разберем эти изменения более подробно…
3. Изменения в 149-ФЗ «Об информации…»
Новый пункт добавляется в часть 4 статьи 16 Федерального закона
№ 149-ФЗ:
Обладатель информации, оператор информационной системы в случаях,
установленных законодательством Российской Федерации, обязаны
обеспечить
7) нахождение на территории Российской Федерации баз данных
информации, с использованием которых осуществляются сбор, запись,
систематизация, накопление, хранение, уточнение (обновление,
изменение), извлечение персональных данных граждан Российской
Федерации.
Один из таких случаев, установленных законодательством Российской
Федерации, появится в ФЗ «О персональных данных», рассмотрим его
далее…
4. Изменения в 152-ФЗ «О персональных данных»
Дополнение в статью 18 Федерального закона №152-ФЗ, обязывает
Операторов ПДн размещать базы данных ПДн на территории РФ:
Оператор обязан обеспечить запись, систематизацию, накопление,
хранение, уточнение (обновление, изменение), извлечение персональных
данных граждан Российской Федерации с использованием баз данных,
находящихся на территории Российской Федерации, за исключением
случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего
Федерального закона*.
* исключения составляют международные договоры РФ, осуществление правосудия, госуслуги, защита жизни и т.п.
Сразу же возникает спорный пример:
У Оператора есть базы данных ПДн в РФ, с их использованием он
обрабатывает ПДн. Кроме того, есть филиал за пределами РФ, в нем тоже
есть несколько баз данных ПДн и серверов приложений. В целом
соответствует ли этот Оператор требованиям? Ответа на этот вопрос пока
нет.
5. Изменения в 152-ФЗ «О персональных данных»
Изменения затронули и порядок взаимодействия Операторов ПДн и
Роскомнадзора – Оператор обязан будет уведомить регулятора о месте
нахождения базы данных ПДн. И тут также возникает интересный вопрос:
почему в Проекте речь идет про базу данных в единственном числе? Что
если этих баз несколько?
Дополнение в уведомление (Реестр Операторов ПДн, статья 22):
101) сведения о месте нахождения базы данных информации,
содержащей персональные данные граждан Российской Федерации
На Роскомнадзор в свою очередь возлагается обязанность ограничивать
доступ к информации, обрабатываемой с нарушениями законодательства
о ПДн.
Дополнение в обязанности уполномоченного органа по защите прав
субъектов персональных данных (статья 23):
31) ограничивать доступ к информации, обрабатываемой с нарушением
законодательства Российской Федерации в области персональных
данных, в порядке, установленном законодательством Российской
Федерации
6. Изменения в 149-ФЗ «Об информации…»
В целях ограничения доступа к информации в сети «Интернет»,
обрабатываемой с нарушением законодательства о ПДн, Роскомнадзор будет
вести «Реестр нарушителей прав субъектов персональных данных», которому
посвящена новая статья в Федеральном законе № 149-ФЗ.
Статья 155. Порядок ограничения доступа к информации, обрабатываемой с
нарушением законодательства Российской Федерации в области
персональных данных:
– Создается «Реестр нарушителей прав субъектов персональных
данных» (содержит в том числе адреса сайтов).
– Основание включения в Реестр – судебный акт.
– Если хостинг-провайдер, или владелец ресурса не устранят нарушение
– блокировка ресурса.
– Порядок ведения реестра, взаимодействия РКН с провайдерами и
операторами связи устанавливается Правительством и
уполномоченными органами.
Стоит отметить, что «Реестр» касается всех возможных нарушений в
области ПДн, а не только нарушений, связанных с расположением баз данных
информации, содержащей ПДн.
7. Изменения в № 294-ФЗ «О защите прав при…»
Кроме того, от проверок Роскомнадзора Операторов ПДн больше не
защитит Федеральный закон № 294-ФЗ «О защите прав юридических
лиц… …при осуществлении государственного контроля», который, в
частности, определяет основания, ограничения и порядок проведения
плановых и внеплановых проверок, права и ответственность должностных
лиц регуляторов.
Дополнения в Часть 31 статьи 1 Федерального закона № 294-ФЗ:
Положения настоящего Федерального закона, устанавливающие порядок
организации и проведения проверок, не применяются также при
осуществлении следующих видов государственного контроля (надзора):
19) контроль за соблюдением требований в связи с распространением
информации в информационно-телекоммуникационной сети «Интернет»;
20) контроль и надзор за обработкой персональных данных
8. Ключевые выводы и проблемы
• Федеральный закон № 294-ФЗ «О защите прав юридических лиц… …при
осуществлении государственного контроля» перестает распространять
свое действие на проверки в области ПДн.
• Создается «Реестр нарушителей прав субъектов персональных данных».
• Изменения законодательства не коснутся иностранных Компаний,
обрабатывающих ПДн россиян за пределами РФ (это, в том числе,
иностранные соцсети, агентства бронирования и т.д.) – на них не
распространяется действие законодательства РФ.
• Трансграничная передача ПДн не запрещается (в тексте Проекта вообще
нет ни слова о передаче ПДн!).
• Проблемы появятся у тех российских Операторов, кто размещает свои
базы данных ПДн исключительно за пределами РФ – такие базы нужно
переносить на территорию РФ.
• В спорной ситуации окажутся Операторы, имеющие базы данных, с
использованием которых осуществляется обработка ПДн, как на
территории РФ, так и за пределами территории РФ. Будут ли они
соответствовать требованиям? И какой будет позиция регулятора?
Следим за будущим Проекта…
9. Наши контакты
117105, г. Москва, ул. Нагатинская, д. 1
Телефон: +7 (495) 980-67-76
Факс: +7 (495) 980-67-75
http://www.DialogNauka.ru
e-mail: ilya.romanov@DialogNauka.ru