Персональные инструменты
 

Новые требования к хранению персональных данных россиян

Материал из CustisWiki

Версия от 18:30, 21 января 2015; OlgaChekhunova (обсуждение) (Новая страница: «<blockquote>''В журнале [http://www.ko.ru/ «Компания»] опубликована статья «В Интернет по паспорт…»)

(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к: навигация, поиск
В журнале «Компания» опубликована статья «В Интернет по паспорту» с комментариями нашего ведущего юриста Инны Паламарчук. В комментарии эксперт анализирует введение новых требований к хранению персональных данных россиян и размышляет о том, к каким последствиям для компаний и обычных пользователей могут привести данные законодательные изменения.

Поправки, внесенные в федеральные законы, принятые 27 июля 2006 года, — № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и № 152-ФЗ «О персональных данных», — по сути, закрепили алгоритм поведения участников отношений, связанных с обработкой персональных данных, сходный с тем, что предусмотрен для защиты интеллектуальных прав по № 187-ФЗ от 2 июля 2013 года, который принято называть «антипиратским». Федеральный закон «Об информации, информационных технологиях и о защите информации» дополнен ст. 15.5, которая предусматривает создание автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных», а также последовательность действий лиц, обязанных пресекать нарушение обработки персональных данных (Роскомнадзор, провайдера хостинга).

При этом добавился многозначительный нюанс: определены порядок обработки, а также территория обработки и хранения персональных данных. Новый порядок об обработке исключительно на территории РФ начнет работать с 1 сентября 2016 года. Ст. 18 № 152-ФЗ дополнена частью 5, которая и вызвала резонанс в бизнес-сообществе и среди обычных пользователей. Ею вводится обязанность оператора обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных граждан РФ с использованием баз данных на территории РФ. Причем норма императивна и не подразумевает какой-либо возможности соглашением сторон изменить данное условие. Получается, что компании, обрабатывающие персональные данные граждан многих стран, обязаны вести обработку отдельно. Более того, если компания физически не присутствует на территории РФ, но оказывает услуги, в рамках которых обрабатываются персональные данные граждан РФ, ей придется прибегнуть к услугам посредников, которые или находятся на территории РФ (и имеют базы данных тоже в РФ), или просто хранят данные на территории РФ.

Сейчас трудно точно определить, сколько компаний и из каких сфер затронут нововведения, потому что № 152-ФЗ определил персональные данные как любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Таким образом, ситуация, когда пользователь создает свой логин и пароль на любом сайте, дополняя сведениями, которые могут его определить, явно подпадает под действие законодательства о персональных данных. Делая покупки в интернет-магазине, заполняя заявку для курьерской службы, покупая авиабилеты в электронном виде, пользователь предоставляет свои персональные данные.

Очевидно, нововведение будет довольно затратным для бизнеса. В ситуации с российской компанией, которая ранее хранила и обрабатывала персональные данные где хотела и как хотела, возникают следующие препятствия: во-первых, нужно предоставить сведения о месте нахождения базы данных, в которой хранятся персональные данные (это требование закреплено в статье, регулирующей порядок уведомления об обработке персональных данных), во-вторых, Роскомнадзор сможет ограничивать доступ к информации, обрабатываемой с нарушением законодательства (процедура также регламентирована).

На самом деле было бы преувеличением утверждать, что все эти меры приведут к оттоку с российского рынка иностранных интернет-компаний, скорее нововведения повлекут за собой приток иностранного капитала в сферу информационной безопасности, а также повышение цен на услуги для обычных пользователей. Все участники рынка (операторы персональных данных), по сути, стоят перед выбором: или получить лицензию на обработку персональных данных (что в соответствии с требованиями о лицензировании почти нереально) и использовать исключительно сертифицированные ФСТЭК или ФСБ средства защиты, или же пользоваться услугами российских компаний, которые все лицензии и сертифицированные средства защиты уже имеют. Таким образом, пользователям стоит ожидать повышения цен на товары и услуги интернет-компаний, ведь свои затраты последние обязательно компенсируют за счет конечного потребителя.