×
Изменения в закон «О персональных данных»: новая статья Валентина Петрова, партнера Адвокатского бюро ЕМПП для mondaq.com

Изменения в закон «О персональных данных»: новая статья Валентина Петрова, партнера Адвокатского бюро ЕМПП для mondaq.com

25.11.2014

Летом 2014 года в ФЗ «Об информации, информационных технологиях и о защите информации» и в ФЗ «О персональных данных» были внесены существенные изменения («Изменения касательно персональных данных»). Изменения касательно персональных данных должны вступить в силу 1 сентября 2016 и могут оказать существенное влияние на компании, действующие на территории РФ и за ее пределами, которые осуществляют хранение персональных данных потребителей, работников и третьих лиц. В настоящий момент происходит обсуждение того, что Изменения касательно персональных данных должны вступить в силу ранее 1 сентября 2016 года – а именно, с января 2015. Внизу мы приводим наиболее значимые изменения, а также описание того, какое влияние они могут оказать на деятельность компаний в России.

Центры хранения персональных данных должны располагаться в России

Наиболее существенным изменением, которое затронет большинство компаний, действующих в России и за ее пределами, является требование о том, что «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации…» Таким образом, операторы, осуществляющие обработку данных российских граждан, должны будут создать необходимую технологическую инфраструктуру на территории России, независимо от того, касаются ли такие персональные данные потребителей, работников или третьих лиц. Имениями касательно персональных данных не предусматривается какая-либо ответственность за нарушение установленных требований о создании центров хранения персональных данных в России.

В связи с Изменениями касательно персональных данных ответственные компании также должны принимать во внимание требования об уровнях защищенности в отношении персональных данных. В соответствии с требованием, операторы персональных данных должны обеспечить технологические и организационные механизмы защиты персональных данных в соответствии с уровнями защищенности. Для обеспечения технологической безопасности оператор данных может воспользоваться криптографическими и некриптографическими средствами защиты информации. Ввоз в Россию криптографических средств (в тех случаях, когда симметричный криптографический алгоритм не превышает 56 бит или 112 бит, либо асиметричный криптографический алгоритм не превышает 512 бит) подлежит процедуре нотификации, которая обычно занимает от 7 до 10 дней. Ввоз криптографических средств защиты требует отдельной лицензии. В дополнение операторам также необходимо принимать во внимание, что для использования криптографического устройства требуется сертификация в ФСБ РФ (1), а для использования некриптографического устройства требуется сертификация в ФСТЭК РФ. Без сертификации использование устройств запрещено.

Реестр нарушителей прав субъектов персональных данных

Другим существенным изменением является введение Реестра нарушителей прав субъектов персональных данных («Реестр»). Реестр будет включать «…доменные имена и (или) указатели страниц сайтов в сети «Интернет», содержащих информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных; сетевые адреса, позволяющие идентифицировать сайты в сети «Интернет», содержащие информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных» операторов, которые нарушают». Таким образом, в Реестр предполагается включать нарушителей персональных данных в сети «Интернет», но ничего не говорится, например, про нарушителей, которые не хранят персональные данные граждан РФ в центрах хранения информации, расположенных на территории РФ.

Любое доменное имя или ссылка на Интернет-страницу могут быть включены в Реестр на основании судебного решения. Любое лицо, которое считает, что его права на персональные данные нарушены, может инициировать судебное разбирательство. Требование может быть сформулировано против российского регулятора (Роскомнадзора), а владелец доменного имени или Интернет-страницы должен быть соответствующим образом уведомлен о нарушении. После того, как судебное решение вступит в силу, субъект персональных данных вправе обратиться в Роскомнадзор с требованием «…о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации». Роскомнадзор в свою очередь в течение трех дней должен отреагировать на требование и обязать соответствующего провайдера Интернет-услуг заблокировать доступ к доменному имени или Интернет-странице. Провайдер Интернет-услуг вправе в течение дня обратиться к владельцу доменного имени или Интернет-страницы с требованием в добровольном порядке устранить несоответствие закону. При невыполнения требования доступ к соответствующим домену или Интернет-странице подлежат блокировке.

(1) Для сертификации в ФСБ РФ необходимо предоставить комплект следующих документов: (1 модель угроз безопасности и модель нарушителя, (2 техническая документация на устройство, (3 заключение о возможности использования устройства, (4 реестр используемых устройств, (5 реестр технической документации в отношении устройств, (6 реестр носителей персональных данных, (7 локальные акты с перечнем лиц, допущенных к персональной информации, (8 политика обработки персональной информации, (9 политика использования устройства и (10 политика хранения носителей с персональными данными.