Главная » Разное » Вступил в силу закон о хранении и обработке персональных данных россиян с использованием серверов, находящихся на территории россии. Что гласит закон о защите персональных данных

Вступил в силу закон о хранении и обработке персональных данных россиян с использованием серверов, находящихся на территории россии. Что гласит закон о защите персональных данных

В федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», обязывающие владельцев сайтов хранить персональные данные россиян на территории России.

Изначально планировалось, что документ, подписанный президентом России Владимиром Путиным в декабре 2014 года, вступит в силу с сентября 2016 года. Однако позже депутаты проголосовали за перенос этого срока на 1 сентября 2015 года.

Роскомнадзор имеет право проводить проверки компаний на соответствие положениям нового закона и, при наличии нарушений, может включить сайт в «реестр нарушителей прав субъектов персональных данных». Попадание в этот реестр означает блокировку сайта на территории России.

«Включение сайта в этот реестр повлечет его блокировку операторами связи по стандартной процедуре. Попасть в реестр можно будет исключительно на основании решения суда по иску конкретного субъекта персональных данных, либо по иску самого Роскомнадзора, и только в случае отсутствия реакции на уведомление со стороны Роскомнадзора», - отмечает юрист фирмы «Толкачёв и партнёры» Ксения Осипова.

Александр Жаров уже заявил , что Роскомнадзор не станет проводить масштабные проверки ИТ-компаний до 2016 года. До конца 2015 года Роскомнадзор планирует проверить только 317 компаний. Это примерно 0,012% всех организаций, работающих с персональными данными в России, отметил Жаров.

В планах на проверку отсутствуют Google и Facebook (представители основанной Марком Цукербергом соцсети уже заявили , что не считают нужным переносить данные пользователей в российские дата-центры). Сервис микроблогов Twitter не хранит достаточно данных, чтобы попасть под закон, заверил Жаров.

Локализовать данные российских пользователей уже готовы AliExpress , Google , eBay и PayPal, Booking.com, Lenovo, Samsung, Uber и другие компании. Российскому рынку дата-центров уже спрогнозировали рост на 15% благодаря росту спроса на технологические мощности из-за закона о хранении персональных данных, а также увеличению затрат на зарубежные хранилища данных для российских компаний из-за падения рубля.

Аналитики Европейского центра по международной политической экономии (ECIPE) подсчитали , что вступление в силу закона о хранении персональных данных повлечет за собой падение ВВП России на 0,27% (около 286 млрд рублей) из-за ухода с рынка мелких и средних компаний. «Для иностранных компаний слишком дорого хранить личную информацию клиентов в каждой стране, где они работают, поэтому новый закон повлечет за собой непредсказуемые последствия для российской экономики, ее способности привлекать инвестиции и создавать новые рабочие места», - говорятся в отчёте центра.

Одни называют этот закон возвращением к железному занавесу и запоздалой рефлексией на изменение информационного пространства. Другие связывают с ним укрепление позиций и дальнейшее развитие мощностей отечественных ИТ-компаний. Авторы поправок настаивают на том, что новый закон поможет защитить права российских граждан в сфере обработки и хранения персональных данных. За разъяснениями о том, с чем же в ближайшем будущем придется иметь дело бизнесу и обычным пользователям, мы обратились к руководителю проекта компании «Глобал Офис» Мартыновой Кристине.

Сегодня законы 242-ФЗ и 152-ФЗ на слуху у многих. За последние несколько месяцев они стали острыми болевыми зонами в дискуссиях бизнесменов, айтишников и простых смертных. Принятый в июле этого года федеральный закон 242-ФЗ установил для всех участников, вовлеченных в процесс обработки и хранения персональных данных, новые правила игры. Одно из главных нововведений затронуло текст закона 152-ФЗ , положения которого дополнились требованием с 1 января 2016 года хранить персональные данные россиян на серверах, находящихся в РФ:

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.

При этом под запрет могут попасть любые действия с данными - вплоть до выведения на экран компьютера, если физически базы данных «лежат» за рубежом. Правда, до сих пор ни парламентарии, ни Роскомнадзор не дали однозначных ответов на вопрос о том, что же конкретно следует понимать под извлечением данных, их систематизацией и самой базой данных.

Еще более расплывчатым остается содержание нового термина «лицо, обеспечивающее обработку информации в информационно-телекоммуникационной сети, в том числе в сети «Интернет», внесенное в закон 149-ФЗ « . Кто вправе получить этот статус и каковы правовые признаки такого лица? Не исключено, что разбор законодательных полетов будет происходить уже по факту предполагаемого нарушения. В этом случае прояснить букву закона поможет судебная практика. Но опять же непонятно, на каком основании будет начинаться судебное разбирательство – по обращению Роскомнадзора или любого другого лица.

Блокировка сайта нарушителя, внесение его в «черный список» Роскомнадзора и право пользователей на удаление своих персональных данных по решению суда – все это едва ли можно считать новеллами закона. По сути это небольшой «апгрейд» положений законов «О персональных данных» и «Об информации», в которых достаточно полно изложены и карательные процедуры (включая формирование реестра нарушителей), и механизмы судебной защиты граждан.

О персональных данных

Стоить отдать должное тому широкому общественному резонансу, который развернулся синхронно с официальными обсуждениями закона. Пользователи, которые прежде считали, что персональные данные – это Ф.И.О., сведения паспорта и номер телефона, наконец-то получили глоток трезвости и здравомыслия. Оказалось, что за аббревиатурой ПД скрывается «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (п. 1 ст. 3 152-ФЗ). Это могут быть и данные о здоровье, и информация по проведенным транзакциям, и переписка в соцсетях, и зарегистрированные аккаунты в онлайн-магазинах.

Для бизнеса персональные данные – вездесущий информационный «материал». Например, для клиентов «Глобал Офис», работающих на выделенном сервере «1С: Предприятие. Зарплата и Управление Персоналом» , вопрос о персональных данных встает всякий раз при подготовке отчетности, начислении заработной платы и отпускных, расчете больничных и изыскании налогов. Более того, безобидные на первый взгляд документы, созданные с помощью программных продуктов Microsoft Word , Excel, Power Point и др., могут попасть под статью нового закона, даже если их основное содержание не имеет никакого отношения к отправителю или получателю. Как такое возможно? Благодаря метаданным, которые могут храниться не только в самом документе, но и в описании его свойств: например, имя автора, имя пользователя, почтовый адрес, сохранившего документ последним, заголовки сообщений электронной почты и т.д. Такую же скрытую опасность представляет регистрация профиля и пересылка писем через Microsoft Outlook.

Наряду с персональными данными сотрудников компаниям приходится иметь дело и с другими видами конфиденциальной информации, к которой относятся реквизиты компании, информация о контрагентах и др. По закону персональные данные – один из шести видов сведений конфиденциального характера (см. Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера»). Для удобства между нами и нашими клиентами существует договоренность о том, что все сведения, хранящиеся в предоставляемых нами программных продуктах 1С, являются персональными, а, следовательно, к ним применяются процедуры шифрования, обезличивания и др. механизмы зашиты данных.

Что делать бизнесу?

Построить собственный дата-центр и спать спокойно – технологическая роскошь, которая по зубам только крупным компаниям. У компании «Яндекс» на строительство первой фазы дата-центра ушло порядка двух лет и еще большая куча денег. Самое вероятное решения для большинства российских середнячков – это звонок в уже действующий дата-центр, где предлагают услуги по размещению серверов (colocation).

Другой законный способ установить с новым законом дружественный контакт – обезличивание данных. Некоторые эксперты возлагают на него большие надежды. Персональные данные будут отделены от субъекта таким образом, чтобы их невозможно было соотнести с конкретным человеком. В таком «аморфном» виде с ними можно делать все, что угодно. Предполагается, что обратная привязка к человеку будет осуществляться по возвращению обезличенных данных на территорию РФ. Сегодня такая технология успешно применяется в медицине. Обезличить данные можно при помощи популярных решений ERP и CRM производства Microsoft, SAP или Oracle.

На еще одну лазейку в принятом законе указали юристы. Ныне действующее законодательство не запрещает пересылку данных за границу и дублирование информации. Теоретически персональные данные могут храниться на территории России и далее свободно уходить в продублированном виде на иностранные серверы.

Формально выполнить требование о хранении данных на российских серверах также позволяют специальные программы (в компании «Глобал Офис» это SecurityIP). Они скрывают конечный IP-адрес рабочего сервера, для того чтобы нельзя было определить точное местоположение сервера.

Безусловно, изменения в главном законе о персональных данных создают трудности не только для бизнес-сообщества, но и для пользователей. И при настойчивом молчании Роскомнадзора ответы на возникающие вопросы пока остаются открытыми. Поправки о перенесении сроков вступления закона в силу на 1 января 2015 года все еще обсуждаются в правительственных кабинетах. Бизнес по-прежнему требует от парламентариев больше конкретных формулировок и меньше туманных фраз. Первое в списке – замена определения персональных данных. Без четкого понимания того, какие виды сведений могут быть классифицированы как ПД, едва ли возможна защита прав граждан, громко заявленная в новом законе.

Новой головной болью для компаний, юристов и IT-специалистов стал федеральный нормативный акт от июля 2014 № 242-ФЗ, согласно которому с сентября 2017 должны были вступить в силу изменения в Закон № 152-ФЗ «О персональных данных». В декабре 2014 вступление в силу нововведений было передвинуто на более ранний срок – на первое число сентября 2015.

Закон о защите персональных данных с 1 сентября 2018

Что является целью документа о сохранности информации? Нормативный документ о защите субъектов индивидуальных сведений изначально был принят для того, чтобы обеспечивать сохранность информации о личной жизни и регулировать работу операторов по обработке и использованию сведений о физических лицах.

Уполномоченным органом, контролирующим соблюдение положений Закона, утвержден Роскомнадзор, находящийся в составе Министерства связи, главой которого является Никифоров Николай Анатольевич, назначенный Президентом страны.

Федеральный закон с изменениями: что такое?

Каждому основополагающему нормативному акту при его утверждении присваивается определенный номер и наименование. Для того, чтобы при внесении очередных изменений не менять его установленные общеизвестные параметры принимаются федеральные законы об изменениях в основной нормативный акт. Они также позволяют проследить, когда и какие были внесены корректировки и дополнения.

Последняя редакция

Сегодня текст нормативного документа, регулирующего использование персональных сведений, по мнению экспертов и пользователей требует многочисленных доработок, так как многие его положения изложены в обобщающих вариантах без детальных пояснений. Новый закон, ужесточающий требования к операторам, стал причиной острой необходимости в разработке новых изменений, касающихся детализации отдельных понятий нормативного документа.

Закон о персональных данных с 1 сентября 2018

Необходимость в принятии корректировок в Закон озащите личных сведений связана с последними событиями (санкции со стороны стран Европы и Америки, включение РК в состав Российской Федерации, нестабильная ситуация на территории ДНР, ЛНР).

Соблюдение требований нормативного акта о сохранности личных данных россиян должны осуществляться не только при обработке информации интернет-компаниями, но и банками, работодателем, работниками полиции, в школе и в ином общественном предприятии.

О хранении на территории РФ

С внесением корректировок изменился порядок хранения персональной информации. В частности, все сведения о гражданине России должны аккумулироваться только с применением российских баз данных. Это означает, что сбор, запись, накопление, систематизация, обновление, уточнение и извлечение данных или отдельных их частей, находящихся под защитой, должно осуществляться на дата-серверах, которые располагаются на российской территории.

Исключением является обработка данных, необходимая для соблюдения условий международных соглашений (например, договор РФ и Латвийской республики о взаимодействии по гражданским и семейным делам), для осуществления правосудия, научной и литературной деятельности, для исполнения обязанностей государственных органов.

О передаче третьим лицам

Передача личных сведений третьим лицам допускается только при получении согласия ее собственников (работников организации, пользователей информационных и телекоммуникационных сетей интернета и иных). Согласие о предоставлении личных данных оформляется в любой, подтверждающей этот факт форме. Если персональные сведения обрабатываются наемными работниками, то они обязаны ознакомится с соглашением об их неразглашении в соответствии с положениями НПА и Трудового кодекса.

Закон о персональных данных с 1 января 2018 с комментариями

Обойти новое требование можно при помощи такой технической функции, как обезличивание охраняемых данных. Также в Закон о сборе личной информации не внесен никакой запрет на перенос сведений за границу. Получается, что теоретически место локализации сведений должно быть в России, но их можно хранить в продублированном виде и на иностранном сервере.

Более подробно закон о конфиденциальной информации и защите персональных данных с пояснениями о внесенных изменениях можно бесплатно изучить на справочных и правовых сайтах (Консультант Плюс, Гарант, Википедия). Там же можно скачать образец соглашения о неразглашении персональной информации.

Если же нужна только суть, итоговый анализ или краткое содержание нормативного документа, то рекомендуется прочитать реферат, также подойдет аудио- и видео-презентация на тему о персональных сведениях. В книгах можно найти перевод закона на английский язык, который будет актуальным при ознакомлении с положениями нормативного акта иностранными лицами.

Изменения и основные положения

Сегодня при заключении различных договоров или оказании услуг, которые требуют указания личных сведений требуется получить согласие о раскрытии личных сведений. Причем к личной информации относится как адрес и паспортные данные, так и иные виды, в частности, переписка в соцсетях, сведения о здоровье, регистрация в онлайн-ресурсах.

Кого касаются принятые дополнения? Новшества поставили в затруднительное положение не только компании, предоставляющие услуги с использованием личных сведений, но и их пользователей. Так как для получения доступа к услугам им теперь постоянно придется заполнять либо заявление о согласии, либо ставить обязательную галочку в пункте «Соглашение об использовании персональных данных». А это приводит только к непониманию и недоверию к оператору услуг. Так как каждый раз возникает вопрос: «Зачем нужен этот пункт? Не будет ли использовано это согласие не в моих интересах?».

Штраф: сколько заплатишь о разглашении?

Чаще всего нормативные документы о защите личной информации нарушают коллекторы, хакеры, банковские служащие, работники ЖКХ. Куда жаловаться и как могут наказать за нарушение конфиденциальности? Нарушение законодательных требований о сохранении личной информации пользователей влечет ответственность в форме штрафа, блокировки и удалении сайта, увольнения, ограничения свободы или ее лишения на срок до двух лет.

Гражданство

Как следует из положений частей 2 и 3 статьи 105 Воздушного кодекса Российской Федерации, договор воздушной перевозки пассажира, договор воздушной перевозки груза или договор воздушной перевозки почты удостоверяется соответственно билетом и багажной квитанцией в случае перевозки пассажиром багажа, грузовой накладной, почтовой накладной; билет, багажная квитанция, иные документы, используемые при оказании услуг по воздушной перевозке пассажиров, могут быть оформлены в электронном виде (электронный перевозочный документ) с размещением информации об условиях договора воздушной перевозки в автоматизированной информационной системе оформления воздушных перевозок. Таким образом, авиаперевозчикам в целях реализации вышеуказанных положений закона, требуется осуществление деятельности по обработке персональных данных пассажира в целях оформления документов, удостоверяющих заключение договора воздушной перевозки.

В соответствии со ст. 85.1 Воздушного кодекса Российской Федерации, в целях обеспечения авиационной безопасности перевозчики обеспечивают передачу персональных данных пассажиров воздушных судов в автоматизированные централизованные базы персональных данных о пассажирах в соответствии с законодательством Российской Федерации о транспортной безопасности и законодательством Российской Федерации в области персональных данных, при международных воздушных перевозках также в уполномоченные органы иностранных государств в соответствии с международными договорами Российской Федерации или законодательством иностранных государств вылета, назначения или транзита в объеме, предусмотренном законодательством Российской Федерации, если иное не установлено международными договорами Российской Федерации. При этом следует иметь ввиду, что Российская Федерация является стороной ряда международных конвенций в области авиаперевозок, в частности, Чикагской конвенции («Конвенция о международной гражданской авиации» заключена в Чикаго 7 декабря 1944 года, вступила в силу для Российской Федерации 16 августа 2005 года - «Собрание законодательства РФ», 30.10.2006, №44) , Варшавской конвенции («Конвенция об унификации некоторых правил, касающихся международных воздушных перевозок» заключена в Варшаве 12 октября 1929 года, вступила в силу для СССР 13 февраля 1933 года, Сборник действующих договоров, соглашений и конвенций, заключенных СССР с иностранными государствами, Вып. VIII, - М., 1935, с. 326 - 339. ) и Гваладахарской конвенции («Конвенция, дополнительная к Варшавской конвенции, для унификации некоторых правил, касающихся международных воздушных перевозок, осуществляемых лицом, не являющимся перевозчиком по договору» заключена в Гвадалахаре 18 сентября 1961 года, вступила в силу для СССР 21 декабря 1983 года, «Ведомости ВС СССР», 15.02.1984, №7 ), которые также составляют неотъемлемую часть правового регулирования деятельности авиаперевозчиков и связанных с нею информационных процессов.

Исходя из вышеизложенного, требования ч. 5 ст. 18 ФЗ «О персональных данных» не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, так как они подпадают под исключение, предусмотренное п. 2 ч. 1 ст. 6 ФЗ «О персональных данных».

Требования ч. 5 ст. 18 ФЗ «О персональных данных» также не распространяются на деятельность лиц, действующих от имени авиаперевозчика (уполномоченный агент), деятельность которых предусмотрена пунктом 6 Общих правил воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Минтранса России №82 от 28 июня 2007 года «Об утверждении Федеральных авиационных правил "Общие правила воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей», а также иных лиц, в части обработки персональных данных граждан-пассажиров исключительно для целей бронирования, оформления и выдачи последним авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, в том числе в электронном виде при внутрироссийских и международных перелетах, в случае, если вышеуказанная деятельность данных лиц предусмотрена законодательством Российской Федерации или соответствующим международным договором, в том числе для целей обеспечения авиационной безопасности.

В случае, если обработка персональных данных подпадает под исключения, предусмотренные пунктами 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных», положения части 5 статьи 18 152-ФЗ не применяются. Соответствующая квалификация осуществляемых действий по обработке персональных данных и обеспечение ее соответствия требованиям законодательства осуществляются оператором персональных данных при обеспечении (организации обеспечения) такой обработки. Корректность упомянутой квалификации и обеспечения обработки в конкретной ситуации проверяется уполномоченным федеральным органом при проведении контрольных мероприятий.

Товары и услуги

Из совокупности положений части 5 статьи 18 Федерального закона «О персональных данных» («при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона) и пункта 2 части 1 статьи 6 Федерального закона «О персональных данных» («обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей») следует, что обработка персональных данных в целях и в соответствии с требованиями, установленными ратифицированной Российской Федерацией Конвенции Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера не противоречит законодательству Российской Федерации, регулирующему отношения в области защиты персональных данных. Кроме того, часть 5 статьи 18 152-ФЗ не ограничивают трансграничную передачу персональных данных граждан Российской Федерации.

Закон не предусматривает понятия «первичный сбор», а устанавливает требования к обработке персональных данных при любом сборе информации, при этом выделяя такие операции с ПД, как уточнение (обновление, изменение) информации, содержащей персональные данные. В целях закона в процесс сбора информации включены также процедуры хранения и накопления информации, что само по себе не позволяет использовать такое понятие, как «первичный сбор». Таким образом, закон налагает на оператора обязанность при осуществлении обработки собранных персональных данных путем систематизации, накопления, хранения, уточнения, извлечения, использовать базы данных, находящиеся на территории Российской Федерации. Таким образом, если для составления отчетности, либо анализа информации, содержащей персональные данные, оператору требуется осуществить упомянутые формы обработки персональных данных, то такие действия должны осуществляться с использованием баз данных, находящихся на территории Российской Федерации.

Трактовка в части первичного сбора является неверной по следующим основаниям. Закон не предусматривает понятия «первичный сбор», а устанавливает требования к обработке персональных данных при любом сборе информации, при этом выделяя такие операции с ПД, как уточнение (обновление, изменение) информации, содержащей персональные данные. В целях закона в процесс сбора информации включены также процедуры хранения и накопления информации, что само по себе не позволяет использовать такое понятие, как «первичный сбор». Таким образом, закон налагает на оператора обязанность при осуществлении обработки собранных персональных данных путем систематизации, накопления, хранения, уточнения, извлечения, использовать базы данных, находящиеся на территории Российской Федерации.

В соответствии с положениями пункта 7 части 4 статьи 16 Федерального закона №149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации», обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

Принимая во внимание также положения части 5 статьи 18 Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных» (вступающей в силу с 1 сентября 2015 года), устанавливающих, что при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, считаем, что обработка ПД граждан Российской Федерации на территории другого государства может осуществляться исключительно в случаях, предусмотренных пунктами 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных», для которых имеется изъятие в части 5 статьи 18 152-ФЗ. Следует также учитывать, что законодательно не имеется разделений на «основную» базу персональных данных и ее «копию». В обоих случаях речь идет о базе данных, с помощью которой обрабатываются персональные данные. Вместе с тем, Федеральный закон не содержит указаний на общий запрет обработки персональных данных граждан Российской Федерации с использованием баз данных, не находящихся на территории Российской Федерации.

В этой связи считаем, что обработка персональных данных граждан Российской Федерации посредством сбора, записи, систематизации, накопления, хранения, уточнения, извлечения может осуществляться с использованием баз данных, не находящихся на территории Российской Федерации в следующих случаях:

если такая деятельность подпадает под случаи, предусмотренные пунктами 2-4, 8 части 1 статьи 6 152-ФЗ;
если такая деятельность не подпадает под случаи, предусмотренные пунктами 2-4, 8 части 1 статьи 6 152-ФЗ, и на территории Российской Федерации находятся используемые для такой обработки персональных данных базы данных, в которых содержится больший объем персональных данных или равный находящемуся за пределами территории Российской Федерации (в этом случае недопустимо нахождение за пределами территории Российской Федерации персональных данных, которые одновременно не находятся в пределах территории Российской Федерации).

Трансграничная передача персональных данных не запрещена при условии соблюдения требований, установленных в статье 12 Федерального закона №152-ФЗ. При этом трансграничная передача данных должна иметь заранее определенную цель обработки, при достижении которой субъекту персональных данных должно быть гарантировано уничтожение переданных данных на территории иностранного государства. При соблюдении указанных требований ответственность, предусмотренная российским законодательством, применима к оператору в случае нарушения порядка и условий, установленных для договора-поручения.

В соответствии с положениями пункта 2 статьи 3 Федерального закона «О персональных данных», оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, положения Федерального закона №242-ФЗ распространяются на всех вышеуказанных субъектов. Принятый федеральный закон не привязывает распространение части 5 статьи 18 152-ФЗ только к операторам, где обработка персональных данных является их основным видом деятельности, либо к операторам, обрабатывающим персональные данные только с использованием информационно-телекоммуникационных сетей.

В соответствии с положениями пункта 2 статьи 3 Федерального закона «О персональных данных», оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, положения Федерального закона №242-ФЗ распространяются на всех вышеуказанных субъектов. Принятый федеральный закон не привязывает распространение части 5 статьи 18 152-ФЗ только к операторам, где обработка персональных данных является их основным видом деятельности, либо к операторам, обрабатывающим персональные данные только с использованием информационно-телекоммуникационных сетей. В существующих планах законопроектной деятельности не предусмотрена разработка проекта федерального закона, корректирующего это положение.

Вышеуказанные требования закона распространяются, в том числе, и на обработку оператором полученных в результате сбора персональных данных, а именно запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение.

Понимание правильное. 152-ФЗ термин «использование персональных данных» не раскрывает. В целях толкования под «использованием персональных данных» можно понимать действия с персональными данными, не относящиеся к иным формам обработки персональных данных, в том числе принятие решений на основе персональных данных, для осуществления которых был осуществлен сбор персональных данных (цель сбора персональных данных должна соответствовать цели использования персональных данных).

Понятие «оператор» содержится в статье 3 закона №152-ФЗ, под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Принимая во внимание, что статья 3 Закона №152-ФЗ не содержит исключений в части осуществления лицом отдельных операций по обработке персональных данных, а равно иных определений, отличных от оператора, лицо, определяющее цель обработки персональных данных, либо осуществляющее отдельные действия по обработке персональных данных в контексте положений закона №152-ФЗ является оператором, осуществляющим обработку персональных данных.

— Действительно ли не требуется повторное или дополнительное уведомление об обработке персональных данных после 1 сентября 2015 года. Нужно ли дополнительно сообщать, где находятся базы данных?

Понятия «повторного» или «дополнительного» уведомления не существует. Статьей 22 Федерального закона «О персональных данных» установлена обязанность оператора до начала обработки персональных данных направить уведомление. В части 2 указанной статьи приведен ряд исключений, когда такого уведомления не требуется. В Федеральный закон №242-ФЗ вносятся изменения в часть 3, которая определяет требования к содержанию уведомления. Если организация ранее направила в Роскомнадзор уведомление об обработке персональных данных, то после вступления в силу закона операторы, руководствуясь частью 7 данной статьи, должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.

— Подпадает ли первоначальный сбор персональных данных на бумажных носителях с последующим их внесением в электронную базу данных под требования части 5 статьи 18 Федерального закона №152-ФЗ?

Согласно требованиям части 5 статьи 18 Федерального закона №152-ФЗ при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона. Основополагающим принципом законодательства в области персональных данных является принцип, согласно которому обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. В связи с этим внесение персональных данных в информационную систему персональных данных, используемую в целях, аналогичных сбору данных на бумажных носителях, следует рассматривать как единый процесс, реализация которого должна осуществляться в строгом соответствии с требованиями части 5 статьи 18 Федерального закона №152-ФЗ. Разделение указанного единого процесса на отдельные действия законодательством Российской Федерации в области персональных данных не предусмотрено. Таким образом, отдельные виды обработки персональных данных, предусмотренные частью 5 статьи 18 Федерального закона №152-ФЗ, в том числе сбор персональных данных на бумажных носителях с последующим их внесением в электронную базу данных, должны осуществляться как единый процесс в правовом поле законодательной нормы, обязывающей хранить персональные данные на территории Российской Федерации.