Обработка персональных данных в РФ в 2017 году: действующие правила

20.11.2016

В свете недавних изменений профильного законодательства, а также практики его применения, стоит уделить внимание следующим нормативно-правовым актам. Основной закон, регулирующий отношения, связанные с обработкой персональных данных в РФ это Федеральный закон «О персональных данных» от 27 июля 2006 года № 152-ФЗ (далее — Закон № 152-ФЗ), в котором приводятся определения основных понятий:

— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

— оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

— обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

— трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Пункт 1 ч. 1 ст. 6 Закона № 152-ФЗ устанавливает, что обработка персональных данных допускается, если она осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

Часть 5 ст. 18 Закона № 152-ФЗ устанавливает, что при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 данного Федерального закона. Данное положение действует с 1 сентября 2015 года.

Статья 12 Закона № 152-ФЗ устанавливает правила осуществления трансграничной передачи данных. Такая передача допускается на территорию станы — участницы Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 года), или страны, обеспечивающей «адекватную защиту прав субъектов персональных данных» (уполномоченный орган утвердил перечень таких государств). В случае передачи данных на территорию государства, не обеспечивающего «адекватной защиты», такая передача может осуществляться в случае наличия письменного согласия субъекта персональных данных на их трансграничную передачу, а также в случае исполнения договора, стороной которого является субъект персональных данных.

Часть 1 ст. 22 Закона № 152-ФЗ устанавливает, что оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 данной статьи. Часть 2 устанавливает, что оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных на обработку персональных данных, полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.

В соответствии с положениями ст. 23 Закона № 152-ФЗ, уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. Таким федеральным органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор.

Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года № 149-ФЗ регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации, применении информационных технологий и обеспечении защиты информации. Статья 15.1  данного федерального закона (далее — Закон № 149-ФЗ) устанавливает, что в целях ограничения доступа к сайтам в сети «Интернет», содержащим информацию, распространение которой в Российской Федерации запрещено, создается единая автоматизированная информационная система «Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено» (далее — реестр).

В данный реестр включаются:

1) доменные имена и (или) указатели страниц сайтов в сети «Интернет», содержащих информацию, распространение которой в Российской Федерации запрещено;

2) сетевые адреса, позволяющие идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено.

В соответствии с положениями ч. 5 ст. 15.1 Закона № 149-ФЗ, основаниями для включения в данный реестр сведений, в том числе, является вступившее в законную силу решение суда о признании информации, распространяемой посредством сети «Интернет», информацией, распространение которой в Российской Федерации запрещено.

Порядок ограничения доступа к сайтам по перечисленным выше основаниям (включение в реестр) регулируется положениями ст. 15.1. Закона № 149-ФЗ.

Часть 1 ст. 15.5 Закона № 149-ФЗ устанавливает, что в целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных» (далее — реестр нарушителей).

Часть 2 данной статьи устанавливает перечень включаемых в такой реестр нарушителей данных.

1) доменные имена и (или) указатели страниц сайтов в сети «Интернет», содержащих информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных;

2) сетевые адреса, позволяющие идентифицировать сайты в сети «Интернет», содержащие информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных;

3) указание на вступивший в законную силу судебный акт;

4) информация об устранении нарушения законодательства Российской Федерации в области персональных данных;

5) дата направления операторам связи данных об информационном ресурсе для ограничения доступа к этому ресурсу.

Основанием для включения в реестр нарушителей информации, указанной в части 2 настоящей статьи, является вступивший в законную силу судебный акт.

В соответствии с положениями ч. 7 ст. 15.5 Закона № 149-ФЗ, в течение трех рабочих дней со дня получения вступившего в законную силу судебного акта федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, на основании указанного решения суда:

1) определяет провайдера хостинга или иное лицо, обеспечивающее обработку информации в информационно-телекоммуникационной сети, в том числе в сети «Интернет», с нарушением законодательства Российской Федерации в области персональных данных;

2) направляет провайдеру хостинга или иному указанному в пункте 1 настоящей части лицу в электронном виде уведомление на русском и английском языках о нарушении законодательства Российской Федерации в области персональных данных с информацией о вступившем в законную силу судебном акте, доменном имени и сетевом адресе, позволяющих идентифицировать сайт в сети «Интернет», на котором осуществляется обработка информации с нарушением законодательства Российской Федерации в области персональных данных, а также об указателях страниц сайта в сети «Интернет», позволяющих идентифицировать такую информацию, и с требованием принять меры по устранению нарушения законодательства Российской Федерации в области персональных данных, указанные в решении суда;

3) фиксирует дату и время направления уведомления провайдеру хостинга или иному указанному в пункте 1 настоящей части лицу в реестре нарушителей.

Порядок ограничения доступа к сайтам по перечисленным выше основаниям (включение в реестр нарушителей) регулируется положениями ст. 15.5. Закона № 149-ФЗ.

Таким образом, действующее законодательство содержит меры, направленные на установление контроля за обработкой персональных данных в РФ, и тенденции его применения в будущем заключаются в дальнейшем усилении такого контроля.