Закон украины о защите персональных данных 2014

Защита персональных данных: чей опыт может пригодиться Украине

Закон украины о защите персональных данных 2014

Защита персональных данных уже стала частью законодательства каждой развитой страны.

А что Украина? В 2010 году был принят закон «О защите персональных данных». Год спустя президент определил уполномоченный орган по вопросам защиты персональных данных — Государственную службу Украины по вопросам защиты персональных данных.

В 2013 году правительство прислушалось к мнению европейских специалистов. Последние считали украинскую службу по вопросам защиты персональных данных недостаточно независимой. Для устранения этого недостатка ее передали уполномоченному Верховной рады Украины по правам человека.

Использование в качестве государственного регулятора омбудсмена — привычное явление в Европе.

Украина в вопросе защиты персональных данных опирается на международный опыт. Но в государстве пока нет достаточной законодательной базы и системы, способной эффективно работать в современных условиях.

Чтобы обозначить вектор развития и исправить недоработки, стоит обратить внимание на то, как этот вопрос регулируется в других странах.

Поскольку Украина берет пример с Европы, хотелось бы подробнее остановиться на развитии системы в ЕС.

Европейское законодательство больше двух десятилетий совершенствует систему защиты персональных данных.  

В мае 2018 года вступит в силу новое положение о защите данных. В числе нововведений — запрет на сбор персональных данных компаниями и государством без разрешения со стороны физлица. Исключения допускаются только в том случае, если в стране существуют законодательные положения, которые принуждают к передаче информации.

Вторым пунктом стало «право на забвение».

Это означает, что , Google, и другие крупные компании обязаны удалить аккаунт и личные данные пользователя по первому запросу.

Компании не имеют права передавать персональные данные пользователей в страны, где уровень защиты ниже, чем в ЕС.

Также подтверждать разрешение на обработку персональных данных теперь можно не с 13, а с 16 лет. На компании с европейскими представительствами накладывается ряд ограничений.

Им нельзя обмениваться данными с другими подразделениями, если не соблюдаются правила по защите данных. Также нельзя передавать информацию властям США и других стран.

Каждый человек может обратится с жалобой в ведомство в одной из 28 стран ЕС. Все они подконтрольны Европейскому комитету по защите персональных данных.

Нарушения в этой области наказываются в зависимости от серьезности. В том числе и штрафом до 4% годового оборота. С оригинальным текстом документа можно ознакомиться на сайте права Европейского Союза.

Помимо европейской системы защиты, каждая страна прошла свой путь создания. Например, в Германии первый закон в сфере защиты персональных даных был принят в еще 1970 году в земле Гессен. А спустя семь лет появился первый федеральный закон, защищающий персональные данные немцев.

Его пересмотрели в 1990 году, адаптировав под новые реалии. Главной целью закона стала защита неприкосновенности частной жизни при использовании персональных данных. Уже та редакция закона регламентировала сбор, обработку и использование персональной информации, которые собирало государство и негосударственные учреждения.

Исполнение закона правительство возложило на Федеральную комиссию по защите персональных данных. В каждой из 16 земель приняли собственные законы в этой сфере. Их исполнение регулируется специальными комиссиями. Внедренное в ЕС с 2018 года положение о защите данных распространяется и на Германию. 

Служить примером может также Франция. В процессе создания системы

французское общество прошло через попытку тотального контроля над гражданами, но сумело сохранить демократические принципы.

В начале 1970-х годов правительство приняло Национальный информационный план. Его целью стало создание банков данных. Правительство запустило проекты SIRENE и SAFARI, которые выдавали идентификационные коды компаниям и частным лицам. В дальнейшем их планировали использовать, чтобы устанавливать взаимосвязи между различными базами данных.

Французскому обществу подобный подход не понравился, что вызвало волну негативных публикаций в прессе. В итоге правительство свернуло план и занялось созданием системы защиты персональных данных.

С 1974 года действует «Французская национальная комиссия по обработке данных и гражданским свободам». Она стала регулятором системы защиты персональных данных в стране.

В 1978 году правительство приняло закон «Об обработке данных, файлах данных и индивидуальных свободах». В нем, помимо определения ключевых понятий, установлены наказания за нарушения. Правонарушители штрафуются, а также могут получить тюремный срок до 5 лет.

Впоследствии правительство приняло ряд законов для укрепления этой системы. Франция чрезвычайно жестко следит за защитой прав и свобод своих граждан. Нарушения в области персональных данных освещаются в прессе.

Франция — отличный пример страны с развитой системой защиты персональной информации, базирующейся на проработанном законодательстве. Государство активно борется с нарушениями, в том числе штрафует крупные компании. 

Еще один пример — Великобритания. Система защиты персональных данных здесь начала формироваться позже, чем во Франции и Германии, профильный закон был принят в 1984 году.

В нем, помимо основных положений, указывались требования к структурам, собирающим и обрабатывающим персональную информацию. Каждый из таких пользователей обязан сообщить об информации, которую собирает, и целях.

Для этого правительство создало специальный Регистр защиты данных. Невыполнение этого требования карается законом.

Каждый житель страны имеет право узнать, владеет ли та или иная организация его персональными данными.

Особенно жестко в Великобритании наказывают за потерю персональных данных. Регулятором в этой сфере выступает Комиссариат по защите информации, а также ряд независимых комиссий.

* * * * *

Система защиты персональных данных в Украине нуждается в реформировании и развитии. У государства нет достаточной законодательной базы и структуры для улучшения ее эффективности.

Свою роль в этом сыграла попытка скопировать идеи западных стран. Последние постепенно выстраивали системы, устраняли слабые места и адаптировались к новым условиям.

Украинская система пока слишком молода и уязвима. Усложняет ситуацию низкая осведомленность граждан, в том числе и правовая.

Решение этих проблем — длительный процесс, который может длиться годами.

Публикации в рубрике «Экспертное мнение» не являются редакционными статьями и отражают исключительно точку зрения автора 

Источник: https://www.eurointegration.com.ua/rus/experts/2018/01/16/7076152/

Какие изменения претерпел закон

Закон украины о защите персональных данных 2014

data-eval=if (window.outerWidth

1 января 2014 года вступили в силу изменения к Закону Украины «О защите персональных данных» (далее — «Закон»). Среди основных изменений необходимо отметить следующие.

Новый уполномоченный орган в сфере защиты персональных данных

Согласно Закону, функции Государственной службы Украины по вопросам защиты персональных данных — уполномоченного органа в сфере защиты персональных данных — передаются Уполномоченному Верховной Рады Украины по правам человека (далее — «Омбудсмен»). Кроме того, полномочия Омбудсмена были значительно расширены.

Так, Омбудсмен имеет право проводить выездные и безвыездные, плановые и внеплановые проверки владельцев и распорядителей персональных данных. Причем порядок проведения таких проверок утверждается самим Омбудсменом.

Основанием для проведения внеплановой проверки может быть обращение или жалоба физического или юридического лица, наличие фактов или информация о нарушении законодательства о защите персональных данных, а также инициатива самого Омбудсмена.

По результатам проведения проверки или рассмотрения обращения или жалобы от физического или юридического лица Омбудсмен имеет право выдавать обязательные для выполнения требования (предписания), составлять протоколы о привлечении к административной ответственности и передавать их на рассмотрение в суд.

Все самое важное в Telegram

Кроме того, Омбудсмен имеет право доступа к любой информации (документам) владельцев или распорядителей персональных данных, в том числе право доступа к самим персональным данным. Необходимо отметить, что Государственная служба Украины по вопросам защиты персональных данных ранее не имела права доступа к самим персональным данным.

Также Омбудсмен уполномочен предоставлять рекомендации относительно практического применения законодательства о защите персональных данных, утверждать нормативно-правовые акты в сфере защиты персональных данных, а также выдавать заключения относительно проектов кодексов поведения в сфере защиты персональных данных.

Поскольку изменения к Закону вступили в силу только 1 января 2014 года, еще пока рано судить или характеризовать деятельность Омбудсмена, однако сам факт предоставления ему достаточно широких полномочий в сфере контроля может способствовать усилению давления со стороны контролирующих органов на бизнес.

Отмена обязательной регистрации баз персональных данных

Закон отменяет обязательную регистрацию баз персональных данных, однако Закон вводит требование об обязательном уведомлении Омбудсмена в случае, если владелец персональных данных производит обработку персональных данных, которая представляет особый риск для прав и свобод субъектов персональных данных. 8 января 2014 года Омбудсмен разъяснил, обработка каких персональных данных представляет особый риск для прав и свобод субъектов персональных данных, а именно это персональные данные относительно:

• расового, этнического и национального происхождения;

• политических, религиозных или мировоззренческих убеждений;

• членства в политических партиях и/или организациях, профессиональных союзах, религиозных организациях или в общественных организациях мировоззренческой направленности;

• состояния здоровья, половой жизни;

• биометрические или генетические данные;

• привлечения к административной или уголовной ответственности;

• применения к лицу мер в рамках досудебного расследования или мер, предусмотренных Законом Украины «Об оперативно-розыскной деятельности»;

• совершения в отношении лица тех или иных видов насилия;

• местонахождения и/или путей передвижения лица.

Такое уведомление должно быть сделано на протяжении 30 дней со дня начала такой обработки. Также владельцы персональных данных обязаны уведомлять Омбудсмена о каждом изменении сведений, подлежащих уведомлению, в течение 10 дней со дня наступления такого изменения.

Владельцы персональных данных, которые на момент вступления в силу изменений к Закону (т.е. по состоянию на 1 января 2014 года) осуществляют обработку персональных данных, которая подлежит уведомлению, обязаны подать соответствующее уведомление Омбудсмену в течение 6 месяцев со дня вступления изменений в силу, т.е. до 1 июля 2014 года.

В целом отмена обязательной регистрации персональных баз данных является позитивным нововведением. Также учитывая, что на практике достаточно немного компаний осуществляют обработку выше указанных персональных данных, есть основания надеяться, что эта норма Закона будет иметь лишь позитивное влияние на бизнес-среду в Украине.

Другие изменения

Из Закона было удалено определение «согласие субъекта персональных данных». Таким образом, Закон не устанавливает форму, в которой согласие должно быть предоставлено. Однако Омбудсмен разъяснил , что согласие может быть предоставлено как в письменной форме, так и в электронной форме, которая дает возможность сделать заключение о ее предоставлении.

Также был дополнен перечень оснований для обработки персональных данных. Так, согласие субъекта персональных данных на обработку его персональных данных не требуется, если такая обработка вызвана необходимостью исполнения владельцем или распорядителем персональных данных его обязанностей, предусмотренных законом.

Кроме того, срок уведомления субъекта персональных данных о владельце персональных данных, содержание собранных персональных данных и его правах, предусмотренных Законом, в некоторых определенных Законом случаях, был продлен с 10 до 30 дней.

Типовой порядок обработки персональных данных

8 января 2014 года Омбудсмен утвердил Типовой порядок обработки персональных данных (далее — «Порядок»), в котором детализируются многие положения Закона.

Однако в Порядке нашли отображение и достаточно много нововведений.

Так, владельцы и распорядители персональных данных обязаны осуществлять меры по обеспечению защиты персональных данных, которые, предусматривают обязанность владельцев и распорядителей персональных данных, среди прочих:

• вести учет операций, связанных с обработкой персональных данных;

• разработать план действий на случай несанкционированного доступа к персональным данным, повреждения технического оборудования или возникновения чрезвычайных ситуаций;

• проводить регулярное обучение сотрудников, которые работают с персональными данными.

В целом изменения к Закону, которые вступили в силу 1 января 2014 года, можно считать позитивными, поскольку отменяется обязательная регистрация баз персональных данных, устанавливаются дополнительные основания для обработки персональных данных, которые позволят сократить количество случаев, в которых необходимо получать согласие субъекта персональных данных.

Однако среди возможных негативных нововведений следует отметить расширение полномочий Омбудсмена, что может привести к увеличению давления контролирующих органов на бизнес-среду.

Также уточненные и детализированные требования к обработке персональных данных, изложенные в Порядке, несут в себе достаточно много новых и обременительных требований для владельцев и распорядителей персональных данных.

А их несоблюдение может привести к административной, а в самых крайних случаях, даже к уголовной ответственности должностных лиц владельцев и распорядителей персональных данных.

Источник: https://delo.ua/econonomyandpoliticsinukraine/kakie-izmenenija-preterpel-zakon-o-zaschite-personalnyh-dannyh-225985/

GDPR — новые правила обработки персональных данных в Европе для международного IT-рынка

Закон украины о защите персональных данных 2014

В мае 2018 года Европа переключится на обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation).

Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года.

Важным нюансом GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому российским компаниям следует внимательно отнестись к ним, если услуги ориентированы на европейский или международный рынок.

Новый регламент предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными.

С мая 2018 года ужесточается ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании.

В настоящей статье мы проанализировали новые правила обработки персональных данных в ЕС и сформулировали рекомендации для российских компаний по методам реагирования на GDPR.

GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании. Разумеется, филиалы, представительства российских организаций на территории ЕС должны будут соответствовать новым требованиям. Другую (неочевидную) категорию субъектов рассмотрим на следующем примере:

Организация базируется в России. Она продает онлайн товары и услуги пользователям, в том числе пользователям из ЕС. Услуги предоставляются пользователям на локальных языках в местных валютах на национальных доменах верхнего уровня стран ЕС (напр., «.de», «.nl» или «.co.uk»). При этом эта организация не производит никаких операций или субподрядчиков непосредственно на территории ЕС.

Должна ли такая организация соблюдать GDPR?
Да.

Ведь услуги и товары очевидно предлагаются жителям ЕС, потому что: — услуги/товары адаптированы на местные языки жителей ЕС; — услуги/товары оплачиваются в местных валютах ЕС; — услуги/товары предоставляются на национальных доменах верхнего уровня стран ЕС.

Это означает, что организации, обрабатывающие персональные данные европейцев в России при реализации онлайн-продаж (например, РЖД, авиакомпании, гостиницы, хостелы и иные), подпадают под действие GDPR и обязаны соблюдать новые европейские правила обработки персональных данных.

Важно отметить, что помимо обработки персональных данных в GDPR используется понятие мониторинга поведения субъектов данных, которое загоняет под действие GDPR ещё одну категорию субъектов.

GDPR применяется к организациям, созданным за пределами ЕС, если они (в качестве контролера или процессора) контролируют поведение жителей ЕС (в той мере, в которой такое поведение имеет место в ЕС).

Мониторинг может включать: — отслеживание резидента ЕС в интернете; — использование методов обработки данных для профилирования отдельных лиц, их поведения или их отношения к чему-либо (например, для анализа или прогнозирования личных предпочтений).

Европейский законодатель также разделяет понятия контроллер данных (data controller) и процессор данных (data processor).

Контроллер, действуя в качестве капитана судна, несет бОльшую юридическую ответственность, чем процессор, который действует в качестве моряка на судне.

По сути контроллеры решают, что происходит с персональными данными и несут ответственность за обработку, а процессоры являются некими “исполнителями”.

Например, облачная система, которой пользуются ваши сотрудники для целей выполнения задач и проектов, где также хранятся персональные данные клиентов, будет являться процессором данных, а вы, соответственно, контроллером.

Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), по которой прямо или косвенно можно его определить. К такой информации относится в том числе имя, данные о местоположении, онлайн идентификатор или один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п. 1 ст. 4). Определение широкое и достаточно четко дает понять, что даже IP адреса также могут быть персональными данными. Важно отметить, что существуют определенные типы персональных данных, относящиеся к категории особых или конфиденциальных персональных данных. Это информация, раскрывающая: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах. Кроме того, к этой группе относятся генетические, биометрические данные, используемые для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации (ст. 9). Общий подход европейцев к обработке персональных данных сформулирован в виде 6 основных принципов:

1) Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.

2) Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
3) Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки.
4) Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
5) Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
6) Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.
Уведомление о случаях нарушения GDPR Компании обязаны уведомлять регулирующие органы (а в некоторых случаях и субъектов данных) о любых нарушениях, связанных с персональными данными в течение 72 часов после обнаружения такого нарушения.

Например, недавняя новость о хакерской атаке на Uber — яркий пример нарушения данного правила. Uber сообщил прессе, что хакеры получили доступ к персональным данным 57 миллионов пользователей и водителей спустя целый год. Если бы сейчас действовал GDPR, то избежать высокого штрафа в размере 4% от годового оборота было бы невозможно.

Список национальных регуляторов в области персональных данных по всем странам ЕС приведён тут. Также есть общеевропейский регулятор — Working party 29 или Рабочая группа по статье 29. Однако после вступления GDPR в силу Рабочую группу по статье 29 заменит новый орган — Европейский совет по защите данных (European Data Protection Board — EDPB).

Права субъекта данных (физического лица)

GDPR значительно расширяет права граждан и резидентов ЕС по контролю за их персональными данными. Европейские пользователи имеют право запрашивать подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам персональные данные раскрываются, период, в течение которого данные будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления. Более того, пользователь имеет право требовать прекращения обработки своих данных. В GDPR также предусмотрено право на забвение (right to erasure, right to be forgotten), которое дает европейцам возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам.

Это не новое право, оно также есть в действующей Директиве.

Суд справедливости ЕС (CJEU — Court of Justice of the European Union) в решении по делу Google Spain в 2014 году разъяснил, что субъекты данных имеют право на удаление информации о них из результатов поиска, если она не представляет общественного интереса.

Однако, право на забвение распространяется не только на поисковые системы. Любая компания, обрабатывающая данные, должна удалять чьи-либо персональные данные по запросу, если это не противоречит интересам общества или иным фундаментальным правам европейцев.

Например, если вы новостной сервис, то прежде, чем удалять данные, проверьте и убедитесь, что такое удаление не повлияет на свободу слова и на право к доступу информации, гарантированные европейцам статьей 11 Хартии Европейского союза по правам человека.

Право на переносимость данных

Право на переносимость данных (right to data portability) является новацией в правилах обработки данных ЕС, введенное GDPR. Данное право заключается в том, что компании обязаны предоставлять бесплатно электронную копию персональных данных другой компании по требованию самого субъекта персональных данных.

Например, стартап под названием “Солнышко” хочет выйти на рынок с сайтом для обмена социальными медиа, но на рынке уже есть свои гиганты с большой долей рынка. Право на переносимость данных упростит потенциальным клиентам процесс передачи своих данных от одного онлайн-сервиса к другому (без повторного введения одних и тех же данных на разных сайтах).

Другой пример. Субъект данных пользуется сервисом чтения электронных книг “Электронная книжка”. В один прекрасный момент пользователь решает перейти на сервис “Читай онлайн”.

В данном случае право на переносимость данных позволяет получить от “Электронной книжки” персональные данные (например, предпочтения в литературе и другие) и передать их другому сервису.

Согласие на обработку

GDPR устанавливает высокие требования в отношении формы получения согласия на обработку данных. Согласие человека на обработку его персональных данных должно быть выражено в форме утверждения или в форме четких активных действий пользователя. Согласие на обработку персональных данных будет недействительно, если у пользователя не было выбора или не было возможности отозвать свое согласие без ущерба для самого себя. Если пользователь дал согласие на обработку своих персональных данных, контроллер должен иметь возможность продемонстрировать это. Не рекомендуем использовать по умолчанию поля о согласии с уже поставленной галочкой или другие методы получения согласия по умолчанию. Согласие также не может быть выражено в виде молчания или бездействия пользователя. Информация о порядке отзыва согласия на обработку персональных данных должна быть размещена таким образом, чтобы пользователь мог легко её найти.

Особая защита детей

Детские персональные данные заслуживают особой защиты, ведь они менее осведомлены о рисках, последствиях, гарантиях и их правах в отношении обработки персональных данных. Согласие на обработку данных ребенка должно быть авторизовано родителями (или законными представителями ребенка). Возрастной порог для родительской авторизации устанавливается государствами-членами ЕС отдельно (от 13 до 16 лет).

Назначение ответственного за защиту персональных данных

Это требование относится к компаниям, которые осуществляют регулярные и систематические крупномасштабные наблюдения, мониторинг лиц (выше о нем упоминалось); или которые осуществляют крупномасштабную обработку специальных персональных данных, например, медицинские записи или сведения об уголовной судимости. В любом случае, любая организация может добровольно назначить сотрудника по защите данных для управления процессами обработки данных пользователей и контроля за соблюдением требований GDPR. В таком случае компания должна опубликовать информацию о таком сотруднике, а также направить её национальному регулятору по защите персональных данных соответствующей страны ЕС. Если вы входите в зону действия нового европейского регламента о защите данных или планируете расширяться и предоставлять услуги и товары в страны ЕС, то рекомендуется провести комплексную оценку применяемых в компании методов и средств обработки персональных данных и привести их в соответствие с новыми правилами GDPR. Следует также пересмотреть политику конфиденциальности и положения об обработке персональных данных пользовательских соглашений (Terms of use) своих сайтов и онлайн-сервисов, ориентированных на европейских потребителей и пользователей. Для соответствия требованиям GDPR необходимо разработать внутренние политики защиты данных, обучать персонал, проводить проверки деятельности по обработке данных, вести документацию по процессам обработки, внедрять меры по встроенной системе конфиденциальности, а также назначить сотрудника ответственного за обработку персональных данных (естественно, с учётом характера и объёмов обрабатываемых персональных данных). Несмотря на то, что новые требования к обработке персональных данных серьезны, в них есть положительные стороны для внеевропейских игроков: легче придерживаться единого набора правил защиты и обработки данных, чем учитывать национальные нюансы обработки персональных данных каждой отдельной страны ЕС, как это приходилось делать до введения GDPR. Более того, реформа направлена на стимулирование экономического роста путем сокращения расходов и бюрократии для компаний, работающих в ЕС. Соблюдение одного правила вместо 28 (количество стран-членов ЕС) поможет маленьким и развивающимся компаниям выйти на новые рынки. Согласно закону в ряде случаев обязательства изменяются в зависимости от размера бизнеса, природы обрабатываемых данных и иных факторов. Также следует заранее продумать механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных (пользователей), которые возможны в рамках GDPR (например, об уточнении данных, их удалении, прекращении обработки или передаче другой компании по праву на переносимость данных).
GDPR — важнейший законодательный документ, который существенно повышает уровень защиты персональных данных в ЕС и за его пределами. Он требует очень внимательного изучения и соблюдения. Реформа дает ясность и последовательность правил, которые должны применяться в области защиты данных. Она также восстанавливает доверие пользователя-потребителя, что позволяет бизнесу максимально использовать возможности на едином европейском цифровом рынке. Сбор, анализ и перемещение персональных данных по всему миру приобрели огромное экономическое значение. Персональные данные – это, безусловно, “валюта” современной экономики. И если вы осуществляете сбор пользовательских данных в каком-либо виде — за их сохранностью надо внимательно следить, чтобы избежать утечек и возможных манипуляций ими третьими лицами.

Источник: https://habr.com/ru/company/digitalrightscenter/blog/344064/

Персональные данные: успеть обеспечить защиту! Часть 2

Закон украины о защите персональных данных 2014

В конце декабря 2014 года был принят закон, в соответствии с которым требование о хранении персональных данных с помощью серверов, расположенных на территории России, распространяется на операторов не с 1 сентября 2016 года, как планировалось первоначально, а уже с 1 сентября 2015 года (Федеральный закон от 31 декабря 2014 г. № 526-ФЗ). Разговоры о досрочном введении этого положения в действие велись с сентября 2014 года, когда в Госдуму был внесен соответствующий законопроект1. Авторы документа предлагали изменить срок вступления в силу нового правила на 1 января 2015 года, но в итоге было принято решение перенести эту дату на восемь месяцев.

МАТЕРИАЛЫ ПО ТЕМЕ

О том, какие изменения в локальные нормативные акты следует внести в связи с новыми требованиями и будет ли усилен контроль со стороны Роскомнадзора за соблюдением положений о защите персональных данных, читайте в нашем материале «Персональные данные: успеть обеспечить защиту!».

И у юристов, и у программистов возникло немало вопросов, касающихся особенностей хранения персональных данных россиян на серверах, находящихся на территории России (ст. 2 Федерального закона от 21 июля 2014 г.

№ 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», далее – Закон № 242-ФЗ). Однако до настоящего времени ни законодатель, ни Роскомнадзор никаких разъяснений не дали.

Разберемся, какие пробелы содержит Закон № 242-ФЗ, возможна ли при его реализации трансграничная передача данных и какие предложения по совершенствованию новых норм были выдвинуты.

Неопределенность в реализации новых требований

Можно выделить несколько затруднений, которые могут возникнуть при выполнении требований Закона № 242-ФЗ.

Понятие «персональные данные» сформулировано недостаточно четко. Действующее законодательство понимает под ними любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (ст.

3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», далее – закон о персональных данных). Вместе с тем, такое широкое толкование позволяет распространять новые требования практически на всю информацию о человеке.

 

Однако некоторые эксперты полагают, что положения закона несколько шире, чем изначальный замысел законодателя, и считают необходимым ограничить действие Закона № 242-ФЗ определенными сферами деятельности и определенной персональной информацией, которую и нужно обязательно дублировать на российские серверы.

Это не пустой вопрос, поскольку от детализации персональных данных, подпадающих под новые требования, напрямую зависят объем информации, который надо локализовать на территории России, и объем требуемых на это издержек.

«Наши IT-подразделения находятся в замешательстве, поскольку они не имеют понятия, что конкретно переносить с иностранных серверов на локальные.

Например, нужно ли брать в расчет почтовые серверы или достаточно перенести серверы, которые обрабатывают основные персональные данные (заключение договоров, начисление заработной платы и т. д.).

В настоящее время «правила игры» нам не известны», – сетует руководитель отдела по взаимодействию с государственными органами власти компании по производству товаров ежедневного спроса ООО «Юнилевер Русь» в России, Украине и Беларуси Александр Дубровский.

А до тех пор, пока не будет уточнен перечень персональных данных, которые подпадают под действие Закона № 242-ФЗ, компаниям стоит руководствоваться разъяснениями Роскомнадзора. В частности, управление ведомства по республике Крым и г.

Севастополь в апреле 2014 года на своем официальном сайте пояснило, что персональными данными являются: фамилия, имя, отчество гражданина, его дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии, данные паспорта и т. д., если по этим данным можно прямо или косвенно определить конкретную личность.

Правда, перечень этот является открытым – поэтому не исключено, что чиновники Роскомнадзора будут признавать персональными данными и другие сведения о человеке.

Закон не определяет, что такое «базы данных». Закон № 242-ФЗ требует хранить персональные данные с помощью баз данных, расположенных в России, однако не уточняет, что считается базами данных и каков порядок работы с ними.

Одни эксперты отмечают, что даже обычный текстовый файл при определенном форматировании может считаться базой данных, тогда как другие склонны понимать под этим отдельный сервер или группу серверов, с помощью которых обеспечивается целостность и сохранность данных.

Есть и иные точки зрения. 

МНЕНИЕ

Андрей Прозоров, ведущий эксперт по информационной безопасности группы компаний InfoWatch:

«Что такое база данных и как ее вести – не определено, поэтому некоторые операторы считают, что офисные компьютеры – это и есть их локальная база данных.

Да, персональные данные впоследствии куда-то направляются, но локальная база данных на территории России есть, следовательно, требованиям закона деятельность организации полностью соответствует.

Это значит, что до тех пор, пока требование законодателя не будет детально прописано, формально его можно считать выполненным даже при таких условиях».

Трудно определить принадлежность персональных данных гражданину РФ. Определить гражданство субъекта персональных данных не всегда возможно – подавляющее большинство операторов не используют конкретизирующую информацию (паспортные или иные данные), которая позволяла бы установить этот факт.

Не исключено, что Роскомнадзор может проверять IP-адреса на предмет их принадлежности российским операторам либо будет уточнять информацию по зарегистрированному у российского оператора номеру телефона субъекта персональных данных.

Но поскольку ни один из этих способов не гарантирует принадлежность персональных данных исключительно россиянам, существует риск того, что ограничить круг лиц гражданами России даже в этих случаях не удастся.

Это значит, что, не имея возможности установить российское гражданство субъекта, большинству операторов придется переносить на российские серверы все обрабатываемые им персональные данные, что существенно усложнит процесс.

Отсутствует указание на возможность параллельного хранения и обработки данных как в России, так и за рубежом. Среди специалистов мнения по этому поводу разделились.

Одни утверждают, что Закон № 242-ФЗ однозначно обязывает хранить персональные данные россиян исключительно на территории России.

Другие же говорят, что раз нет прямого запрета, параллельное хранение информации на российских и заграничных серверах вполне возможно, поскольку в действующем законодательстве разрешена так называемая трансграничная передача персональных данных.

Напомним, под ней понимается передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (ст. 3, ст. 12 закона о персональных данных). Главное – обеспечить копирование этой информации на российские серверы. 

В замешательстве находятся и иностранные компании, которые так или иначе имеют дело с персональными данными россиян.

МНЕНИЕ

Дмитрий Яковлев, генеральный директор интернет-магазина путешествий OZON.travel:

«Основной вопрос, на который хотелось бы получить ответ, – какую цель ставил перед собой законодатель? Если читать закон буквально и считать, что его действие распространяется в том числе и на зарубежных операторов, которые обязаны строить дополнительные серверы в России и переносить туда персональные данные россиян, то надо отказываться от интернет-технологий вообще. Если же мы говорим, что этому требованию должны соответствовать только российские юридические лица, то тут все гораздо проще. Однако конкретных разъяснений Роскомнадзор пока не дал».

Инициативы и предложения

Одной из наиболее значимых инициатив в свете новых требований является идея Правительства РФ об увеличении штрафа за нарушение законодательства о персональных данных. За рубежом штраф за такое нарушение значительно выше российского.

Например, в Испании он составляет от 40 тыс. до 600 тыс. евро, во Франции – 150-300 тыс. евро, в Германии – до 300 тыс. евро с конфискацией незаконно полученной прибыли, в Великобритании – до 500 тыс.

фунтов, а в Италии за соответствующее нарушение взыскивается административный штраф в размере до 1,5 млн евро.

Законопроект2 кабмина (на данный момент он готовится к первому чтению) предлагает установить для юридических лиц штраф от 15 тыс. до 300 тыс. руб.

в зависимости от состава, тогда как в настоящее время максимальный размер штрафа за подобные нарушения для них составляет всего 10 тыс. руб. (ст. 13.11 КоАП РФ).

К слову, законопроект предусматривает несколько составов правонарушения вместо одного, существующего в настоящее время (например, обработка персональных данных с нарушением требований к составу сведений, включаемых в согласие на обработку персональных данных субъекта; обработка персональных данных без согласия субъекта и в отсутствие предусмотренных иных условий обработки персональных данных; невыполнение оператором обязанности по опубликованию или размещению его политики в отношении обработки персональных данных и др.).

Предложение увеличить размер штрафов согласуется с мнениями многих экспертов, считающих, что соблюдение требований Закона № 242-ФЗ напрямую зависит от размера штрафов, установленных за их нарушение. Андрей Прозоров убежден: «До тех пор, пока у нас не повысятся штрафы и не будет формализовано понятие базы данных, крупные операторы, чтобы не тратить денег, будут трактовать закон по-своему». 

Однако если Закон № 242-ФЗ еще в законную силу не вступил и поэтому пока реальной угрозы для компаний не представляет, равно как и административная ответственность за нарушение его норм, то не стоит забывать о так называемом «законе о блогерах» (Федеральный закон от 5 мая 2014 г.

№ 97-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей»).

Напомним, его нормы действуют уже с 1 августа 2014 года.

МНЕНИЕ

Андрей Прозоров, ведущий эксперт по информационной безопасности группы компаний InfoWatch:

«Отдельного внимания в свете обязанности оператора обеспечить хранение персональных данных на территории России заслуживает Федеральный закон от 5 мая 2014 г. № 97-ФЗ, или так называемый «закон о блогерах». На самом деле он вообще не о блогерах. Самая главная идея этого документа касается обязанностей организатора распространения информации в Интернете.

Дело в том, что положения закона неконкретны, и под них может попасть абсолютно любой сайт, начиная от поисковых сетей, интернет-магазинов и заканчивая сайтом, владельцем которого является простой человек. Закон вступил в силу в августе 2014 года и уже работает, в отличие от Закона № 242-ФЗ.

Уже сейчас владельцы сайтов обязаны хранить информацию о пользователях на территории России (ст. 10.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»). При этом законодатель установил не только такую обязанность, но и конкретные штрафы за невыполнение этого требования, размер которых достигает 500 тыс.

руб. (ст. 13.31 КоАП РФ). Для интернет-гигантов это настоящий «дамоклов меч»!».

Эксперты сходятся во мнении о том, что с учетом нынешних технических возможностей Закон № 242-ФЗ не готов к внедрению в быстрые сроки. По оценкам крупных компаний, им потребуется порядка трех лет для того, чтобы перенести все свои базы данных в Россию.

«По опыту могу сказать, что у законодателя уже есть видение, как этот закон будет реализован, как он будет применяться, однако до нас эта информация пока не доведена.

Мы придерживаемся мнения, что необходимо исключить из объектов регулирования внутренние корпоративные сети, поскольку они не являются публичными, носят ограниченный характер и недоступны для третьих лиц.

Также считаем, что необходимо ограничить действие Закона № 242-ФЗ в отношении работодателей, которые обрабатывают персональные данные для исполнения трудового законодательства в России», – предлагает Александр Дубровский. 

Пока же компании вправе сами выбрать для себя наиболее подходящую стратегию поведения: дождаться официальных разъяснений Роскомнадзора по поводу применения нового закона и до тех пор ничего не предпринимать либо подстраховаться и обеспечить хранение персональных данных исключительно на собственном или арендуемом сервере, находящемся на территории России. Первый вариант чреват возможными проверками со стороны Роскомнадзора и штрафами, второй же может потребовать выделения значительной части бюджета компании для реализации этих мероприятий. «Небольшие компании часть задач по обработке персональных данных могут вполне перенести в облачные хранилища (например, Dropbox) бесплатно или с минимальными затратами. Расходы крупных компаний будут зависеть от необходимой мощности, типа серверов и их количества, а также дополнительных условий технической поддержки. Разброс цены при этом будет от нескольких тысяч до нескольких сотен тысяч рублей в месяц», – уточняет Андрей Прозоров. А Дмитрий Яковлев пояснил порталу ГАРАНТ.РУ: «В среднем для небольшой торговой компании на проект по хранению персональных данных потребуется от 150 тыс. руб. до 500 тыс. руб. Сложнее обстоят дела у компаний, работающих в туристическом бизнесе, – для крупного online-агентства стоимость хранения данных обойдется в среднем в 10-15 млн руб., что с учетом амортизации составит в среднем 3-4 млн руб. в год».

Источник: http://www.garant.ru/article/606315/

Административный округ
Добавить комментарий