Фраза «так много раз говорили миру», наверное, идеально подходит к описанию ситуации с защитой персональных данных и их передачей в Россию.
За время, прошедшее с начала обсуждения проблем в этой области, казалось бы, обсуждено все.
Более того, юристы должны уметь читать законы.
Увы.
Посещение очередной конференции развеяло для меня этот миф, а потому предлагаю ответы на типичные вопросы в сфере передачи данных в коллекцию Хабражителя.
Как передать ответственность за обработку персональных данных? Почему-то забывают, что Федеральный закон от 21 июля 2014 г.
№ 242-ФЗ не является законом сам по себе.
Он вносит изменения только в:
- Федеральный закон от 27 июля 2006 г.
N 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- Федеральный закон от 27 июля 2006 г.
N 152-ФЗ «О персональных данных»
- Федеральный закон от 26 декабря 2008 г.
N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей»
В соответствии со 152-ФЗ:
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, один или вместе с другими систематизация и (или) обработка персональных данных, и определение целей обработки персональных данных, состава персональных данных, подлежащих обработке, действий (операций), совершаемых с персональными данными; 5. Если оператор поручает обработку персональных данных другому лицу, Оператор несет ответственность перед субъектом персональных данных за действия указанного лица.Таким образом, ответственность перед субъектом в любом случае остается за оператором - компанией, получившей согласие субъекта персональных данных на их обработку..
Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
В целом, даже перевод части сотрудников в другое юридическое лицо ситуацию не спасет, поскольку данные все равно продолжат обработку в компании – ведь бизнес-взаимодействия с этими сотрудниками продолжатся.
… Роскомнадзор… безопасный канал/шифрование Есть много вопросов по поводу защитных мер.
И это естественно.
Но единственной точкой приложения почему-то считается Роскомнадзор.
Опять же, согласно 152-ФЗ, есть три регулятора, каждый из которых имеет свою зону ответственности.
4. Состав и содержание, необходимые для выполнения требований по защите персональных данных, установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи для каждого уровня безопасности, организационные и технические меры по обеспечению безопасности персональных данных.А это у нас ФСТЭК РФ и ФСБ РФ, где последняя отвечает за шифрование.При их обработке в информационных системах персональных данных создаются федеральным органом орган исполнительной власти, уполномоченный в области безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия технической разведке и технической защиты информации, в пределах своих полномочий.
Как мы выполняем требование о переносе серверов? В действующей редакции 149-ФЗ указано:
7) наличие информационных баз на территории Российской Федерации, с использованием которые собираются, фиксируются, систематизируются, накапливаются, хранятся, уточняются (обновляются, изменяются), извлекаются персональные данные граждан Российской Федерации.И соответственно 152-ФЗ:
5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных.Здесь важно, что в определении используется формулировка «использование».находящиеся на территории Российской Федерации, за исключением случаев, предусмотренных пунктами 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
Вариантов интерпретации много.
В принципе, под него подпадет даже параллельно работающий сервер.
Но обычно определение трактуется по смыслу.
Что:
- Сбор и хранение данных должны осуществляться на территории Российской Федерации, однако обработка может происходить где угодно.
- За рубежом также можно хранить копии данных – к которым будет доступ при обработке.
Здесь и далее иллюстрации взяты из материалы конференции.
Внимательное прочтение закона позволяет минимизировать риск нарушения закона.
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, один или вместе с другими систематизация и (или) обработка персональных данных, и определение целей обработки персональных данных, состава персональных данных, подлежащих обработке, действий (операций), совершаемых с персональными данными; 3. Оператор имеет право поручить обработку персональных данных другому лицу.В любом случае ответственность перед субъектом останется за оператором, но меры защиты (вместе с ответственностью за их реализацию) могут быть переданы третьему лицу.лицу с согласия субъекта персональных данных , если иное не предусмотрено федеральным законом, на основании договора, заключенного с этим лицом, в том числе государственного или муниципального контракта, либо путем принятия соответствующего акта государственным или муниципальным органом (далее - приказ оператора).
Лицо, осуществляющее обработку персональных данных по поручению оператора, обязан соблюдать принципы и правила обработки персональных данных предусмотренных настоящим Федеральным законом.
Инструкции оператора должны определять Перечень действий (операций) с персональными данными, которые будет совершать лицо, осуществляющее обработку персональных данных, и цели обработки, обязанность такого лица сохранять конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке должна Устанавливаются, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
4. Лицу, осуществляющему обработку персональных данных по поручению оператора, не требуется получение согласия субъекта персональных данных на обработку его персональных данных.
В соответствующем договоре должны быть указаны цели обработки данных, требования к их защите и т.п.
Отдельным вопросом является необходимость уведомления Роскомнадзора компанией, которой данные передаются на обработку, а также ответственность за их защиту.
Теоретически такой компанией может быть специализированная компания, обеспечивающая соблюдение требований законодательства как услуга.
Но в общем случае она не может знать, что от нее потребует следующий клиент - и должна уведомить Роскомнадзор до начала оформления в случае каждого договора.
Самый интересный вариант из 152-ФЗ гласит, что
2. Оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных: 2) полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются или не предоставляются третьим лицам без согласия субъекта персональных данных и используются Оператор исключительно для исполнения указанного соглашения и заключения договоров с субъектом персональных данных;Такой вариант возможен только в случае трехстороннего договора, одной из сторон которого является субъект персональных данных.
Теги: #персональные данные #законодательство #Роскомнадзор #информационная безопасность
-
Избегайте Страшных Историй Для Веб-Мастеров
19 Oct, 24 -
Планировщик Cfs Против O(1)
19 Oct, 24 -
Еще Одна Камера Для Freetrack
19 Oct, 24 -
Отключение Социальных Функций Google Reader
19 Oct, 24 -
Как Получить Естественные Обратные Ссылки?
19 Oct, 24
