Проект № 553424-6
-
Upload
dialoguescience -
Category
Technology
-
view
538 -
download
0
Transcript of Проект № 553424-6
ПРОЕКТ № 553424-6
ФЕДЕРАЛЬНЫЙ ЗАКОН
О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ОТДЕЛЬНЫЕ ЗАКОНОДАТЕЛЬНЫЕ АКТЫ РОССИЙСКОЙ ФЕДЕРАЦИИ В ЧАСТИ УТОЧНЕНИЯ ПОРЯДКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЯХ
ОБЗОР И КОММЕНТАРИИ
Романов Илья, CISA, CISM
Заместитель руководителя Отдела консалтинга
Содержание законопроекта
В настоящий момент (08.07.2014) проект, вызвавший широкий общественный резонанс не только в ИБ-сообществе, но и в средствах массовой информации, прошел 3-е чтение и был направлен в Совет Федерации.
Закон вступает в силу с 1 сентября 2016 года и уточняет требования к порядку обработки персональных граждан РФ, и в том числе к местам расположения баз данных, содержащих ПДн.
Законопроект вносит изменения в следующие документы:– Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об
информации, информационных технологиях и о защите информации»
– Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»
– Федеральный закон от 26 декабря 2008 года№ 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»
Разберем эти изменения более подробно…
Изменения в 149-ФЗ «Об информации…»
Новый пункт добавляется в часть 4 статьи 16 Федерального закона № 149‑ФЗ:
Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить
7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.
Один из таких случаев, установленных законодательством Российской Федерации, появится в ФЗ «О персональных данных», рассмотрим его далее…
Изменения в 152-ФЗ «О персональных данных»
Дополнение в статью 18 Федерального закона №152-ФЗ, обязывает Операторов ПДн размещать базы данных ПДн на территории РФ:
Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона*.* исключения составляют международные договоры РФ, осуществление правосудия, госуслуги, защита жизни и т.п.
Сразу же возникает спорный пример:
У Оператора есть базы данных ПДн в РФ, с их использованием он обрабатывает ПДн. Кроме того, есть филиал за пределами РФ, в нем тоже есть несколько баз данных ПДн и серверов приложений. В целом соответствует ли этот Оператор требованиям? Ответа на этот вопрос пока нет.
Изменения в 152-ФЗ «О персональных данных»
Изменения затронули и порядок взаимодействия Операторов ПДн и Роскомнадзора – Оператор обязан будет уведомить регулятора о месте нахождения базы данных ПДн. И тут также возникает интересный вопрос: почему в Проекте речь идет про базу данных в единственном числе? Что если этих баз несколько?
Дополнение в уведомление (Реестр Операторов ПДн, статья 22):
101) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации
На Роскомнадзор в свою очередь возлагается обязанность ограничивать доступ к информации, обрабатываемой с нарушениями законодательства о ПДн.
Дополнение в обязанности уполномоченного органа по защите прав субъектов персональных данных (статья 23):
31) ограничивать доступ к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, в порядке, установленном законодательством Российской Федерации
Изменения в 149-ФЗ «Об информации…»
В целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства о ПДн, Роскомнадзор будет вести «Реестр нарушителей прав субъектов персональных данных», которому посвящена новая статья в Федеральном законе № 149-ФЗ.
Статья 155. Порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных:
– Создается «Реестр нарушителей прав субъектов персональных данных» (содержит в том числе адреса сайтов).
– Основание включения в Реестр – судебный акт.– Если хостинг-провайдер, или владелец ресурса не устранят нарушение –
блокировка ресурса.– Порядок ведения реестра, взаимодействия РКН с провайдерами и
операторами связи устанавливается Правительством и уполномоченными органами.
Стоит отметить, что «Реестр» касается всех возможных нарушений в области ПДн, а не только нарушений, связанных с расположением баз данных информации, содержащей ПДн.
Изменения в № 294-ФЗ «О защите прав при…»
Кроме того, от проверок Роскомнадзора Операторов ПДн больше не защитит Федеральный закон № 294-ФЗ «О защите прав юридических лиц… …при осуществлении государственного контроля», который, в частности, определяет основания, ограничения и порядок проведения плановых и внеплановых проверок, права и ответственность должностных лиц регуляторов.
Дополнения в Часть 31 статьи 1 Федерального закона № 294-ФЗ:
Положения настоящего Федерального закона, устанавливающие порядок организации и проведения проверок, не применяются также при осуществлении следующих видов государственного контроля (надзора):
19) контроль за соблюдением требований в связи с распространением информации в информационно-телекоммуникационной сети «Интернет»;
20) контроль и надзор за обработкой персональных данных
Ключевые выводы и проблемы
• Федеральный закон № 294-ФЗ «О защите прав юридических лиц… …при осуществлении государственного контроля» перестает распространять свое действие на проверки в области ПДн.
• Создается «Реестр нарушителей прав субъектов персональных данных».
• Изменения законодательства не коснутся иностранных Компаний, обрабатывающих ПДн россиян за пределами РФ (это, в том числе, иностранные соцсети, агентства бронирования и т.д.) – на них не распространяется действие законодательства РФ.
• Трансграничная передача ПДн не запрещается (в тексте Проекта вообще нет ни слова о передаче ПДн!).
• Проблемы появятся у тех российских Операторов, кто размещает свои базы данных ПДн исключительно за пределами РФ – такие базы нужно переносить на территорию РФ.
• В спорной ситуации окажутся Операторы, имеющие базы данных, с использованием которых осуществляется обработка ПДн, как на территории РФ, так и за пределами территории РФ. Будут ли они соответствовать требованиям? И какой будет позиция регулятора?
Следим за будущим Проекта…
Наши контакты
117105, г. Москва, ул. Нагатинская, д. 1
Телефон: +7 (495) 980-67-76
Факс: +7 (495) 980-67-75
http://www.DialogNauka.ru
e-mail: [email protected]