» » Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса

Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса
Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса
Как правильно идентифицировать базу данных, подлежащую локализации, и каков порядок использования персональных данных россиян аутсорсинговой организацией и материнской компанией за рубежом?

Екатерина Добрикова

Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса
Вот уже более девяти месяцев действует так называемый закон о локализации персональных данных (Федеральный закон от 21 июля 2014 г. № 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"; далее – Закон № 242-ФЗ). Он обязывает операторов обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных россиян с использованием баз данных, находящихся на территории России. Первоначально требования закона были недостаточно точно конкретизированы, в результате чего у представителей бизнеса возникло множество вопросов. Однако большую их часть удалось разрешить еще до вступления Закона № 242-ФЗ в силу. Оставалось ждать, как принятый закон будет реализовываться на практике. И теперь, чуть меньше года спустя, можно выделить ряд наиболее распространенных проблем, с которыми столкнулся бизнес в процессе его применения.

 

Идентификация баз данных

До 1 сентября 2015 года компании уведомляли Роскомнадзор о категории персональных данных, перечне действий с ними, целях их обработки, обеспечении безопасности и др. С указанной даты у них появилась еще одна обязанность – сообщать о месте нахождения базы данных информации, содержащей персональные данные россиян (п. 10.1 ч. 3 ст. 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных"; далее – закон о персональных данных). Все эти сведения должны быть отражены в уведомлении, подаваемом в Роскомнадзор.

Таким образом, теперь любой оператор персональных данных должен знать, какие именно информационные системы, содержащие базы данных, он использует и где они расположены.

МНЕНИЕ



Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса


Наталья Иващенко, к.ю.н., руководитель межотраслевой группы юридической компании "Пепеляев Групп":

"До вступления в силу законодательного требования о локализации персональных данных Роскомнадзор на практике ограничивался документальной проверкой соблюдения требований Закона № 242-ФЗ. Поскольку требований к месту расположения персональных данных не предъявлялось, то компании сообщали о тех персональных данных, которые содержались во внутренних информационных системах, которые для них были очевидны (например, база данных сотрудников компании). После ужесточения регулирования компании начали задумываться о том, какие в принципе базы данных они используют, и в каком месте они расположены. Законодательные изменения послужили драйвером для инвентаризации используемых баз данных".

Чтобы идентифицировать базу данных для ее переноса на российские серверы, следует провести аудит ее содержимого. Если обнаружено наличие персональных данных россиян: ФИО, дата рождения, паспортные данные и т. д., эту информацию необходимо локализовать. При этом, как отмечает руководитель группы разработки IT-компании "AT Consulting" Михаил Алексеев, перенести базу данных можно как полностью, так и частично (когда речь идет о переносе не всей информации, а только находящихся в этой базе персональных данных). "Первый вариант наиболее прост и удобен в реализации, а также более экономически оправдан. Со вторым могут возникнуть технические проблемы, поскольку приложениям в этом случае придется работать сразу с двумя базами данных, – добавляет он. – В документах локализуемая база данных должна быть однозначно определена своим IP, портом и именем".

Требуется ли согласие клиента на обработку его персональных данных, если on-line форма обращения на сайте содержит поля для указания его персональных данных (фамилия, имя и отчество, номер телефона, адрес электронной почты)? Ответ на этот и другие практические вопросы в "Базе знаний службы Правового консалтинга" интернет-версии системы ГАРАНТ.
Получите бесплатный доступ на 3 дня!
Получить доступ

Если оператор не уведомит Роскомнадзор о тех базах данных, которые он использует при обработке персональных данных россиян, это может стать основанием для проверки со стороны регулятора. При этом, уточняет Наталья Иващенко, Роскомнадзор может не ограничиться лишь документальной проверкой, а провести опрос сотрудников, а на его основе осуществить проверку с использованием технических средств и выявить "незаявленные" базы данных. Это может повлечь за собой административную ответственность юридического лица в виде штрафа в размере до 10 тыс. руб. (ст. 13.11 КоАП РФ). При этом компания не освобождается от обязанности устранить выявленное нарушение.

Для соблюдения требований закона Наталья Иващенко рекомендует предпринять следующие шаги:



Провести инвентаризацию всех информационных систем/баз данных и составить их список.



Определить место нахождения каждой информационной системы/базы данных. При этом стоит отметить, что далеко не все базы данных должны быть расположены в России. Обязательное требование о локализации персональных данных означает, что в России должен осуществляться именно первичный сбор таких данных. Обработка и хранение данных могут производится за рубежом.



Описать информационную систему/базу данных, содержащую сведения о конкретных видах персональных данных, которыми она оперирует. Каких-либо требований к подобному описанию законодательством и подзаконными нормативными актами не предусмотрено. На практике достаточно определить название информационной системы/базы данных, место ее расположения и сведения о видах (категориях) персональных данных. 

 

Использование персональных данных материнской компанией за рубежом

Многие иностранные холдинги сталкиваются с проблемой локализации, когда встает вопрос об использовании персональных данных россиян головной организацией, находящейся за пределами России. В данном случае важно понимать, какие именно действия осуществляются с персональными данными за рубежом. Как уточняет руководитель группы правовой защиты информации компании "Пепеляев Групп" Дмитрий Зыков, лишь "первоначальный" сбор персональных российских граждан заграницей является нарушением закона (ч. 5 ст. 18 закона о персональных данных). Таким образом, соответствующая информация при этом обязательно должна быть локализована.

А вот персональные данные россиян, собранные представительством или филиалом этой организации в России, а потом переданные зарубежной материнской компании, вполне могут использоваться для дальнейшей обработки, хранения и т. д. 

 

Передача персональных данных аутсорсинговой компании

В последнее время услуги аутсорсинга становятся все более востребованными. Однако передавая провайдеру определенные функции, ему нередко дают и доступ к персональным данным. Переходит ли при этом к аутсорсеру обязанность по их локализации? Ведь, по общему правилу, ответственным лицом за соблюдение требований о защите персональных данных он не является. В этом случае также важно определить, каким образом будет использоваться полученная информация.

Так, если компания-оператор персональных данных предоставляет аутсорсинговой организации только доступ к своим базам данных для выполнения определенных функций по договору (например, для осуществления рекламных рассылок), то в этом случае, подчеркивает Дмитрий Зыков, ответственность по защите персональных данных остается на самом заказчике. При этом он должен получить согласие субъекта персональных данных на использование сведений о нем третьими лицами по поручению.

Если же компания передает свою базу данных организации-аутсорсеру (например, в целях оказания бухгалтерских услуг, ведения кадрового делопроизводства и др.), в договоре необходимо отдельно прописать, что провайдер аутсорсинговых услуг принимает на себя обязательство по применению мер защиты полученных персональных данных и обеспечению конфиденциальности информации. В таком случае аутсорсинговая организация становится оператором персональных данных, который обязан, в том числе, соблюдать требования закона о локализации соответствующих данных.