Меню
Главная - Другое - 242 фз от 21 07 2014

242 фз от 21 07 2014

Федеральный закон от 21.07.2014 № 242-ФЗ


Статья 1 ВНЕСТИ в Федеральный закон от «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст.

2870; N 27, ст. 3479; N 52, ст. 6961, 6963; 2014, N 19, ст. 2302) следующие изменения: 1) дополнить статьей 15.5 следующего содержания: «Статья 15.5. Порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных 1.

В целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных» (далее — реестр нарушителей).

2. В реестр нарушителей включаются: 1) доменные имена и (или) указатели страниц сайтов в сети «Интернет», содержащих информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных; 2) сетевые адреса, позволяющие идентифицировать сайты в сети «Интернет», содержащие информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных; 3) указание на вступивший в законную силу судебный акт; 4) информация об устранении нарушения законодательства Российской Федерации в области персональных данных; 5) дата направления операторам связи данных об информационном ресурсе для ограничения доступа к этому ресурсу.

2. В реестр нарушителей включаются: 1) доменные имена и (или) указатели страниц сайтов в сети «Интернет», содержащих информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных; 2) сетевые адреса, позволяющие идентифицировать сайты в сети «Интернет», содержащие информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных; 3) указание на вступивший в законную силу судебный акт; 4) информация об устранении нарушения законодательства Российской Федерации в области персональных данных; 5) дата направления операторам связи данных об информационном ресурсе для ограничения доступа к этому ресурсу.

3. Создание, формирование и ведение реестра нарушителей осуществляются федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, в порядке, установленном Правительством Российской Федерации. 4. Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, в соответствии с критериями, определенными Правительством Российской Федерации, может привлечь к формированию и ведению реестра нарушителей оператора такого реестра — организацию, зарегистрированную на территории Российской Федерации. 5. Основанием для включения в реестр нарушителей информации, указанной в части 2 настоящей статьи, является вступивший в законную силу судебный акт.

6. Субъект персональных данных вправе обратиться в федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, с заявлением о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, на основании вступившего в законную силу судебного акта. Форма указанного заявления утверждается федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи.

7. В течение трех рабочих дней со дня получения вступившего в законную силу судебного акта федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, на основании указанного решения суда: 1) определяет провайдера хостинга или иное лицо, обеспечивающее обработку информации в информационно-телекоммуникационной сети, в том числе в сети «Интернет», с нарушением законодательства Российской Федерации в области персональных данных; 2) направляет провайдеру хостинга или иному указанному в пункте 1 настоящей части лицу в электронном виде уведомление на русском и английском языках о нарушении законодательства Российской Федерации в области персональных данных с информацией о вступившем в законную силу судебном акте, доменном имени и сетевом адресе, позволяющих идентифицировать сайт в сети «Интернет», на котором осуществляется обработка информации с нарушением законодательства Российской Федерации в области персональных данных, а также об указателях страниц сайта в сети «Интернет», позволяющих идентифицировать такую информацию, и с требованием принять меры по устранению нарушения законодательства Российской Федерации в области персональных данных, указанные в решении суда; 3) фиксирует дату и время направления уведомления провайдеру хостинга или иному указанному в пункте 1 настоящей части лицу в реестре нарушителей.

8. В течение одного рабочего дня с момента получения уведомления, указанного в пункте 2 части 7 настоящей статьи, провайдер хостинга или иное указанное в пункте 1 части 7 настоящей статьи лицо обязаны проинформировать об этом обслуживаемого ими владельца информационного ресурса и уведомить его о необходимости незамедлительно принять меры по устранению нарушения законодательства Российской Федерации в области персональных данных, указанного в уведомлении, или принять меры по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных. 9. В течение одного рабочего дня с момента получения от провайдера хостинга или иного указанного в пункте 1 части 7 настоящей статьи лица уведомления о необходимости устранения нарушения законодательства Российской Федерации в области персональных данных владелец информационного ресурса обязан принять меры по устранению указанного в уведомлении нарушения.

В случае отказа или бездействия владельца информационного ресурса провайдер хостинга или иное указанное в пункте 1 части 7 настоящей статьи лицо обязаны ограничить доступ к соответствующему информационному ресурсу не позднее истечения трех рабочих дней с момента получения уведомления, указанного в пункте 2 части 7 настоящей статьи. 10. В случае непринятия провайдером хостинга или иным указанным в пункте 1 части 7 настоящей статьи лицом и (или) владельцем информационного ресурса мер, указанных в частях 8 и 9 настоящей статьи, доменное имя сайта в сети «Интернет», его сетевой адрес, указатели страниц сайта в сети «Интернет», позволяющие идентифицировать информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных, а также иные сведения об этом сайте и информация направляются по автоматизированной информационной системе операторам связи для принятия мер по ограничению доступа к данному информационному ресурсу, в том числе к сетевому адресу, доменному имени, указателю страниц сайта в сети «Интернет».

11. Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, или привлеченный им в соответствии с частью 4 настоящей статьи оператор реестра нарушителей исключает из такого реестра доменное имя, указатель страницы сайта в сети «Интернет» или сетевой адрес, позволяющие идентифицировать сайт в сети «Интернет», на основании обращения владельца сайта в сети «Интернет», провайдера хостинга или оператора связи не позднее чем в течение трех дней со дня такого обращения после принятия мер по устранению нарушения законодательства Российской Федерации в области персональных данных или на основании вступившего в законную силу решения суда об отмене ранее принятого судебного акта. 12. Порядок взаимодействия оператора реестра нарушителей с провайдером хостинга и порядок получения доступа к содержащейся в таком реестре информации оператором связи устанавливаются уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти.

«; 2) часть 4 статьи 16 дополнить пунктом 7 следующего содержания: «

7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.».

Статья 2 Внести в Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2011, N 31, ст. 4701) следующие изменения: 1) статью 18 дополнить частью 5 следующего содержания: «5.

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.»; 2) часть 3 статьи 22 дополнить пунктом 10.1 следующего содержания: «10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;»; 3) часть 3 статьи 23 дополнить пунктом 3.1 следующего содержания: «3.1) ограничивать доступ к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, в порядке, установленном законодательством Российской Федерации;».

Статья 3 Часть 3.1 статьи 1 Федерального закона от

«О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»

(Собрание законодательства Российской Федерации, 2008, N 52, ст.

6249; 2009, N 18, ст. 2140; N 29, ст.

3601; N 52, ст. 6441; 2010, N 17, ст. 1988; N 31, ст. 4160, 4193; 2011, N 17, ст.

2310; N 30, ст. 4590; N 48, ст. 6728; 2012, N 26, ст. 3446; 2013, N 27, ст. 3477; N 30, ст. 4041; N 52, ст.

6961, 6979, 6981; Российская газета, 2014, 25 июня) дополнить пунктами 19 и 20 следующего содержания: «19) контроль за соблюдением требований в связи с распространением информации в информационно-телекоммуникационной сети «Интернет»; 20) контроль и надзор за обработкой персональных данных.».

Федеральный закон от 21.07.2014 г.

№ 242-ФЗ

О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях Вступил в силу с 1 сентября 2015 года Настоящий Федеральный закон вступает в силу с 1 сентября 2015 года.

Принят Государственной Думой 4 июля 2014 годаОдобрен Советом Федерации 9 июля 2014 года Статья 1 Внести в Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3448; 2010, № 31, ст. 4196; 2011, № 15, ст.
3448; 2010, № 31, ст. 4196; 2011, № 15, ст.

2038; № 30, ст. 4600; 2012, № 31, ст. 4328; 2013, № 14, ст. 1658; № 23, ст. 2870; № 27, ст. 3479; № 52, ст.

6961, 6963; 2014, № 19, ст. 2302) следующие изменения:1) дополнить статьей 155 следующего содержания: «Статья 155. Порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных 1. В целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных» (далее — реестр нарушителей).2.

В реестр нарушителей включаются:1) доменные имена и (или) указатели страниц сайтов в сети «Интернет», содержащих информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных;2) сетевые адреса, позволяющие идентифицировать сайты в сети «Интернет», содержащие информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных;3) указание на вступивший в законную силу судебный акт;4) информация об устранении нарушения законодательства Российской Федерации в области персональных данных;5) дата направления операторам связи данных об информационном ресурсе для ограничения доступа к этому ресурсу.3.

Создание, формирование и ведение реестра нарушителей осуществляются федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, в порядке, установленном Правительством Российской Федерации.4.

Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, в соответствии с критериями, определенными Правительством Российской Федерации, может привлечь к формированию и ведению реестра нарушителей оператора такого реестра — организацию, зарегистрированную на территории Российской Федерации.5. Основанием для включения в реестр нарушителей информации, указанной в части 2 настоящей статьи, является вступивший в законную силу судебный акт.6.

Субъект персональных данных вправе обратиться в федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, с заявлением о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, на основании вступившего в законную силу судебного акта.

Форма указанного заявления утверждается федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи.7.

В течение трех рабочих дней со дня получения вступившего в законную силу судебного акта федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, на основании указанного решения суда:1) определяет провайдера хостинга или иное лицо, обеспечивающее обработку информации в информационно-телекоммуникационной сети, в том числе в сети «Интернет», с нарушением законодательства Российской Федерации в области персональных данных;2) направляет провайдеру хостинга или иному указанному в пункте 1 настоящей части лицу в электронном виде уведомление на русском и английском языках о нарушении законодательства Российской Федерации в области персональных данных с информацией о вступившем в законную силу судебном акте, доменном имени и сетевом адресе, позволяющих идентифицировать сайт в сети «Интернет», на котором осуществляется обработка информации с нарушением законодательства Российской Федерации в области персональных данных, а также об указателях страниц сайта в сети «Интернет», позволяющих идентифицировать такую информацию, и с требованием принять меры по устранению нарушения законодательства Российской Федерации в области персональных данных, указанные в решении суда;3) фиксирует дату и время направления уведомления провайдеру хостинга или иному указанному в пункте 1 настоящей части лицу в реестре нарушителей.8. В течение одного рабочего дня с момента получения уведомления, указанного в пункте 2 части 7 настоящей статьи, провайдер хостинга или иное указанное в пункте 1 части 7 настоящей статьи лицо обязаны проинформировать об этом обслуживаемого ими владельца информационного ресурса и уведомить его о необходимости незамедлительно принять меры по устранению нарушения законодательства Российской Федерации в области персональных данных, указанного в уведомлении, или принять меры по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных.9. В течение одного рабочего дня с момента получения от провайдера хостинга или иного указанного в пункте 1 части 7 настоящей статьи лица уведомления о необходимости устранения нарушения законодательства Российской Федерации в области персональных данных владелец информационного ресурса обязан принять меры по устранению указанного в уведомлении нарушения.

В случае отказа или бездействия владельца информационного ресурса провайдер хостинга или иное указанное в пункте 1 части 7 настоящей статьи лицо обязаны ограничить доступ к соответствующему информационному ресурсу не позднее истечения трех рабочих дней с момента получения уведомления, указанного в пункте 2 части 7 настоящей статьи.10. В случае непринятия провайдером хостинга или иным указанным в пункте 1 части 7 настоящей статьи лицом и (или) владельцем информационного ресурса мер, указанных в частях 8 и 9 настоящей статьи, доменное имя сайта в сети «Интернет», его сетевой адрес, указатели страниц сайта в сети «Интернет», позволяющие идентифицировать информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных, а также иные сведения об этом сайте и информация направляются по автоматизированной информационной системе операторам связи для принятия мер по ограничению доступа к данному информационному ресурсу, в том числе к сетевому адресу, доменному имени, указателю страниц сайта в сети «Интернет».11.

Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, или привлеченный им в соответствии с частью 4 настоящей статьи оператор реестра нарушителей исключает из такого реестра доменное имя, указатель страницы сайта в сети «Интернет» или сетевой адрес, позволяющие идентифицировать сайт в сети «Интернет», на основании обращения владельца сайта в сети «Интернет», провайдера хостинга или оператора связи не позднее чем в течение трех дней со дня такого обращения после принятия мер по устранению нарушения законодательства Российской Федерации в области персональных данных или на основании вступившего в законную силу решения суда об отмене ранее принятого судебного акта.12. Порядок взаимодействия оператора реестра нарушителей с провайдером хостинга и порядок получения доступа к содержащейся в таком реестре информации оператором связи устанавливаются уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти.

«;2) часть 4 статьи 16 дополнить пунктом 7 следующего содержания:»

7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.».

Статья 2 Внести в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2011, № 31, ст. 4701) следующие изменения:1) статью 18 дополнить частью 5 следующего содержания:»5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.»;2) часть 3 статьи 22 дополнить пунктом 101 следующего содержания:»101) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;»;3) часть 3 статьи 23 дополнить пунктом 31 следующего содержания:»31) ограничивать доступ к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, в порядке, установленном законодательством Российской Федерации;».

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.»;2) часть 3 статьи 22 дополнить пунктом 101 следующего содержания:»101) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;»;3) часть 3 статьи 23 дополнить пунктом 31 следующего содержания:»31) ограничивать доступ к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, в порядке, установленном законодательством Российской Федерации;». Статья 3 Часть 31 статьи 1 Федерального закона от 26 декабря 2008 года № 294-ФЗ

«О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»

(Собрание законодательства Российской Федерации, 2008, № 52, ст. 6249; 2009, № 18, ст. 2140; № 29, ст.

3601; № 52, ст. 6441; 2010, № 17, ст. 1988; № 31, ст. 4160, 4193; 2011, № 17, ст. 2310; № 30, ст. 4590; № 48, ст.

6728; 2012, № 26, ст. 3446; 2013, № 27, ст. 3477; № 30, ст. 4041; № 52, ст.

6961, 6979, 6981; Российская газета, 2014, 25 июня) дополнить пунктами 19 и 20 следующего содержания:

«19) контроль за соблюдением требований в связи с распространением информации в информационно-телекоммуникационной сети «

Интернет»;20) контроль и надзор за обработкой персональных данных.». Статья 4 Настоящий Федеральный закон вступает в силу с 1 сентября 2015 года.

(В редакции Федерального закона от 31.12.2014 № 526-ФЗ) Президент Российской Федерации В.Путин Москва, Кремль21 июля 2014 года№ 242-ФЗ

Об изменениях, вводимых Федеральным законом от 21.07.2014 № 242-ФЗ

02.04.2015С середины 2014 года не утихают активные дискуссии по поводу предстоящих изменений в российском законодательстве, вводимых Федеральным законом от 21.07.2014 № 242-ФЗ. Изменения призваны локализовать обработку персональных данных российских граждан на территории РФ.

Учитывая возможные риски для деятельности операторов персональных данных в связи с принятием и вступлением в силу Федерального закона от 21.07.2014 № 242-ФЗ

«О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»

(далее — 242-ФЗ), целесообразно будет рассмотреть и проанализировать основные положения данного закона, сформировать представление о возможных стратегиях выполнения требований 242-ФЗ в отношении размещения баз с персональными данными на территории РФ.

Мотивы власти С учетом роста мировой геополитической напряженности в 2014 году между РФ и рядом зарубежных стран, а также в условиях встречных санкций различного характера, представители российской исполнительной и законодательной власти выступили с целым рядом инициатив по обеспечению национальной безопасности РФ в информационной, финансовой и иных сферах. Одной из таких инициатив и стало принятие 242-ФЗ как элемента обеспечения информационного и цифрового суверенитета РФ. При анализе норм 242-ФЗ можно прийти к выводу о существовании как минимум двух мотивов для власти РФ.

Во-первых, введение обязанности для иностранных компаний (например, операторов социальных сетей) обеспечивать обработку персональных данных российских граждан на территории РФ дает возможность оперативного доступа к этим персональным данным со стороны правоохранительных органов РФ. Во-вторых, благодаря 242-ФЗ может быть обеспечена непрерывность деятельности российских компаний, являющихся дочерними по отношению к иностранным компаниям или пользующихся ИТ-услугами иностранных компаний.

Очень многие «дочки» иностранных компаний пользуются ресурсами глобальных информационных систем для обработки персональных данных в процессах кадрового учета, расчета заработной платы или взаимодействия с контрагентами. Блокировка обработки персональных данных в подобных информационных системах из-за санкций может в кратчайшие сроки нанести серьезный удар по бизнесу компаний — резидентов РФ.

Обязанность по размещению баз с персональными данными на территории РФ Операторы обязаны при получении персональных данных от субъектов — граждан РФ обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных на территории РФ. Необходимо отметить, что рассматриваемые изменения не затрагивают и не запрещают трансграничную передачу персональных данных.

Новое требование по размещению баз с персональными данными российских граждан на территории РФ распространяется на всех операторов, за исключением некоторых случаев обработки персональных данных СМИ и органами государственной власти. К исключениям также относятся те случаи, когда действующим законодательством и международными договорами на оператора возлагается обязанность по сбору и дальнейшей обработке персональных данных за рубежом. Важной особенностью положений 242-ФЗ является акцент на гражданстве субъектов персональных данных.

Ранее законодательство РФ в области персональных данных было направлено на защиту прав субъектов в целом, безотносительно их гражданства. Теперь операторы оказываются перед выбором: либо не разделять субъектов по наличию гражданства РФ и обрабатывать персональные данные всех субъектов в базах данных, находящихся на территории РФ, либо разделять субъектов персональных данных по наличию гражданства РФ, обрабатывая при этом дополнительную категорию персональных данных — сведения о гражданстве субъектов.

Теперь операторы оказываются перед выбором: либо не разделять субъектов по наличию гражданства РФ и обрабатывать персональные данные всех субъектов в базах данных, находящихся на территории РФ, либо разделять субъектов персональных данных по наличию гражданства РФ, обрабатывая при этом дополнительную категорию персональных данных — сведения о гражданстве субъектов. В случае если оператор поручает другому лицу обработку персональных данных, включая сбор персональных данных, указанное требование распространяется и на такое лицо. Оператор при поручении сбора персональных данных другим лицам также обязан обеспечить (например, включением соответствующего требования в поручение обработки) размещение баз с персональными данными на территории РФ.

Указанное требование применяется вне зависимости от технологии их сбора.

Уведомление операторами Роскомнадзора о местонахождении баз с персональными данными 242-ФЗ вносит изменения в ст.22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обязывая оператора указывать в уведомлении «сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации». В текущей типовой форме уведомления об обработке (о намерении осуществлять обработку) персональных данных, которая определена в Приложении 2 к Административному регламенту Роскомнадзора по предоставлению государственной услуги

«Ведение реестра операторов, осуществляющих обработку персональных данных»

(утв.

приказом Минкомсвязи от 21.12.2011 № 346), подобный пункт пока не предусмотрен. Уровень детализации указания места нахождения баз с персональными данными отдельно в 242-ФЗ не разъясняется.

Можно лишь предположить, что операторам придется указывать адреса по месту нахождения технических средств (дисковые массивы, накопители и т.д.), входящих в состав информационных систем персональных данных и содержащих базы с персональными данными. В 242-ФЗ также не дается прямых указаний на необходимость уведомлять о месте нахождения тех баз с персональными данными, ведение которых осуществляется иными лицами по поручению оператора. Новые функции Роскомнадзора по ограничению доступа к персональным данным в сети Интернет Федеральный закон от 27.07.2006 года № 149-ФЗ

«Об информации, информационных технологиях и о защите информации»

дополняется ст.15.5, из которой следует, что на территории РФ создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных».

В него будут включаться сайты в сети Интернет, использование которых осуществляется с нарушениями норм законодательства РФ в области персональных данных.

Запись реестра нарушителей будет содержать сведения о сайтах в глобальной Сети, нарушающих права субъектов персональных данных.

Создание, формирование и ведение реестра нарушителей будет осуществляться Роскомнадзором. Можно предположить, что Роскомнадзор и другие уполномоченные органы власти будут активно пользоваться новой возможностью по блокировке сайтов, используемых операторами, которые нарушают действующее законодательство в области обработки персональных данных. Следует учесть возможность появления неблагоприятных последствий для операторов, на которых действующим законодательством возлагается обязанность раскрывать на своем сайте определенные сведения и чьи сайты в сети Интернет были заблокированы согласно нормам ст.15.5 149-ФЗ.

Прекращение регулирования нормами 294-ФЗ мероприятий по контролю и надзору за обработкой персональных данных Согласно ст.3 242-ФЗ, контроль и надзор за обработкой персональных данных и контроль за соблюдением требований законодательства о персональных данных в связи с распространением информации в сети Интернет выводятся из-под действия Федерального закона от 26.12.2008 № 294-ФЗ

«О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»

(далее — 294-ФЗ). Такое изменение влечет для операторов существенное увеличение юридических рисков, связанных с проверочными мероприятиями Роскомнадзора и других уполномоченных органов, так как «правила игры» теперь будут устанавливаться не строгими нормами 294-ФЗ, а административными регламентами и ведомственными актами. Разъяснение государственными регуляторами требований 242-ФЗ На текущий момент несколько органов государственной власти РФ высказали свою публичную позицию, которая суммирует результаты толкования ими требований 242-ФЗ в отношении размещения баз с персональными данными российских граждан.

Необходимо отметить, что интерпретации норм 242-ФЗ не могут считаться официальными разъяснениями органов государственной власти РФ, так как эти органы не наделены таким правомочием.

В целом позиции иллюстрируют два обобщенных подхода к толкованию норм 242-ФЗ.

Первый из них: «жесткий» — подход за авторством Государственно-правового управления президента РФ и Роскомнадзора — запрещено все, что прямо не разрешено законом.

Второй подход: «мягкий» — за авторством Минкомсвязи — разрешено все, что прямо не запрещено законом.

Стратегии выполнения требований 242-ФЗ в отношении размещения баз с персональными данными В связи с отсутствием правоприменительной практики и противоречивостью разъяснений от уполномоченных органов по новым требованиям к обработке персональных данных в настоящий момент нельзя сделать выводы о наиболее оптимальных стратегиях выполнения указанных требований операторами, обладающими базами с персональными данными российских граждан за пределами территории РФ. Однако могут быть определены возможные стратегии, которые можно комбинировать: — перенос информационных систем персональных данных целиком на территорию РФ; — передача информационных систем персональных данных иностранным юридическим лицам.

При этом операторами персональных данных при обработке в подобных информационных системах персональных данных становятся иностранные юридические лица, не осуществляющие свою деятельность на территории РФ; — обезличивание персональных данных (с возможностью обратного сопоставления и без такового) при передаче в зарубежные базы данных; — отказ от обработки персональных данных с помощью средств вычислительной техники (автоматизированной обработки персональных данных). Вышеперечисленный набор стратегий не является исчерпывающим и может быть дополнен исходя из условий конкретной ситуации и специфики деятельности оператора.

Сейчас затруднительно делать выводы о преимуществах и недостатках той или иной стратегии. Представленные стратегии рассматривают только вопросы логики распределения информационных потоков внутри и между информационными системами персональных данных, но не затрагивают вопросы правового характера. В такой ситуации рекомендуем отслеживать пояснения и мнения Минкомсвязи, Роскомнадзора и других органов государственной власти РФ по поводу выполнения новых требований и следить за правоприменительной и судебной практикой реализации норм 242-ФЗ.

Кроме того, важно не откладывать вопрос выбора и реализации стратегий выполнения требований 242-ФЗ на более позднее время.

Текущий опыт осуществления Роскомнадзором и другими уполномоченными органами проверочных мероприятий в отношении операторов говорит о том, что особое внимание уделяется оценке добросовестности оператора.

Иначе говоря, оператору лучше проявить инициативу и начать выполнять требования 242-ФЗ исходя из собственных понимания и возможностей, чем занимать пассивную позицию и дать возможность заинтересованным лицам обвинить себя в недобросовестности и в невыполнении норм 242-ФЗ.

Ссылка на оригинал статьи:

Федеральный закон от 21.07.2014 N 242-ФЗ (ред. от 31.12.2014) «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»

РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНЫЙ ЗАКОН О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ОТДЕЛЬНЫЕ ЗАКОНОДАТЕЛЬНЫЕ АКТЫ РОССИЙСКОЙ ФЕДЕРАЦИИ В ЧАСТИ УТОЧНЕНИЯ ПОРЯДКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЯХ Принят Государственной Думой 4 июля 2014 года Одобрен Советом Федерации 9 июля 2014 года Статья 1 Внести в Федеральный закон от «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст.

3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст.

4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, 6963; 2014, N 19, ст. 2302) следующие изменения: 1) дополнить статьей 15.5 следующего содержания: «Статья 15.5.

Порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных 1.

В целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных» (далее — реестр нарушителей).

2. В реестр нарушителей включаются: 1) доменные имена и (или) указатели страниц сайтов в сети «Интернет», содержащих информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных; 2) сетевые адреса, позволяющие идентифицировать сайты в сети «Интернет», содержащие информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных; 3) указание на вступивший в законную силу судебный акт; 4) информация об устранении нарушения законодательства Российской Федерации в области персональных данных; 5) дата направления операторам связи данных об информационном ресурсе для ограничения доступа к этому ресурсу. 3. Создание, формирование и ведение реестра нарушителей осуществляются федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, в порядке, установленном Правительством Российской Федерации. 4. Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, в соответствии с критериями, определенными Правительством Российской Федерации, может привлечь к формированию и ведению реестра нарушителей оператора такого реестра — организацию, зарегистрированную на территории Российской Федерации.

5. Основанием для включения в реестр нарушителей информации, указанной в части 2 настоящей статьи, является вступивший в законную силу судебный акт. 6. Субъект персональных данных вправе обратиться в федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, с заявлением о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, на основании вступившего в законную силу судебного акта.

Форма указанного заявления утверждается федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи. 7. В течение трех рабочих дней со дня получения вступившего в законную силу судебного акта федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, на основании указанного решения суда: 1) определяет провайдера хостинга или иное лицо, обеспечивающее обработку информации в информационно-телекоммуникационной сети, в том числе в сети «Интернет», с нарушением законодательства Российской Федерации в области персональных данных; 2) направляет провайдеру хостинга или иному указанному в пункте 1 настоящей части лицу в электронном виде уведомление на русском и английском языках о нарушении законодательства Российской Федерации в области персональных данных с информацией о вступившем в законную силу судебном акте, доменном имени и сетевом адресе, позволяющих идентифицировать сайт в сети «Интернет», на котором осуществляется обработка информации с нарушением законодательства Российской Федерации в области персональных данных, а также об указателях страниц сайта в сети «Интернет», позволяющих идентифицировать такую информацию, и с требованием принять меры по устранению нарушения законодательства Российской Федерации в области персональных данных, указанные в решении суда; 3) фиксирует дату и время направления уведомления провайдеру хостинга или иному указанному в пункте 1 настоящей части лицу в реестре нарушителей.

8. В течение одного рабочего дня с момента получения уведомления, указанного в пункте 2 части 7 настоящей статьи, провайдер хостинга или иное указанное в пункте 1 части 7 настоящей статьи лицо обязаны проинформировать об этом обслуживаемого ими владельца информационного ресурса и уведомить его о необходимости незамедлительно принять меры по устранению нарушения законодательства Российской Федерации в области персональных данных, указанного в уведомлении, или принять меры по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных. 9. В течение одного рабочего дня с момента получения от провайдера хостинга или иного указанного в пункте 1 части 7 настоящей статьи лица уведомления о необходимости устранения нарушения законодательства Российской Федерации в области персональных данных владелец информационного ресурса обязан принять меры по устранению указанного в уведомлении нарушения.

В случае отказа или бездействия владельца информационного ресурса провайдер хостинга или иное указанное в пункте 1 части 7 настоящей статьи лицо обязаны ограничить доступ к соответствующему информационному ресурсу не позднее истечения трех рабочих дней с момента получения уведомления, указанного в пункте 2 части 7 настоящей статьи. 10. В случае непринятия провайдером хостинга или иным указанным в пункте 1 части 7 настоящей статьи лицом и (или) владельцем информационного ресурса мер, указанных в частях 8 и 9 настоящей статьи, доменное имя сайта в сети «Интернет», его сетевой адрес, указатели страниц сайта в сети «Интернет», позволяющие идентифицировать информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных, а также иные сведения об этом сайте и информация направляются по автоматизированной информационной системе операторам связи для принятия мер по ограничению доступа к данному информационному ресурсу, в том числе к сетевому адресу, доменному имени, указателю страниц сайта в сети «Интернет». 11. Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, или привлеченный им в соответствии с частью 4 настоящей статьи оператор реестра нарушителей исключает из такого реестра доменное имя, указатель страницы сайта в сети «Интернет» или сетевой адрес, позволяющие идентифицировать сайт в сети «Интернет», на основании обращения владельца сайта в сети «Интернет», провайдера хостинга или оператора связи не позднее чем в течение трех дней со дня такого обращения после принятия мер по устранению нарушения законодательства Российской Федерации в области персональных данных или на основании вступившего в законную силу решения суда об отмене ранее принятого судебного акта.

12. Порядок взаимодействия оператора реестра нарушителей с провайдером хостинга и порядок получения доступа к содержащейся в таком реестре информации оператором связи устанавливаются уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти.

«; 2) часть 4 статьи 16 дополнить пунктом 7 следующего содержания: «

7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.».

Статья 2 Внести в Федеральный закон от «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст.

3451; 2011, N 31, ст. 4701) следующие изменения: 1) статью 18 дополнить частью 5 следующего содержания: «5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.»; 2) часть 3 статьи 22 дополнить пунктом 10.1 следующего содержания: «10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;»; 3) часть 3 статьи 23 дополнить пунктом 3.1 следующего содержания: «3.1) ограничивать доступ к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, в порядке, установленном законодательством Российской Федерации;».

Статья 3 Часть 3.1 статьи 1 Федерального закона от

«О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»

(Собрание законодательства Российской Федерации, 2008, N 52, ст. 6249; 2009, N 18, ст. 2140; N 29, ст. 3601; N 52, ст. 6441; 2010, N 17, ст.

1988; N 31, ст. 4160, 4193; 2011, N 17, ст.

2310; N 30, ст. 4590; N 48, ст. 6728; 2012, N 26, ст. 3446; 2013, N 27, ст. 3477; N 30, ст. 4041; N 52, ст.

6961, 6979, 6981; Российская газета, 2014, 25 июня) дополнить пунктами 19 и 20 следующего содержания:

«19) контроль за соблюдением требований в связи с распространением информации в информационно-телекоммуникационной сети «

Интернет»; 20) контроль и надзор за обработкой персональных данных.».