С 1 сентября 2016 года хранение персональных данных граждан РФ в электронном виде будет разрешено только на территории России. Есть вероятность, что этот срок будет перенесен на более ранний – 1 января 2015 года. 

21 июля 2014 года был подписан Федеральный закон № 242-ФЗ, которым внесены изменения в Федеральные законы от 27.07.2006 № 152-ФЗ «О персональных данных» и от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». 

Новые требования сводятся к следующему: 

1. В обязанности оператора будет входить обеспечение сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных (далее по тексту – ПДн) граждан РФ в базах данных, расположенных на территории Российской Федерации.

Собираются ли эти данные посредством сети «Интернет» или каким-либо иным образом, значения не имеет. Информацию о месте нахождения базы данных, содержащей ПДн граждан РФ, операторы будут обязаны предоставлять в уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор).

Комментарий «Пепеляев Групп»: Обязанность использовать базы данных, расположенные на территории РФ, будет актуальна практически для всех случаев обработки таких ПДн. Отдельно отметим, что, например, трансграничная передача ПДн рассматриваемыми изменениями прямо не ограничивается.

2. Если обработка ПДн осуществляется с нарушением требований законодательства, Роскомнадзор будет вправе ограничить доступ к такой информации (в том числе заблокировать сайт).

В первую очередь речь идет о таком нарушении, как обработка ПДн российских граждан с использованием баз данных, расположенных вне территории России. Доступ к информации будет ограничиваться на основании вступившего в законную силу судебного акта.

Комментарий «Пепеляев Групп»: Принятая формулировка довольно широка и охватывает практически любые нарушения требований законодательства в области ПДн, даже не связанные с работой сайтов в сети Интернет. 

3. Будет создана автоматизированная информационная система «Реестр нарушителей пра�� субъектов персональных данных».

В Реестр будут включаться, в частности, доменные имена и (или) указатели страниц сайтов в сети «Интернет», содержащих информацию, обрабатываемую с нарушением требований законодательства, сетевые адреса, позволяющие идентифицировать такие сайты и пр. Основанием для включения нарушителя в Реестр также будет являться вступивший в законную силу соответствующий судебный акт.

4. Порядок организации и проведения проверок при осуществлении контроля и надзора за обработкой ПДн или соблюдением требований в связи с распространением информации в сети «Интернет» не будет определяться Федеральным законом от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора)  муниципального контроля».

При проведении таких проверок не будут учитываться предусмотренные данным законом гарантии защиты прав проверяемых. Предполагается, что Роскомнадзор сможет быстрее реагировать на информацию о допущенных операторами ПДн нарушениях без физического взаимодействия с нарушителем.

Комментарий «Пепеляев Групп»:  Увеличится риск выявления нарушений законодательства о ПДн и привлечения компаний к административной ответственности.

На кого распространяется действие поправок

Изменения касаются как российских, так и иностранных компаний, представленных на территории РФ через филиалы, представительства или дочерние юридические лица, которые обрабатывают ПДн в базах данных, размещенных за пределами РФ, и/или которые владеют интернет-сайтами, обладающими формами для сбора ПДн граждан РФ. Отметим, что домены «.ru» и «.рф» не исключаются из зоны риска.

Комментарий «ПГ»: Для каждой такой компании возникает риск, что Роскомнадзор сможет закрыть доступ к таким сайтам и ресурсам из России. А поскольку оператор будет обязан сообщать о месте нахождения баз данных, содержащих ПДн российских граждан, фактическое нахождение этих баз данных на территории РФ будет достаточно легко проверить. Это также может упростить доступ правоохранительных органов к ПДн.

Вместе с тем, остается открытым вопрос, будут ли новые правила применяться к иностранным компаниям, не представленным на территории РФ.

Вступление в силу

Перечисленные изменения вводятся в действие с 1 сентября 2016 года. Однако в начале сентября в Госдуму был внесен законопроект № 596277-6, которым предлагается перенести дату вступления вышеперечисленных изменений в силу уже на 1 января 2015 года.  Данный законопроект Госдумой пока не рассматривался.

О чем подумать, что сделать

Рекомендуем компаниям подготовиться к работе в новых условиях обработки ПДн, а также к контрольным мероприятиям Роскомнадзора за соблюдением законодательства о ПДн, в частности:

  • организовать деятельность организации и ее работников по обработке ПДн в соответствии с новыми требованиями законодательства;
  • разработать и ввести необходимые локальные акты;
  • принять необходимые технические меры по защите ПДн;
  • получить соответствующие лицензии и иную разрешительную документацию.

Это позволит, в том числе, заблаговременно подготовиться к возможным контрольным мероприятиям Роскомнадзора с целью управления рисками (их исключения, минимизации) привлечения к ответственности и применения иных мер принуждения по результатам такого контроля.