Другие вопросы в связи с законом о персональных данных
Опубликовал
DmitryMarinichev
в блог Закон о персональных данных
0
По материалам предварительных обсуждений
Законом допускается передача персональных данных граждан России, содержащихся в базах данных, находящихся в Российской Федерации, в том числе на территорию иностранных государств, в порядке и в соответствии с условиями, определенными законодательством о персональных данных.
Избыточность – это такое превышение, которое связано со сбором и обработкой персональных данных, которые не относятся к деятельности оператора, осуществляемой им в отношении субъекта либо не относятся непосредственно к тем услугам, которые оператор оказывает субъекту персональных данных.
Например, зачем при выдаче дисконтной, заметьте не именной, карты в какой-либо магазинчик или на заправку, необходимо спрашивать полные паспортные данные, адрес местожительства, все виды контактной информации и прочее. Я понимаю, если гражданин изъявит желание участвовать в каких-либо суперакциях, получении дополнительного спектра услуг, требующего его идентификации, тогда это как-то объяснимо, но при этом гражданину должен оставаться выбор – сообщать свои данные или нет. А если это не так? Вот это и есть избыточность.
Законодательством какой-то минимум собираемых данных не определен. Не установлена ответственность за избыточный сбор данных. Поэтому операторы зачастую злоупотребляют своим правом и запрашивают у граждан персональные данные, в объеме, который значительно превышает необходимый. Соответственно, возрастают риски. В случае утечки, весь этот объем информации окажется в свободном доступе, что гражданам грозит самыми большими неприятностями.
Насколько я понимаю, Закон 242-ФЗ не вводит обязанность оператора персональных данных осуществлять передачу данных только в базы данных на территории России.
Закон 242-ФЗ не допускает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации за пределами России, при сборе персональных данных.
Как мне удалось выяснить, в соответствии с международными обязательствами, взятыми на себя Российской Федерацией при ратификации Конвенции о защите физических лиц при автоматизированной обработке персональных данных № 108, российская сторона не должна ни запрещать, ни разрешать трансграничные потоки персональных данных, идущие на территорию другой стороны, с единственной целью защиты частной жизни.
Аналогичные положения содержатся в российском законодательстве. Так, согласно статье 12 Федерального закона о персональных данных трансграничная передача персональных данных на территории иностранных государств — участников Конвенции, а также иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется без дополнительного согласия субъектов персональных данных.
При этом Законом о персональных данных определены случаи, когда трансграничная передача осуществляется также на территории государств, которые не являются ни участниками конвенции, ни входят в Перечень стран, обеспечивающих адекватную защиту персональных данных. К таким случаям, в том числе, относится письменное согласие субъекта персональных данных на такую передачу.
Скажу о хостерах, поскольку обсуждал это с ними. У хостеров проблема такая:: с одной стороны он уже вроде как не операторы, с другой базу пользователей (ПД) ведут по полной и рискуют попасть на штрафы РКН в случае невыполнения всевозможных требований по их хранению. У остальных эта проблема возникнет уже с 1 февраля, по постановлению base.garant.ru/70710174/#block_1000.
Передача информации из сформированной в России базы персональных данных — это один из видов обработки данных. Обработка персональных данных посредством ее передачи, в том числе на территорию иностранного государства, является трансграничной передачей данных. Таким образом, передача после сбора данных будет представлять собой операцию по обработке персональных данных.
Речь идет о регламентации процедуры установления гражданства субъекта персональных данных…
Законодатель предоставил возможность операторам персональных данных самостоятельно определять указанную процедуру в соответствии со спецификой деятельности каждого юридического лица, осуществляющего сбор персональных данных граждан России.
Если оператору персональных данных трудно выделить среди множества субъектов персональных данных тех, чьи данные нужно хранить на территории России, возможно применение принципа действия Закона на всей территории России. Соответственно в случае сбора данных на территории России оператор персональных данных может осуществлять их хранение в базах данных в России, вне зависимости от гражданства субъектов персональных данных.
Насколько я понимаю, в законе идет речь о едином процессе формирования и поддержания в актуальном состоянии базы данных.
И законодатель вводит правило, согласно которому формирование и актуализация баз персональных данных российских граждан должно осуществляться на территории России.
Соответственно логический процесс, связанный с формированием и актуализацией базы данных, не позволяет осуществлять отдельные процедуры, в том числе «хранение персональных данных», в базах данных на территории иностранного государства, не нарушая при этом нормы Закона 242-ФЗ.
Я так понял из следующей формулировки в тексте закона: «при сборе персональных данных… оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации, с использованием баз данных, находящихся на территории Российской Федерации».
Ответ на этот вопрос есть на портале Роскомнадзора (http://pd.rkn.gov.ru/faq/ ):
Согласно п. 9 ст. 3 Федерального закона «О персональных данных» информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. В случае соответствия веб-сайта указанным требованиям он является информационной системой.
Насколько я понимаю, закон распространяется на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.
Как следует из статьи 2 Закона № 242-ФЗ сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации, должны быть представлены операторами персональных данных в уполномоченный орган посредством направления уведомления об обработке персональных данных в порядке, определенном статьёй 22 Федерального закона о персональных данных.
Следует обратить внимание, что есть утвержденная форма уведомления об обработке персональных данных (см. Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных)…
Представляется, что в связи вступлением в силу Закона № 242-ФЗ указанный подзаконный акт должен быть дополнен. Нужно добавить соответствующие положения, касающиеся содержания и порядка представления сведений о месте нахождения баз данных, которые необходимо будет указать в уведомлении об обработке персональных данных.
Насколько я понимаю, нормативное закрепление порядка определения оператором персональных данных места нахождения базы данных, считается чрезмерной регламентацией.