Автор:
XTRO
(из рассылки IT Patrol inc.)
C 1 сентября 2015 года в Российской Федерации начинает действовать положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»
Основная цель этого текста, донести до наших клиентов суть закона и как он влияет на размещение вашего сайта на заграничном хостинге.
Я постараюсь внести ясность и сделать выжимку трактовки закона.
Цель данного закона: обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Хочу сразу указать что данный закон не распространяется на личный сайт, сайт сообщества, научный, литературный или творческий сайт. При условии что не нарушаются права и законные интересы субъекта персональных данных.
Самый важный момент, это определение Персональные данные (далее ПД):
- любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
В законе указаны следующие основные категории персональных данных:
- персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
Если исключить пункты, созданные для государственных нужд, для обработки данной категории ПД вам необходимо согласие от субъекта ПД в письменной форме или подписанное электронной подписью.
- биометрические персональные данные - характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных;
Если исключить пункты, созданные для государственных нужд, для обработки данной категории ПД вам необходимо согласие от субъекта ПД в письменной форме.
- в общедоступные источники ПД (в том числе справочники, адресные книги) могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
Для обработки данной категории ПД вам необходимо согласие от субъекта ПД в письменной форме или подписанное электронной подписью.
Основное беспокойство с размещением сайтов наших клиентов за границей связано со следующим пунктом закона:
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
Если исключить пункты, созданные для государственных нужд, остается пункт:
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
При этом, оператор, который решает обрабатывать ПД обязан уведомить о своем намерении осуществлять обработку ПД (статья 22 пункт 1).
Возможна обработка данных без уведомления (статья 22 пункт 2) (не все пункты, выжимка):
- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных
- относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных
- сделанных субъектом персональных данных общедоступными
- включающих в себя только фамилии, имена и отчества субъектов персональных данных
- необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях
Подводя итог, можно сказать следующее. Ваш личный сайт, сайт сообщества, научный, литературный или творческий сайт может быть размещен на заграничном хостинге. При условии что не нарушаются права и законные интересы субъекта персональных данных.
Если вы осуществляете предоставление услуг, на основе договора - вы не обязаны регистрироваться как Оператор, но обязаны получить письменное или подписанное электронным ключем разрешение от субъекта ПД. При этом вы можете передавать ПД за рубеж при письменном разрешении субъекта ПД .
Если вы анализируете ПД для оптимизации выдачи контента (перечня услуг, товаров) - вы обязаны получить разрешение (в письменном виде или подписанное электронным ключем) субъекта ПД до начала обработки ПД
Для ПД полученных не от субъекта ПД, вы обязаны до начала обработки ПД послать субьекту данные указанные в статье 18 пункт 3 этого закона.
За исключением если ПД были сделаны субъектом ПД общедоступными или получены из общедоступного источника а также если обработка осуществляется для профессиональной деятельности журналиста ибо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных
При этом, чтоб пользоваться зарубежным хостингом, базу клиентов (для осуществления обработки собранных персональных ,систематизации, накопления, хранения, уточнения, извлечения) Вам необходимо хранить на территории Российской Федерации в обязательном порядке с соблюдением всех требований безопасности хранения ПД.
Запрета на передачу данных в страны, являющихся сторонами Конвенции Совета Европы - нет, но сбор, обработка, накопление, хранение, уточнение и извлечение данных должна происходить из базы данных на территории Российской Федерации
В случае если вы занимаетесь коммерческой деятельностью, я настоятельно рекомендую Вам обратиться к юристу, для более детального рассмотрения применения данного закона к вашей деятельности.
Ссылки:
Текст закона: http://www.consultant.ru/document/cons_doc_LAW_61801/
Перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных http://www.rg.ru/2013/04/26/perechen-dok.html
Разъяснения к закону: http://www.minsvyaz.ru/ru/personaldata/
Хороший обзор (смотрите секцию Хостинг за рубежом в контексте персональных данных)
http://megamozg.ru/post/18456/