Rusko má v roce 2006 samostatný zákonpodle kterého různé organizace a jednotlivci musí provádět operace s osobními údaji - federální zákon č. 152. Zákonodárce pravidelně provádí změny příslušného právního aktu. Zejména 1. září 2015 vstoupil v platnost spolkový zákon č. 242, po jehož zveřejnění se ve spolkovém zákoně č. 152 objevila řada zásadně nových norem. Co jsou zač? Kdo je povinen dodržovat příslušná právní ustanovení?
Tomu by měla být věnována zvláštní pozornost.rozhodující bod: Zákon č. 242-ФЗ, který vstoupil v platnost dne 1. září 2015, je regulačním aktem, kterým se mění další základní zdroj práva - č. 152, přijatý v červenci 2006. Znění obsažené v zákoně č. 242 by tedy mělo být posuzováno pouze v kontextu těch norem, které jsou obsaženy ve spolkovém zákoně č. 152.
Základní právní akt, federální zákon č. 152, zřízený v právních předpisech Ruské federace takové právní kategorie jako:
- osobní údaje;
- provozovatel příslušných informací;
- zpracování osobních údajů.
Под первой правовой категорией законодатель předepisuje porozumění všem informacím, které se přímo nebo nepřímo týkají jednotlivce. Může to být například jeho celé jméno, osobní údaje, kontaktní informace.
Podle druhé právní kategorieRozumí se to jako státní nebo obecní úřad, organizace nebo jednotlivec, který samostatně nebo v průběhu interakce s jinými subjekty provádí postup zpracování údajů a rovněž určuje jejich složení a operace s nimi.
V rámci třetí právní kategorie jsou zákonodárcipředepisuje porozumění jakékoli operaci nebo jejich sledu, které se vztahují k osobním údajům a jsou prováděny pomocí automatizačních nástrojů nebo bez nich.
Основные операции с персональными данными, definované zákonem č. 152: sběr, záznam, skladování, úprava, použití, převod, blokování, likvidace. Uvedené právní kategorie v zásadě v době přijetí mohly být v právním řádu Ruské federace považovány za zcela nové. Předtím byl oběh osobních údajů upraven ruskou legislativou docela povrchně.
V Ruské federaci byl přijat zákon o osobních údajíchvyzývá se proto, aby se vnitrostátní právní systém přiblížil světovým normám pro zajištění důvěrnosti výměny informací - v první řadě prezentované v elektronické podobě a použité jako součást online komunikace. Federální zákon č. 152 však rovněž vytvořil právní prostředí k zajištění ochrany různých offline dat.
V souladu s tímto právním předpisembylo identifikováno několik tříd osobních údajů, které vyžadovaly použití určitých algoritmů ochrany. Federální zákon č. 152 navíc stanovil pravidla, podle nichž lze provádět šíření různých údajů ve specializovaných informačních systémech - těch, která vyžadovali, aby správci byli zvláště vysoce kvalifikovaní, a také pro získání licencí pro provádění operací s osobními údaji.
Přestože byl federální zákon č. 152 publikován v roce 2006V roce se její hlavní ustanovení pro provozovatele osobních údajů stala v praxi povinná až od 1. července 2011. Od té chvíle, jak jsme poznamenali výše, byly pravidelně prováděny různé úpravy odpovídajícího zdroje práva. Zejména ty, které byly schváleny federálními orgány prostřednictvím zákona 242-FZ. Zvažte jeho vlastnosti podrobněji.
Federální zákon 242-ФЗ „O osobních údajích“(přesněji „O pozměňovacích aktech jako součást objasnění zpracování údajů“) bylo zavedeno ustanovení, podle kterého provozovatelé začali zpracovávat a ukládat informace pouze na serverech, které se nacházejí v Rusku. Nebo pokud se jedná o osobní údaje offline - zveřejněte je v databázích v Ruské federaci. Je třeba poznamenat, že zákon 242-ФЗ uvádí řadu výjimek z této normy - které se zase odrážejí v ustanoveních federálního zákona č. 152.
Další nuance uplatňování zákona ježe prostřednictvím svého zákonodárce také pozměnil nejen hlavní právní akt upravující operace s osobními údaji, ale také další zdroje. Konkrétně v zákonech 149 „Informace“ a 249 („Ochrana právnických osob a jednotlivých podnikatelů pod státní a obecní kontrolou“).
V ruských médiích se aktivně šířilyinformace, že Roskomnadzor je agentura odpovědná za zajištění toho, aby činnosti provozovatelů údajů byly v souladu s ustanoveními federálního zákona 242 „O ochraně osobních údajů“, provede v roce 2016 inspekce největších dodavatelů IT řešení působících v Ruské federaci. Zejména bylo řečeno, že cílem Roskomnadzoru bylo zjistit, zda značky, jako jsou Microsoft, Vkontakte, HeadHunter, LaModa, splňují požadavky dotyčného zákona. Předpokládalo se, že oddělení bude provádět asi 1 000 různých kontrol.
Zahájeno federálními orgány prostřednictvímZveřejnění federálního zákona č. 242-FZ, změny v osobních údajích v hlavním zákoně by mohly předurčit potřebu významných operátorů významně aktualizovat hardware a software. Tento problém však musí vyřešit značky, jinak, pokud infrastruktura, kterou používají, nesplňuje požadavky daného zákona, může Roskomnadzor společnosti uložit pokutu.
Významná role v auditech, jako jePředpokládá se, že uživatelé různých IT řešení by měli hrát. Pokud začnou mít podezření, že jejich data nejsou zcela chráněna, mohou uživatelé informace o službě, která se podílí na operacích s příslušnými daty, přenášet uživatelé přímo na Roskomnadzor. Který pak bude muset zahájit servisní kontrolu dodržování ustanovení zákona 242-FZ.
Bude užitečné zvážit, jaký je rozsah předmětného pramene práva.
Hlavním bodem diskuse v tomto případě jezda se jurisdikce FZ-242 „O ochraně osobních údajů“ vztahuje na zahraniční firmy, které na jedné straně poskytují služby ruským uživatelům, na druhé straně jsou umístěny mimo Ruskou federaci jak z právního hlediska, tak z hlediska příslušné infrastruktury.
Samostatná ustanovení v daném právu,který by jednoznačně určil geografii jeho činnosti, zákonodárce neschválil. K nalezení odpovědi na uvažovanou otázku je proto třeba odkázat na jiné právní akty.
Takže v souladu se zákonem o informacíchpři provozu v Ruské federaci by se používání různých typů komunikační infrastruktury na území Ruska mělo provádět s přihlédnutím k normám schváleným v právních předpisech Ruské federace. Pokud tedy budete dodržovat toto pravidlo, můžete dojít k závěru, že federální zákon č. 242-FZ se stále vztahuje pouze na služby, které jednoznačně využívají infrastrukturu, která se nachází v Rusku.
Nejdůležitější kritérium pro určení příslušnostizdroj uvažovaného práva - směr značky, která vlastní konkrétní službu. Pokud konkrétní stránka slouží především ruským uživatelům, mělo by být považováno za předmět regulace z hlediska uplatňování norem zákona č. 242. Skutečnost, že služba je zaměřena na získávání osobních údajů občanů Ruské federace, může být stanovena na základě toho, že:
- ve struktuře adresy webu se používá doména .ru, .su, .рф nebo například moscow;
- obsah stránek je vyroben v ruštině;
- na stránkách portálu existuje možnost uzavřít právní vztah se službou pomocí forem smluv uzavřených v souladu s občanským zákoníkem Ruské federace.
V praxi provozovatelé dat, do kterých spadajípod jurisdikcí federálního zákona č. 242 mohou existovat různé struktury - například personální služby podniků, bank, call centra. Všichni jsou povinni zajistit, aby jejich činnost byla v souladu s požadavky daného zákona.
Zákon č. 242-FZ o změnách FZ č. 152byl vydán později, než se objevil samotný federální zákon č. 152, jakož i jeho předchozí změny, způsobil však nutnost dalšího výkladu ustanovení hlavního právního aktu. Mezi právníky probíhala zejména diskuse o tom, zda by měl být zákon č. 242 považován za retroaktivní.
Nejoblíbenějším hlediskem je, žepodle kterého by se při posuzování právního účinku dotyčného právního aktu měly použít obecné právní zásady, podle nichž by se nemělo provádět zpětné vymáhání těch zákonů, které zhoršují situaci určitých osob nebo stanoví pro ně další povinnosti.
Výjimky mohou být stanoveny pro zákonjedná, v nichž je přímo stanovena zásada zpětné síly. Zákon 242-FZ taková ustanovení neobsahuje. Proto jsou povinny je dodržovat pouze ty strany právních vztahů, které začnou zpracovávat osobní údaje po vstupu příslušného právního aktu v platnost. To je od 1. září 2015.
Charakterizace dalšího kontroverzního bodudotčeným právním aktem je vymezení pojmu „sběr údajů“ na základě jeho znění. Jaká je složitost výkladu v tomto případě? Skutečností je, že v souladu s ustanoveními federálního zákona č. 152, který byl změněn zveřejněním federálního zákona č. 242-ФЗ o změnách osobních údajů, jsou provozovatelé povinni zajistit lokalizaci souborů v procesu shromažďování příslušných informací. Podstata tohoto postupu není zase jasně definována v zákoně, což samozřejmě v mnoha kontextech nepřispívá k účinnému provádění jeho ustanovení.
Mezi odborníky je rozšířený názorkteré „shromažďováním“ je legitimní pochopit proces, ve kterém je provozovatel dat přijímá přímo od některého subjektu nebo oprávněných třetích stran. Ukazuje se, že v souladu s ustanoveními federálního zákona 242 by měly být lokalizovány pouze ty osobní údaje, které provozovatel získal poté, co provedl cílenou práci ke shromažďování příslušných údajů. A pokud je například provozovatel obdržel náhodou - jako možnost, ve formě e-mailu, není nutné lokalizovat osobní údaje, jak stanoví zákon 242-FZ. Podobně není vhodné považovat za proces sběru dat jejich přijetí jednou společností od druhé, pokud představují telefonní čísla a další kontaktní údaje zástupců společnosti.
Další nejdůležitější charakteristika nuancedonucovací praxe při implementaci ustanovení zákona č. 242 - možnost umisťování údajů provozovateli do zahraničí, je-li to nutné - například pokud jde o zálohování příslušných informací na serverech pronajatých od zahraničních dodavatelů. Na jedné straně musí být podle zákona č. 242-FZ osobní údaje umístěny na serverech umístěných v Rusku. Na druhé straně samozřejmě může existovat objektivní potřeba jejich umístění také na zahraniční zdroje.
Jak poznamenali právníci, přeshraniční převodúdaje, aniž by došlo k porušení ustanovení rozhodného práva, jsou v zásadě možné. Na základě jakých legislativních ustanovení lze toto postavení považovat za legitimní?
Skutečností je, že zákon o lokalizaci osobúdaje 242-FZ neobsahují ustanovení o změnách právních předpisů upravujících přeshraniční přenos souborů obsahujících individualizované informace o občanech Ruské federace a dalších subjektech, na které se vztahuje ochrana zákona č. 152-FZ. Tento postup je tedy legální, jako tomu bylo před okamžikem, kdy byly přijaty zvažované změny zákona.
Ale věnujme pozornost znovu - přeshraničnípřenos dat lze provést pouze za účelem zálohování odpovídajících souborů. Jejich originály tedy musí být zveřejněny na serverech v Ruské federaci. Provozovatel údajů je zároveň sám odpovědný za neoprávněné použití souborů na zahraničních serverech určitými osobami. Kromě toho bude pravděpodobně muset přizpůsobit své informační systémy požadavkům stanoveným právními předpisy státu, na jehož území jsou servery umístěny.
Studovali jsme tedy, co zákonodárce představilvydáním zákona 242-FZ, změn federálního zákona č. 152. Bude také užitečné zvážit, s jakými sankcemi mohou provozovatelé dat čelit za porušení ustanovení příslušného pramene práva.
Во-первых, на компанию, которая обязана выполнять v souladu se zákonem č. 242 může být uložena správní pokuta. Jeho hodnota je 500–1 000 rublů pro úředníky a 10krát větší částky pro právnické osoby. Tuto pokutu stanoví čl. 13.11 správního řádu Ruské federace.
Za druhé, taková sankce může být uplatněna,jako vložení datového operátora do registru porušovatelů. Jedná se o automatizovanou databázi, která obsahuje názvy domén a adresy webových stránek, kde jsou osobní údaje zpracovávány s porušením. Upozorňujeme, že zařazení operátora do příslušného rejstříku se provádí na základě soudního rozhodnutí. Výjimkou je její zrušení nebo skutečnost, že společnost odstranila porušení dotyčného zákona.
Zatřetí, přístup na stránky může být omezen,která implementuje nesprávné zpracování osobních údajů. Tento postup se provádí poté, co subjekt osobních údajů zašle společnosti Roskomnadzor prohlášení o nutnosti přijmout opatření k zablokování odpovídajícího zdroje.
Кроме того, данный документ также должен быть doplněné soudním aktem, který nabyl právní moci. Poté Roskomnadzor pošle informace o porušení ze strany vlastníka webové stránky zákona č. 242 poskytovateli hostingu a to, pokud vlastník zdroje toto porušení neodstraní, blokuje web.
Postup pro uplatňování sankcí vůči porušovatelůmustanovení dotčeného právního aktu do značné míry závisí na praxi vymáhání práva. Provozovatelům osobních údajů má smysl pravidelně je studovat, jakož i například různé analytické studie ustanovení zákona č. 242-FZ, připomínky právníků k nim. Plnění norem federálního zákona č. 152, s přihlédnutím k jeho současným změnám, je nejdůležitější podmínkou správného fungování příslušných informačních služeb.
