Venäjällä on erillinen laki,jonka mukaan useiden organisaatioiden ja yksilöiden on suoritettava henkilötietoja - liittovaltion laki nro 152. Lainsäätäjä tekee säännöllisesti muutoksia vastaavaan säädökseen. Erityisesti 1. syyskuuta 2015 voimaan tulivat liittovaltion lain nro 242 säännökset, joiden julkaisemisen jälkeen liittovaltion laissa nro 152 ilmestyi joukko perustavanlaatuisia normeja. Mitä ne ovat? Kenen on noudatettava asiaa koskevia säännöksiä?
Tähän tulisi kiinnittää erityistä huomiotaolennainen asia: Laki 242-FZ, joka tuli voimaan 1. syyskuuta 2015, on normatiivinen säädös, jolla muutettiin toista, perustavanlaatuista oikeuslähdettä - FZ nro 152, joka hyväksyttiin heinäkuussa 2006. Lain nro 242 sanamuotoa on siis tarkasteltava yksinomaan liittovaltion lain nro 152 sisältämien normien yhteydessä.
Perussäädös - ФЗ № 152, joka on vahvistettu Venäjän federaation lainsäädännössä seuraaviin oikeudellisiin luokkiin:
- henkilökohtaiset tiedot;
- asiaankuuluvien tietojen ylläpitäjä
- henkilötietojen käsittely.
Ensimmäisessä oikeudellisessa luokassa lainsäätäjäkäskee ymmärtää kaikki tiedot, jotka liittyvät suoraan tai epäsuorasti yksilöön. Tämä voi olla esimerkiksi hänen täydellinen nimi, henkilötiedot, yhteystiedot.
Lain toisen oikeudellisen luokan mukaantarkoittaa valtion tai kunnan viranomaista, organisaatiota tai henkilöä, joka itsenäisesti tai vuorovaikutuksessa muiden aiheiden kanssa suorittaa tietojenkäsittelyprosessin ja määrittää myös niiden kokoonpanon ja toiminnan heidän kanssaan.
Kolmannessa oikeudellisessa luokassa lainsäätäjämäärää ymmärtämään kaikki henkilötietoihin liittyvät toiminnot tai niiden järjestyksen, jotka suoritetaan automatisointityökalujen avulla tai ilman niitä.
Henkilötietojen perustoiminnot,määritelty lailla nro 152: kerääminen, tallentaminen, tallentaminen, korjaaminen, käyttö, siirto, estäminen, poistaminen. Näitä oikeudellisia luokkia voidaan periaatteessa hyväksymisen yhteydessä pitää melko uusina Venäjän federaation oikeusjärjestelmässä. Ennen sitä henkilötietojen vaihtoa säänneltiin Venäjän lainsäädännöllä melko pinnallisesti.
Venäjän federaatiossa annettu henkilötietolaki oliSiksi tarkoituksena on tuoda kotimainen oikeusjärjestelmä lähemmäksi maailman standardeja tietojen vaihdon luottamuksellisuuden varmistamiseksi - ensisijaisesti sähköisessä muodossa ja verkkoviestinnän yhteydessä. Mutta liittovaltion laki nro 152 on yhtä lailla luonut oikeudellisen ympäristön myös erilaisten offline-tietojen suojaamisen varmistamiseksi.
Tämän säädöksen mukaisestitunnistettiin useita henkilötietoluokkia, jotka vaativat tiettyjen suojausalgoritmien käyttöä. Lisäksi liittovaltion laissa nro 152 vahvistettiin normit, joiden mukaan erilaisten tietojen liikkuminen voidaan suorittaa erikoistuneissa tietojärjestelmissä - järjestelmissä, jotka vaativat erityisen korkeaa ylläpitäjien pätevyyttä, sekä hankkia lisenssejä henkilötietoihin liittyvien toimintojen suorittamiseksi.
Huolimatta siitä, että liittovaltion laki nro 152 annettiin vuonna 2006Vuonna 2011 käytännössä sen pääsäännökset henkilötietojen ylläpitäjille tulivat pakollisiksi vasta 1.7.2011 alkaen. Tästä hetkestä lähtien vastaavaan oikeuslähteeseen tehtiin ajoittain erilaisia muutoksia, kuten edellä totesimme. Erityisesti ne, jotka liittovaltion viranomaiset ovat hyväksyneet lailla 242-FZ. Tarkastellaanpa sen ominaisuuksia tarkemmin.
Liittovaltion laki 242-FZ "henkilötiedoista"(tarkemmin sanottuna "Tietojenkäsittelyn määrittelemistä koskevien lakien muuttamisesta") vahvistettiin säännös, jonka mukaan operaattoreilla oli velvollisuus käsitellä ja tallentaa tietoja vain palvelimille, jotka sijaitsevat Venäjän alueella. Tai jos se on offline-henkilötietoja, sijoita ne Venäjän federaatiossa sijaitseviin tietokantoihin. Huomaa, että laki 242-FZ sisältää joukon poikkeuksia tähän säännökseen - jotka puolestaan heijastuvat FZ nro 152 -säännöksiin.
Toinen vivahde lain soveltamisessa onse, että sen kautta lainsäätäjä teki muutoksia paitsi pääasialliseen henkilötietojen käsittelyä säätelevään säädökseen myös muihin lähteisiin. Nimittäin lait 149 "Tiedotuksesta" sekä 249 ("Oikeushenkilöiden ja yksittäisten yrittäjien suojelusta valtion ja kuntien valvonnassa").
Venäjän media levisi aktiivisestitiedot, että Roskomnadzor, virasto, joka on vastuussa siitä, että tietooperaattorit noudattavat FZ-242 "henkilötietojen suojasta" määräyksiä, suorittaa vuonna 2016 tarkastuksia Venäjän federaatiossa toimivien suurimpien IT-ratkaisujen toimittajille. Erityisesti sanottiin, että Roskomnadzorin tarkoituksena on selvittää, ovatko tuotemerkit, kuten Microsoft, Vkontakte, HeadHunter, LaModa, tarkasteltavana olevan lain vaatimukset. Osaston oletettiin tekevän noin 1000 erilaista tarkastusta.
Liittovaltion viranomaisten aloitteen kauttaFZ nro 242-FZ:n versiot, henkilötietoihin tehdyt muutokset päälaissa voivat ennakoida suurten operaattoreiden tarvetta suorittaa merkittävä laitteisto- ja ohjelmistopäivitys. Mutta tämä tehtävä on ratkaistava tuotemerkkien avulla, muuten, jos heidän käyttämänsä infrastruktuuri ei täytä tarkasteltavana olevan lain vaatimuksia, Roskomnadzor voi määrätä yritykselle sakon.
Merkittävä rooli auditoinneissa mmerilaisten IT-ratkaisujen käyttäjien pitäisi pelata. Jos he alkavat epäillä, että heidän tietojaan ei ole täysin suojattu, käyttäjät voivat siirtää tietoja palvelusta, jota käytetään vastaavien tietojen kanssa, suoraan Roskomnadzorille. Sen on puolestaan aloitettava palvelun tarkastus lain 242-FZ normien noudattamiseksi.
On hyödyllistä pohtia, mikä on kyseessä olevan oikeuslähteen soveltamisala.
Keskustelun pääkohta tässä tapauksessa onulottuuko FZ-242 "henkilötietojen suojasta" oleva lainkäyttövalta ulkomaisiin yrityksiin, jotka toisaalta tarjoavat palveluja venäläisille käyttäjille ja toisaalta sijaitsevat Venäjän federaation ulkopuolella, molemmat oikeudelliselta kannalta ja siihen liittyvän infrastruktuurin osalta.
Tietyt kyseisen lain säännökset,joka määrittäisi yksiselitteisesti sen toiminnan maantieteellisen sijainnin, lainsäätäjä ei hyväksynyt. Tämän vuoksi on tarpeen viitata muihin säädöksiin vastauksen löytämiseksi käsiteltävänä olevaan kysymykseen.
Joten tietolain mukaisestiVenäjän federaatiossa toimivien erilaisten viestintäinfrastruktuurien soveltaminen Venäjän alueella olisi suoritettava ottaen huomioon Venäjän federaation lainsäädännössä hyväksytyt normit. Siten, jos noudatat tätä sääntöä, voit päätellä, että liittovaltion lakia nro 242-FZ sovelletaan edelleen vain niihin palveluihin, jotka yksiselitteisesti käyttävät Venäjällä sijaitsevaa infrastruktuuria.
Tärkein kriteeri toimivallan määrittämisessätarkasteltava lain lähde - tietyn palvelun omistavan brändin suunta. Jos tietty sivusto palvelee ensisijaisesti venäläisiä käyttäjiä, sitä tulee pitää sääntelyn kohteena lain nro 242 normien soveltamisen kannalta. Se, että palvelu on tarkoitettu Venäjän federaation kansalaisten henkilötietojen hankkimiseen, voi vahvistetaan sillä perusteella, että:
- sivuston osoitteen rakenteessa käytetään verkkotunnusta .ru, .su, .рф tai esimerkiksi moskova;
- sivuston sisältö on tehty venäjäksi;
- portaalin sivuilla on mahdollisuus solmia oikeussuhde palvelun kanssa käyttämällä Venäjän federaation siviililain mukaisesti laadittuja sopimusmuotoja.
Käytännössä dataoperaattorit, jotka laskevatliittovaltion lain nro 242 lainkäyttövallan alaisuudessa voi olla erilaisia rakenteita - esimerkiksi yritysten, pankkien, puhelinkeskusten henkilöstöpalvelut. Kaikki he ovat velvollisia varmistamaan, että heidän toimintansa on kyseessä olevan lain vaatimusten mukaista.
Laki nro 242-FZ FZ:n nro 152 muutoksistajulkaistiin myöhemmin kuin varsinainen liittovaltiolaki nro 152, samoin kuin siihen tehdyt aiemmat muutokset, ilmestyi, mutta se aiheutti kuitenkin tarpeen lisätulkintaa pääsäädöksen säännöksistä. Lakimiehet keskustelivat erityisesti siitä, pitäisikö lain nro 242 katsoa olevan taannehtiva vaikutus.
Suosituin näkökulma on sejonka mukaan kyseisen säädöksen oikeusvaikutusten arvioinnissa tulee soveltaa yleisiä oikeusperiaatteita, joiden mukaan niiden lakien saaminen, jotka heikentävät tiettyjen henkilöiden tilannetta tai asettavat heille lisävelvoitteita, tulee antaa. ei saa soveltaa.
Lakiasiassa voidaan tehdä poikkeuksiatoimiin, joissa taannehtivan vaikutuksen periaate on suoraan vahvistettu. Laki 242-FZ ei sisällä tällaisia säännöksiä. Siksi vain ne oikeussuhteen osapuolet, jotka aloittavat henkilötietojen käsittelyn, ovat velvollisia noudattamaan sitä kyseisen lain voimaantulon jälkeen. Eli 1.9.2015 alkaen.
Toinen kiistanalainen piirrekyseessä oleva säädös on "tiedonkeruun" käsitteen määritelmä sen sanamuodon perusteella. Mikä on tulkinnan monimutkaisuus tässä tapauksessa? Tosiasia on, että liittovaltion lain nro 152 määräysten mukaisesti, joita muutettiin liittovaltion lain nro 242-ФЗ julkaisemalla henkilötietoja koskevat muutokset, operaattoreiden on varmistettava tiedostojen lokalisointi kerätessään tietoja merkityksellinen informaatio. Tämän menettelyn ydintä ei puolestaan ole määritelty yksiselitteisesti laissa, mikä ei tietenkään edistä sen määräysten tehokasta täytäntöönpanoa useissa yhteyksissä.
Asiantuntijoiden keskuudessa on laaja näkemys siitäjotka "keräämällä" on oikeutettua ymmärtää prosessi, jossa tietojen ylläpitäjä saa ne suoraan joltakin kohteelta tai valtuutetuilta kolmansilta osapuolilta. Osoittautuu, että vain ne henkilötiedot, jotka operaattori on hankkinut suoritettuaan kohdennettua työtä asiaankuuluvien tietojen keräämiseksi, tulisi lokalisoida liittovaltion lain 242 sääntöjen mukaisesti. Ja jos esimerkiksi operaattori sai ne vahingossa - vaihtoehtona sähköpostin muodossa, henkilötietoja ei tarvitse lokalisoida lain 242-FZ mukaisesti. Vastaavasti ei ole tarkoituksenmukaista pitää tiedonkeruuprosessina niiden vastaanottamista yhdeltä yritykseltä toiselta, jos ne edustavat yritysten edustajien puhelinnumeroita ja muita yhteystietoja.
Seuraavaksi tärkein ominaispiirrelainvalvontakäytäntö lain nro 242 säännösten täytäntöönpanossa - operaattoreiden mahdollisuus sijoittaa tietoja tarvittaessa ulkomaille - esimerkiksi kun on kyse asiaankuuluvien tietojen varmuuskopioinnista ulkomaisilta toimittajilta vuokratuille palvelimille. Toisaalta lain nro 242-FZ mukaan henkilötiedot on sijoitettava Venäjällä sijaitseville palvelimille. Toisaalta niiden sijoittamiselle voi tietysti olla objektiivista tarvetta myös ulkomaisille resursseille.
Kuten asianajajat huomauttavat, rajat ylittävä siirtotiedot ovat periaatteessa mahdollisia rikkomatta voimassa olevan lain säännöksiä. Minkä lain säännösten perusteella tätä kantaa voidaan pitää oikeutettuna?
Tosiasia on, että laki henkilökohtaisten lokalisoinnistaTietojen 242-FZ ei sisällä säännöksiä sellaisten säädösten muuttamisesta, jotka säätelevät Venäjän federaation kansalaisista ja muista lain nro 152-FZ suojan piiriin kuuluvista henkilökohtaisia tietoja sisältävien tiedostojen rajat ylittävää siirtoa. Siksi tämä menettely on laillinen, kuten se oli ennen harkittujen lakimuutosten hyväksymishetkeä.
Mutta kiinnitetään vielä kerran huomiota - rajat ylittävättiedonsiirto voidaan suorittaa vain vastaavien tiedostojen varmuuskopiointia varten. Siksi niiden alkuperäiskappaleet on sijoitettava palvelimille Venäjän federaatiossa. Tietojen ylläpitäjä on tällöin itse vastuussa ulkomaisilla palvelimilla olevien tiedostojen luvattomasta käytöstä tiettyjen henkilöiden toimesta. Lisäksi hänen on todennäköisesti saatettava tietojärjestelmänsä vastaamaan sen valtion lakien asettamia vaatimuksia, jonka alueella palvelimet sijaitsevat.
Joten tutkimme, mitä lainsäätäjä esitteliliittovaltion lakiin nro 152 tehtyjen muutosten julkaisemisen kautta lain 242-FZ kautta. On myös hyödyllistä pohtia, mitä seuraamuksia tietojen ylläpitäjille voidaan kohdistaa, jos ne rikkovat asianomaisen oikeuslähteen säännöksiä.
Ensinnäkin yritykselle, joka on velvollinen täyttämäänlain nro 242 edellyttämällä tavalla voidaan määrätä hallinnollinen sakko. Sen arvo on 500-1000 ruplaa virkamiehille sekä 10 kertaa suurempia määriä oikeushenkilöille. Tämä sakko vahvistetaan 1999/2004 11 artiklan 2 kohdassa. Venäjän federaation hallintolain 13.11.
Toiseksi tällaista seuraamusta voidaan soveltaa,tietojen ylläpitäjän merkitsemisenä rikkojien rekisteriin. Se on automatisoitu tietokanta, joka sisältää verkkotunnuksia ja sivuosoitteita sivustoista, joilla henkilötietoja käsitellään rikkomuksella. Huomioi, että toiminnanharjoittajan merkitseminen asianomaiseen rekisteriin tapahtuu tuomioistuimen päätöksen perusteella. Poikkeuksena on sen lakkauttaminen tai se, että yhtiö on poistanut kyseessä olevat lainrikkomukset.
Kolmanneksi pääsyä sivustolle voidaan rajoittaa,joka toteuttaa henkilötietojen virheellistä käsittelyä. Tämä menettely suoritetaan sen jälkeen, kun henkilötietojen kohde on lähettänyt Roskomnadzorille lausunnon tarpeesta ryhtyä toimenpiteisiin vastaavan resurssin estämiseksi.
Lisäksi tämän asiakirjan on oltava myöstäydennetty laillisesti voimaan tulleella säädöksellä. Sen jälkeen Roskomnadzor lähettää isännöintipalveluntarjoajalle tiedot lain nro 242 sivuston omistajan rikkomuksista, jotka estävät sivuston, jos resurssin omistaja ei poista rikkomusta.
Menettely seuraamusten soveltamiseksi rikkomuksiinkäsiteltävänä olevan säädöksen säännökset riippuvat pitkälti lainvalvontakäytännöstä. Henkilötietojen toimijoiden on järkevää tutkia niitä säännöllisesti, samoin kuin esimerkiksi erilaisia analyyttisiä tutkimuksia lain nro 242-FZ säännöksistä, asianajajien kommentteja siihen. Liittovaltion lain nro 152 normien noudattaminen, ottaen huomioon sen nykyiset muutokset, on tärkein edellytys asianomaisten tietopalvelujen moitteettomalle toiminnalle.
