U Rusiji postoji zaseban zakon,prema kojem razne organizacije i pojedinci moraju obavljati operacije s osobnim podacima - Savezni zakon br. 152. Zakonodavac povremeno unosi promjene u odgovarajući pravni akt. Konkretno, 1. rujna 2015. godine na snagu su stupile odredbe Saveznog zakona br. 242, nakon čije se objave u Saveznom zakonu br. 152 pojavile brojne temeljno nove norme. Što su oni? Tko je dužan poštivati relevantne zakonske odredbe?
Tome treba posvetiti posebnu pažnjutemeljna stvar: Zakon 242-FZ, koji je stupio na snagu 1. rujna 2015., normativni je akt kojim je izmijenjen još jedan temeljni izvor zakona - FZ br. 152, usvojen u srpnju 2006. Stoga bi formulaciju sadržanu u Zakonu br. 242 trebalo razmatrati isključivo u kontekstu onih normi sadržanih u Saveznom zakonu br. 152.
Temeljni pravni akt - FZ № 152, uspostavljen u zakonodavstvu Ruske Federacije pravnim kategorijama kao što su:
- osobni podaci;
- operator relevantnih informacija;
- obrada osobnih podataka.
Pod prvom pravnom kategorijom zakonodavacpropisuje razumijevanje svih podataka koji se izravno ili neizravno odnose na pojedinca. To mogu biti, na primjer, njegovo puno ime, osobni podaci, podaci za kontakt.
Pod drugom pravnom kategorijom u zakonuPodrazumijeva državno ili općinsko tijelo, organizaciju ili pojedinca koji, neovisno ili u interakciji s drugim subjektima, provodi postupak obrade podataka, a također određuje njihov sastav i rad s njima.
Pod trećom pravnom kategorijom zakonodavacpropisuje razumijevanje bilo koje radnje ili njihovog slijeda koji se odnose na osobne podatke i provode se pomoću alata za automatizaciju ili bez njih.
Osnovne operacije s osobnim podacima,definirano zakonom br. 152: prikupljanje, snimanje, pohrana, ispravak, upotreba, prijenos, blokiranje, brisanje. Te bi se pravne kategorije, u načelu, u vrijeme njihovog usvajanja mogle smatrati sasvim novim za pravni sustav Ruske Federacije. Prije toga, promet osobnih podataka ruski je zakon regulirao prilično površno.
Zakon o osobnim podacima usvojen u Ruskoj Federaciji bio ježeli, dakle, približiti domaći pravni sustav svjetskim standardima za osiguravanje povjerljivosti razmjene informacija - prije svega predstavljenih u elektroničkom obliku i korištenih u okviru mrežnih komunikacija. No, savezni zakon br. 152 jednako je stvorio pravno okruženje koje također osigurava zaštitu različitih izvanmrežnih podataka.
U skladu s ovim regulatornim pravnim aktomidentificirano je nekoliko klasa osobnih podataka, što je zahtijevalo upotrebu određenih algoritama zaštite. Uz to, Savezni zakon br. 152 uspostavio je norme prema kojima se cirkulacija različitih podataka može provoditi u specijaliziranim informacijskim sustavima - onima koji zahtijevaju posebno visoku stručnost administratora, kao i dobivanje licenci za obavljanje poslova s osobnim podacima .
Unatoč činjenici da je Savezni zakon br. 152 objavljen 2006. godinegodine, u praksi su njegove glavne odredbe za operatore osobnih podataka postale obvezne primjenjivati se tek od 1. srpnja 2011. Od tog su trenutka povremeno izvršene razne prilagodbe odgovarajućeg izvora prava, kao što smo gore napomenuli. Konkretno, one koje su savezne vlasti odobrile Zakonom 242-FZ. Razmotrimo njegove značajke detaljnije.
Savezni zakon 242-FZ "O osobnim podacima"(točnije, "O izmjenama i dopunama zakona koji se odnose na specificiranje obrade podataka") utvrđena je odredba prema kojoj su operateri bili obvezni obrađivati i pohranjivati podatke samo na poslužiteljima koji se nalaze na teritoriju Rusije. Ili ako su izvanmrežni osobni podaci, smjestite ih u baze podataka smještene u Ruskoj Federaciji. Imajte na umu da Zakon 242-FZ sadrži brojne iznimke od ove odredbe - koje se, pak, odražavaju u odredbama ZZ-a br. 152.
Druga nijansa u primjeni zakona ječinjenica da je kroz njega zakonodavac također izmijenio ne samo glavni pravni akt koji regulira poslovanje s osobnim podacima, već i druge izvore. Naime, zakoni 149 "O informacijama", kao i 249 ("O zaštiti pravnih osoba i pojedinačnih poduzetnika pod državnom i općinskom kontrolom").
Ruski su mediji aktivno kružiliinformacija da će Roskomnadzor, agencija odgovorna za osiguravanje usklađenosti aktivnosti operatora podataka s odredbama FZ-242 "O zaštiti osobnih podataka", u 2016. godini provoditi inspekcije najvećih dobavljača IT rješenja koji posluju u Ruskoj Federaciji. Konkretno, rečeno je da je svrha Roskomnadzora otkriti udovoljavaju li takve marke kao što su Microsoft, Vkontakte, HeadHunter i LaModa zahtjevima zakona koji se razmatra. Pretpostavljalo se da će odjel provesti oko 1.000 različitih provjera.
Inicirane od strane saveznih vlasti krozizdanja FZ br. 242-FZ, promjene osobnih podataka u glavnom zakonu mogle bi predodrediti potrebu velikih operatora za značajnim ažuriranjem hardvera i softvera. Ali ovaj zadatak moraju riješiti robne marke, u suprotnom, ako infrastruktura koju koriste ne udovoljava zahtjevima zakona koji se razmatra, Roskomnadzor može tvrtki izreći novčanu kaznu.
Značajna uloga u revizijama poputtrebali bi se igrati korisnici raznih IT rješenja. Ako počnu sumnjati da njihovi podaci nisu u potpunosti zaštićeni, tada informacije o usluzi koja se koristi u operacijama s odgovarajućim podacima korisnici mogu prenijeti izravno u Roskomnadzor. Što će, pak, morati pokrenuti provjeru usluge u skladu s normama zakona 242-FZ.
Bilo bi korisno razmotriti koji je opseg predmetnog izvora prava.
Glavna točka rasprave u ovom slučaju jeproširuje li se nadležnost FZ-242 "O zaštiti osobnih podataka" na strane tvrtke koje, s jedne strane, pružaju usluge ruskim korisnicima, s druge strane, nalaze se izvan Ruske Federacije, obje s pravnog gledišta i u pogledu uključene infrastrukture.
Određene odredbe zakona koji se razmatra,koji bi nedvosmisleno odredio zemljopis njenog djelovanja, zakonodavac nije odobrio. Stoga se, kako bismo pronašli odgovor na pitanje koje se razmatra, potrebno pozvati na druge pravne akte.
Dakle, u skladu sa zakonom o informacijama,koji djeluju u Ruskoj Federaciji, korištenje različitih vrsta komunikacijske infrastrukture na teritoriju Rusije trebalo bi provoditi uzimajući u obzir norme odobrene u zakonodavstvu Ruske Federacije. Dakle, ako se slijedi ovo pravilo, možemo doći do zaključka da se Savezni zakon br. 242-FZ i dalje odnosi samo na one službe koje nedvosmisleno koriste infrastrukturu koja se nalazi u Rusiji.
Najvažniji kriterij za određivanje nadležnostiizvor zakona koji se razmatra - smjer robne marke koja posjeduje određenu uslugu. Ako određena web lokacija prvenstveno služi ruskim korisnicima, onda bi je se trebalo smatrati objektom regulacije u smislu primjene normi zakona br. 242. Činjenica da je usluga usmjerena na dobivanje osobnih podataka građana Ruske Federacije može biti utemeljeni na osnovi da:
- u strukturi adrese web mjesta koristi se domena .ru, .su, .rf ili, na primjer ,. moskva;
- sadržaj web stranice izrađen je na ruskom jeziku;
- na stranicama portala postoji prilika za stupanje u pravne odnose sa službom pomoću obrazaca ugovora sastavljenih u skladu s Građanskim zakonikom Ruske Federacije.
U praksi operateri podataka koji padajupod jurisdikcijom Saveznog zakona br. 242, mogu postojati razne strukture - na primjer, kadrovske službe poduzeća, banaka, call centara. Svi su oni dužni osigurati da njihove aktivnosti budu u skladu sa zahtjevima dotičnog zakona.
Zakon br. 242-FZ o izmjenama i dopunama FZ br. 152objavljen je kasnije nego što se pojavio stvarni Savezni zakon br. 152, kao i prethodne izmjene i dopune, međutim, izazvao je potrebu za dodatnim tumačenjem odredbi glavnog pravnog akta. Konkretno, među pravnicima se raspravljalo o tome treba li smatrati da Zakon br. 242 ima retroaktivni učinak.
Najpopularnije gledište je tou skladu s kojim bi se, u odnosu na ocjenu pravnog učinka predmetnog pravnog akta, trebala primjenjivati opća pravna načela prema kojima bi se odobravanje onih zakona koji pogoršavaju položaj određenih osoba ili im se uspostavljaju dodatne obveze ne primjenjuju se.
Iznimke se mogu pravitidjela u kojima je izravno utvrđeno načelo retroaktivnog učinka. Zakon 242-FZ ne sadrži takve odredbe. Stoga su samo one stranke u pravnim odnosima koje počinju obrađivati osobne podatke nakon stupanja na snagu relevantnog pravnog akta u skladu s njima. Odnosno od 1. rujna 2015.
Još jedna kontroverzna točka koja karakterizirapredmetni pravni akt je definicija pojma "prikupljanja podataka" na temelju riječi koja je u njemu sadržana. Koja je složenost tumačenja u ovom slučaju? Činjenica je da su u skladu s odredbama Saveznog zakona br. 152, koje su izmijenjene i dopune objavljivanjem izmjena osobnih podataka Saveznog zakona br. 242-FZ, operateri dužni osigurati lokalizaciju datoteka u procesu prikupljanja relevantna informacija. Zauzvrat, suština ovog postupka nije jednoznačno definirana u zakonu, što, naravno, ne pridonosi učinkovitoj provedbi njegovih odredbi u nizu konteksta.
Među stručnjacima je rašireno stajalište koješto je pod „prikupljanjem“ legitimno razumjeti postupak u kojem ih operator podataka prima izravno od nekog subjekta ili ovlaštenih trećih strana. Ispada da bi samo oni osobni podaci koje je operator pribavio nakon što je izvršio ciljani posao na prikupljanju relevantnih podataka trebali biti lokalizirani u skladu s pravilima Saveznog zakona 242. A ako ih je, na primjer, operator dobio slučajno - kao opciju, u obliku e-pošte, tada nije potrebno lokalizirati osobne podatke, kako je propisano zakonom 242-FZ. Slično tome, neprimjereno je smatrati postupkom prikupljanja podataka njihovo primanje od jedne tvrtke od druge ako predstavljaju telefonske brojeve i druge kontakt podatke predstavnika tvrtke.
Sljedeća najvažnija nijansa koja karakterizirapraksa provođenja zakona u provedbi odredbi zakona br. 242 - mogućnost smještaja podataka od strane operatora u inozemstvu ako je potrebno - na primjer, kada je u pitanju izrada sigurnosne kopije relevantnih podataka na poslužiteljima iznajmljenim od stranih dobavljača. S jedne strane, prema Zakonu br. 242-FZ, osobni podaci moraju se nalaziti na poslužiteljima smještenim u Rusiji. S druge strane, naravno, može postojati objektivna potreba za njihovim smještanjem također na strane izvore.
Kao što su primijetili odvjetnici, prekogranični transferpodaci bez kršenja odredbi mjerodavnog zakona u načelu su mogući. Na temelju kojih se zakonskih odredbi ovaj položaj može smatrati legitimnim?
Činjenica je da je zakon o lokalizaciji osobnihpodataka 242-FZ ne uključuje odredbe o izmjenama i dopunama pravnih akata koji reguliraju prekogranični prijenos datoteka koje sadrže individualizirane podatke o građanima Ruske Federacije i drugim subjektima koji potpadaju pod zaštitu Zakona br. 152-FZ. Stoga je ovaj postupak legalan, kao i prije trenutka usvajanja razmatranih izmjena zakona.
No, obratimo pozornost još jednom - prekograničnoprijenos podataka može se izvršiti samo u svrhu sigurnosne kopije odgovarajućih datoteka. Stoga se njihovi izvornici moraju postavljati na poslužitelje u Ruskoj Federaciji. U tom je slučaju operator podataka sam odgovoran za neovlašteno korištenje datoteka na stranim poslužiteljima od strane određenih osoba. Uz to, vjerojatno će morati svoje informacijske sustave uskladiti sa zahtjevima utvrđenim pravilima zakona države na čijem se teritoriju poslužitelji nalaze.
Dakle, proučavali smo što je zakonodavac predstavioizdavanjem Zakona 242-FZ, izmjena i dopuna Federalnog zakona br. 152. Također će biti korisno razmotriti s kojim sankcijama se operateri podataka mogu suočiti ako krše odredbe relevantnog izvora zakona.
Prvo, za tvrtku koja je dužna ispunitiu skladu sa zakonom br. 242, može se izreći administrativna novčana kazna. Njegova vrijednost iznosi 500-1000 rubalja za službenike, kao i 10 puta veći iznos za pravne osobe. Ova novčana kazna utvrđena je čl. 13.11 Upravnog zakona Ruske Federacije.
Drugo, takva se sankcija može primijeniti,kao upis operatora podataka u registar prekršitelja. Riječ je o automatiziranoj bazi podataka koja uključuje nazive domena i adrese stranica na kojima se osobni podaci obrađuju s kršenjem. Imajte na umu da se uključivanje operatera u odgovarajući registar provodi na temelju sudske odluke. Izuzetak je nakon njegovog otkazivanja ili činjenice da je tvrtka otklonila kršenja predmetnog zakona.
Treće, pristup web mjestu može biti ograničen,koji provodi netočnu obradu osobnih podataka. Ovaj se postupak provodi nakon što subjekt osobnih podataka pošalje izjavu Roskomnadzoru o potrebi poduzimanja mjera za blokiranje odgovarajućeg resursa.
Osim toga, ovaj dokument također mora bitidopunjen sudskim aktom, koji je stupio na pravnu snagu. Nakon toga, Roskomnadzor šalje informacije o kršenjima zakona br. 242 od strane vlasnika web lokacije davatelju usluga hostinga i koji, ako vlasnik resursa ne ukloni kršenje, blokira web mjesto.
Postupak primjene sankcija na prekršiteljeodredbe pravnog akta koji se razmatra uvelike ovise o praksi provođenja zakona. Ima smisla da ih operateri osobnih podataka redovito proučavaju, kao i, na primjer, razne analitičke studije odredbi Zakona br. 242-FZ, komentari pravnika na njih. Usklađenost s normama Saveznog zakona br. 152, uzimajući u obzir trenutne izmjene i dopune istog, najvažniji je uvjet za ispravno funkcioniranje relevantnih informacijskih službi.
