Rusijoje yra atskiras įstatymas,pagal kurią įvairios organizacijos ir asmenys turi atlikti operacijas su asmens duomenimis - federalinis įstatymas Nr. 152. Įstatymų leidėjas periodiškai keičia atitinkamą teisės aktą. Visų pirma, 2015 m. Rugsėjo 1 d. Įsigaliojo federalinio įstatymo Nr. 242 nuostatos, kurias paskelbus federaliniame įstatyme Nr. 152 buvo paskelbta nemažai iš esmės naujų normų. Kas jie tokie? Kas privalo laikytis atitinkamų teisinių nuostatų?
Tam reikėtų skirti ypatingą dėmesįesminis dalykas: įstatymas 242-FZ, įsigaliojęs 2015 m. rugsėjo 1 d., yra norminis aktas, pakeitęs kitą pagrindinį teisės šaltinį - FZ Nr. 152, priimtą 2006 m. liepos mėn. Taigi įstatymo Nr. 242 formuluotė turėtų būti nagrinėjama išimtinai tų normų kontekste, kurios yra federaliniame įstatyme Nr. 152.
Pagrindinis teisės aktas - ФЗ № 152, nustatytas Rusijos Federacijos teisės aktuose tokioms teisinėms kategorijoms kaip:
- Asmeninė informacija;
- atitinkamos informacijos operatorius;
- asmens duomenų tvarkymas.
Pagal pirmąją teisinę kategoriją įstatymų leidėjasnurodo suprasti bet kokią informaciją, tiesiogiai ar netiesiogiai susijusią su asmeniu. Tai gali būti, pavyzdžiui, jo vardas, pavardė, asmens duomenys, kontaktinė informacija.
Pagal antrąją teisinę įstatymų kategorijąreiškia valstybės ar savivaldybės instituciją, organizaciją ar asmenį, kurie savarankiškai arba bendraudami su kitais subjektais vykdo duomenų tvarkymo procedūrą, taip pat nustato jų sudėtį ir operacijas su jais.
Pagal trečią teisinę kategoriją - įstatymų leidėjasnurodo suprasti bet kokią operaciją ar jų seką, susijusią su asmens duomenimis ir atliekamomis naudojant automatikos priemones arba be jų.
Pagrindinės operacijos su asmens duomenimis,apibrėžta įstatymu Nr. 152: rinkimas, įrašymas, saugojimas, taisymas, naudojimas, perdavimas, blokavimas, ištrynimas. Šios teisinės kategorijos iš esmės jų priėmimo metu galėjo būti laikomos gana naujomis Rusijos Federacijos teisinėje sistemoje. Prieš tai Rusijos įstatymai gana paviršutiniškai reguliavo asmens duomenų mainus.
Rusijos Federacijoje priimtas asmens duomenų įstatymas buvotodėl siekiama priartinti šalies teisinę sistemą prie pasaulinių standartų, užtikrinančių keitimosi informacija konfidencialumą - visų pirma, pateikiamą elektronine forma ir naudojamą internetinių ryšių sistemoje. Tačiau federalinis įstatymas Nr. 152 taip pat sukūrė teisinę aplinką, užtikrinančią įvairių duomenų neprisijungus apsaugą.
Pagal šį norminį teisės aktąbuvo nustatytos kelios asmens duomenų klasės, kurioms reikėjo naudoti tam tikrus apsaugos algoritmus. Be to, federaliniame įstatyme Nr. 152 buvo nustatytos normos, pagal kurias įvairių duomenų apyvarta gali būti vykdoma specializuotose informacinėse sistemose - tose, kuriose reikalinga ypač aukšta administratorių kvalifikacija, taip pat gauti licencijas jiems atlikti operacijas su asmens duomenimis. .
Nepaisant to, kad federalinis įstatymas Nr. 152 buvo paskelbtas 2006 mmetus, praktiškai, pagrindines jo nuostatas asmens duomenų operatoriams tapo privaloma taikyti tik nuo 2011 m. liepos 1 d. Nuo to momento, kaip pažymėjome aukščiau, periodiškai buvo atliekamos įvairios atitinkamo teisės šaltinio korekcijos. Visų pirma tuos, kuriuos federalinės valdžios institucijos patvirtino įstatymu Nr. 242-FZ. Panagrinėkime jo ypatybes išsamiau.
Federalinis įstatymas 242-FZ „Dėl asmens duomenų“(tiksliau, „Dėl įstatymų, susijusių su duomenų tvarkymo nurodymu, pakeitimų“) įtvirtinta nuostata, pagal kurią operatoriai privalėjo tvarkyti ir saugoti informaciją tik serveriuose, esančiuose Rusijos teritorijoje. Arba, jei tai neprisijungę prie asmens duomenų, įdėkite juos į Rusijos Federacijos duomenų bazes. Atkreipkite dėmesį, kad Įstatyme 242-FZ yra keletas šios nuostatos išimčių, kurios savo ruožtu atsispindi FZ Nr. 152 nuostatose.
Kitas teisės taikymo niuansas yratai, kad per ją įstatymų leidėjas pakeitė ne tik pagrindinį teisės aktą, reglamentuojantį operacijas su asmens duomenimis, bet ir kitus šaltinius. Būtent įstatymai 149 „Dėl informacijos“, taip pat 249 („Dėl valstybės ir savivaldybių kontroliuojamų juridinių asmenų ir individualių verslininkų apsaugos“).
Rusijos žiniasklaida aktyviai sklidoinformaciją, kad „Roskomnadzor“, agentūra, atsakinga už duomenų operatorių veiklos atitikimą FZ-242 „Dėl asmens duomenų apsaugos“ nuostatoms, 2016 m. atliks didžiausių Rusijos Federacijoje veikiančių IT sprendimų tiekėjų patikrinimus. Visų pirma buvo pasakyta, kad „Roskomnadzor“ tikslas yra išsiaiškinti, ar tokie prekės ženklai kaip „Microsoft“, „Vkontakte“, „HeadHunter“, „LaModa“ atitinka aptariamo įstatymo reikalavimus. Buvo manoma, kad departamentas atliks apie 1000 skirtingų patikrinimų.
Pradėjo federalinės valdžios institucijos perpaskelbus FZ Nr. 242-FZ, asmens duomenų pakeitimai pagrindiniame įstatyme gali iš anksto nustatyti pagrindinių operatorių poreikį atlikti reikšmingą aparatinės ir programinės įrangos atnaujinimą. Bet šią užduotį turi išspręsti prekės ženklai, kitaip, jei jų naudojama infrastruktūra neatitinka nagrinėjamo įstatymo reikalavimų, „Roskomnadzor“ gali skirti įmonei baudą.
Svarbus vaidmuo atliekant tokius auditus kaipturėtų žaisti įvairių IT sprendimų vartotojai. Jei jie pradeda įtarti, kad jų duomenys nėra visiškai apsaugoti, vartotojai gali tiesiogiai perduoti informaciją apie paslaugą, naudojamą operacijose su atitinkamais duomenimis, tiesiogiai „Roskomnadzor“. O tai savo ruožtu turės inicijuoti paslaugos patikrą, ar laikomasi Įstatymo 242-FZ nuostatų.
Bus naudinga apsvarstyti, kokia yra nagrinėjamo teisės šaltinio apimtis.
Pagrindinis diskusijų taškas šiuo atveju yraar FZ-242 „Dėl asmens duomenų apsaugos“ jurisdikcija taikoma užsienio įmonėms, kurios, viena vertus, teikia paslaugas Rusijos vartotojams, ir, kita vertus, yra ne Rusijos Federacijoje, tiek teisiniu požiūriu? infrastruktūros požiūriu.
Tam tikros svarstomo įstatymo nuostatos,kuri vienareikšmiškai nulemtų jos veikimo geografiją, įstatymų leidėjas nepatvirtino. Todėl norint rasti atsakymą į nagrinėjamą klausimą, būtina remtis kitais teisės aktais.
Taigi, vadovaujantis informacijos įstatymu,dirbant Rusijos Federacijoje, įvairių tipų ryšių infrastruktūra Rusijos teritorijoje turėtų būti naudojama atsižvelgiant į Rusijos Federacijos teisės aktuose patvirtintas normas. Taigi, jei laikysitės šios taisyklės, galite padaryti išvadą, kad federalinis įstatymas Nr. 242-FZ vis tiek taikomas tik toms paslaugoms, kurios vienareikšmiškai naudojasi Rusijoje esančia infrastruktūra.
Svarbiausias jurisdikcijos nustatymo kriterijussvarstomas teisės šaltinis - prekės ženklo, kuriam priklauso konkreti paslauga, kryptis. Jei tam tikra svetainė pirmiausia aptarnauja Rusijos vartotojus, tai turėtų būti laikoma reguliavimo objektu, atsižvelgiant į įstatymo Nr. 242 normas. Tai, kad paslauga siekiama gauti Rusijos Federacijos piliečių asmens duomenis, gali remiantis tuo, kad:
- svetainės adreso struktūroje naudojamas domenas .ru, .su, .рф arba, pvz., Moscow.
- svetainės turinys sukurtas rusų kalba;
- portalo puslapiuose yra galimybė užmegzti teisinius santykius su tarnyba, naudojant sutarčių formas, sudarytas pagal Rusijos Federacijos civilinį kodeksą.
Praktiškai duomenų operatoriai, kurie patenkapagal Federalinio įstatymo Nr. 242 jurisdikciją gali būti įvairių struktūrų - pavyzdžiui, įmonių, bankų, skambučių centrų personalo paslaugos. Visi jie privalo užtikrinti, kad jų veikla atitiktų atitinkamo įstatymo reikalavimus.
242-FZ pakeitimo įstatymas Nr. 152buvo išleistas vėliau, nei pasirodė pats faktinis federalinis įstatymas Nr. 152, taip pat ankstesni jo pakeitimai, tačiau tai sukėlė būtinybę papildomai aiškinti pagrindinio teisės akto nuostatas. Visų pirma, tarp teisininkų vyko diskusija, ar Įstatymas Nr. 242 turėtų būti laikomas galiojančiu atgaline data.
Populiariausias požiūris yra taspagal kurį vertinant nagrinėjamo teisės akto teisinę galią turėtų būti taikomi bendrieji teisės principai, pagal kuriuos tų įstatymų, kurie blogina tam tikrų asmenų padėtį arba nustato jiems papildomas pareigas, suteikimas netaikomas.
Galima daryti išimtis teisiniamsaktai, kuriuose tiesiogiai nustatomas atgalinio veikimo principas. Įstatyme 242-FZ tokių nuostatų nėra. Todėl jų laikytis privalo tik tos teisinių santykių šalys, kurios asmens duomenis pradeda tvarkyti įsigaliojus atitinkamam teisės aktui. Tai yra, nuo 2015 m. Rugsėjo 1 d.
Kitas prieštaringai apibūdinamas punktasnagrinėjamas teisės aktas yra „duomenų rinkimo“ sąvokos apibrėžimas, pagrįstas jame esančia formuluote. Koks aiškinimo sudėtingumas šiuo atveju? Faktas yra tas, kad pagal federalinio įstatymo Nr. 152 nuostatas, kurios buvo pakeistos paskelbus federalinio įstatymo Nr. 242-ФЗ asmens duomenų pakeitimus, operatoriai privalo užtikrinti bylų lokalizavimą renkant duomenis. aktuali informacija. Savo ruožtu šios procedūros esmė nėra vienareikšmiškai apibrėžta įstatyme, o tai, žinoma, neprisideda prie veiksmingo jos nuostatų įgyvendinimo keliuose kontekstuose.
Tarp ekspertų yra plačiai paplitusi nuomonė, kadkurį „renkant“ yra teisėta suprasti procesą, kurio metu duomenų operatorius juos gauna tiesiogiai iš kokio nors subjekto ar įgaliotų trečiųjų šalių. Pasirodo, kad tik tie asmens duomenys, kuriuos operatorius įgijo po to, kai jis atliko tikslinį darbą, kad surinktų svarbius duomenis, turėtų būti lokalizuoti pagal Federalinio įstatymo 242 taisykles. Ir jei, pavyzdžiui, operatorius juos gavo netyčia - kaip pasirinkimą, el. Pašto pavidalu, tuomet nereikia lokalizuoti asmens duomenų, kaip numato įstatymas 242-FZ. Panašiai yra neteisėta laikyti duomenų rinkimo procesu jų gavimą iš vienos įmonės iš kitos, jei jie nurodo telefono numerius ir kitus įmonės atstovų kontaktinius duomenis.
Kitas svarbiausias niuansas, apibūdinantisteisėsaugos praktika įgyvendinant Įstatymo Nr. 242 nuostatas - galimybė prireikus patalpinti operatorių duomenis užsienyje - pavyzdžiui, kai reikia atsarginę atitinkamos informacijos kopiją iš užsienio tiekėjų nuomojamuose serveriuose. Viena vertus, pagal Įstatymą Nr. 242-FZ asmens duomenys turi būti dedami į serverius, esančius Rusijoje. Kita vertus, be abejo, gali būti objektyvus poreikis juos panaudoti ir užsienio šaltiniams.
Kaip pažymėjo teisininkai, tarpvalstybinis perdavimasduomenys nepažeidžiant galiojančio įstatymo nuostatų, iš esmės yra įmanomi. Pagal kokias teisines nuostatas ši pozicija gali būti laikoma teisėta?
Faktas yra tas, kad įstatymas dėl asmens lokalizavimo242-FZ duomenų nėra nuostatų dėl teisės aktų, reglamentuojančių tarpvalstybinį bylų, kuriose yra individualizuotos informacijos apie Rusijos Federacijos piliečius ir kitus subjektus, kuriems taikoma Įstatymo Nr. 152-FZ apsauga, pakeitimus. Todėl ši procedūra yra teisėta, kaip ir iki to momento, kai buvo priimti svarstomi įstatymo pakeitimai.
Bet dar kartą atkreipkime dėmesį - tarpvalstybinisduomenų perdavimas gali būti atliekamas tik tam, kad būtų sukurtos atitinkamų failų atsarginės kopijos. Taigi jų originalai turi būti dedami į serverius Rusijos Federacijoje. Šiuo atveju duomenų operatorius pats atsako už tam tikrų asmenų neteisėtą failų naudojimą užsienio serveriuose. Be to, jis tikriausiai turės suderinti savo informacines sistemas su valstybės, kurios teritorijoje yra serveriai, įstatymų nustatytais reikalavimais.
Taigi mes ištyrėme, ką įvedė įstatymų leidėjasišleisdamas įstatymą Nr. 242-FZ, federalinio įstatymo Nr. 152 pakeitimus. Taip pat bus naudinga apsvarstyti, kokių sankcijų gali imtis duomenų operatoriai, jei jie pažeidžia atitinkamo teisės šaltinio nuostatas.
Pirma, įmonei, kuri privalo įvykdytikaip reikalauja įstatymas Nr. 242, gali būti skiriama administracinė bauda. Jo vertė yra 500–1000 rublių pareigūnams, taip pat 10 kartų didesnė suma juridiniams asmenims. Šią baudą nustato str. Rusijos Federacijos administracinio kodekso 13.11 val.
Antra, tokia sankcija gali būti taikoma,kaip duomenų operatoriaus įtraukimą į pažeidėjų registrą. Tai automatizuota duomenų bazė, apimanti domenų pavadinimus ir svetainių, kuriose asmens duomenys tvarkomi pažeidžiant, puslapių adresus. Atkreipkite dėmesį, kad operatorius įtraukiamas į atitinkamą registrą remiantis teismo sprendimu. Išimtis yra po jos panaikinimo arba dėl to, kad bendrovė pašalino atitinkamų įstatymų pažeidimus.
Trečia, prieiga prie svetainės gali būti ribota,kuris įgyvendina neteisingą asmens duomenų tvarkymą. Ši procedūra atliekama po to, kai asmens duomenų subjektas išsiunčia „Roskomnadzor“ pareiškimą apie būtinybę imtis priemonių užblokuoti atitinkamą šaltinį.
Be to, šis dokumentas taip pat turi būtipapildytas teismo aktu, kuris įsigaliojo. Po to „Roskomnadzor“ siunčia informaciją apie įstatymo Nr. 242 svetainės savininko pažeidimus prieglobos paslaugų teikėjui ir kad, jei ištekliaus savininkas nepašalina pažeidimo, svetainę užblokuoja.
Sankcijų pažeidėjams taikymo tvarkanagrinėjamo teisės akto nuostatos labai priklauso nuo teisėsaugos praktikos. Asmens duomenų tvarkytojams yra prasmė juos reguliariai tirti, taip pat, pavyzdžiui, įvairius įstatymo Nr. 242-FZ nuostatų analitinius tyrimus, teisininkų komentarus. Federalinio įstatymo Nr. 152 normų laikymasis, atsižvelgiant į dabartinius jo pakeitimus, yra svarbiausia sąlyga, kad tinkamai veiktų atitinkamos informacinės tarnybos.
