RU    EN    
Последние статьи → Изменения в законодательстве → Что важно знать о требованиях нового закона «О персональных данных»?

Что важно знать о требованиях нового закона «О персональных данных»?

BRICS Consulting

Что важно знать о требованиях нового закона «О персональных данных»?

Просмотров: 2 252
30.07.2015 0 Comments

часто задаваемые вопросы о локализации персональных данных в России в 2015

Согласно изменениям в федеральный закон «О персональных данных», вступающим в силу 1 сентября 2015, компании, осуществляющие обработку персональных данных, должны обрабатывать персональные данные российских граждан с использованием баз данных, размещенных на территории России. Новые требования законодательства в первую очередь скажутся на деятельности IT компаний и их клиентов, использующих облачные сервисы для хранения информации.

Ниже мы ответим на самые частые вопросы по данной теме.

1. Что является персональными данными?

Персональными данными является любая информация о физическом лице, в том числе:

  1. Адрес электронной почты, содержащий в себе фамилию и/или название компании;
  2. Номер банковской карты, а также, в определенных случаях, код CVC;
  3. В некоторых случаях, номер мобильного телефона (так называемые «конфиденциальные персональные данные»)

Например:

Электронный адрес: ivan.ivanov@pochta.com – является персональными данными
Электронный адрес: ivan@pochta.com – не является персональными данными.

Необходимо отметить, что даже в случае, если информация, относящаяся к субъекту персональных данных, не позволяет идентифицировать физическое лицо, при определенных обстоятельствах такая информация может являться персональными данными.

В настоящий момент Роскомнадзор разрабатывает четкие критерии определения «персональные данные»1.

2. Какие компании попадают под действие новых требований закона?

  1. Компании, зарегистрированные в России;
  2. Иностранные компании, имеющие представительства и филиалы в России;
  3. Иностранные компании, деятельность которых направлена на территорию России и и/или включает в себя обработку персональных данных российских граждан.

Например:

Если гражданин России, работающий в российском представительстве иностранной компании, может просматривать и загружать информацию о себе на общий внутренний портал иностранной компании, и сервер, на котором обрабатывается и хранится данная информация, располагается за пределами России, то такая компания может быть признана нарушающей требования закона о локализации персональных данных на территории России.

3. Распространяются ли требования закона на «обезличенные» персональные данные?

Если компания передает зашифрованные персональные данные за рубеж, и при этом принимающий сервер ни при каких условиях не может осуществить дешифрацию полученных персональных данных, то такие действия компании не могут быть признаны нарушением требований закона о локализации персональных данных в России, поскольку в данном случае отсутствует факт передачи персональных данных за пределы России. Иными словами, за рубеж осуществляется передача не персональных данных, а зашифрованного кода.

4. Какие меры следует принять в связи с новыми требованиями?

Действия в части IT

  1. Провести IT-аудит:
    • Определить, где происходит сбор, обработка, и хранение персональной информации, и кто отвечает за эти процессы в компании;
    • Используя DLP-системы, определить, как организовано перемещение данных в компании;
    • Сравнить, какой объем информации находится на внутренних серверах компании, а какой — на серверах третьей стороны, поскольку часть данных может храниться у сторонней организации;
    • Проверить, насколько четко организована процедура резервного копирования и восстановления, и убедиться, что вам точно известно место хранения резервных копий;
    • Установить, какое программное обеспечение используется для сбора, обработки, и хранения персональных данных.
  2. Определить, какая информация, использующаяся в работе компании, попадает (или может попадать) под категорию персональных данных. Особенно это касается данных, задействованных в работе кадрового и расчетного отделов, отдела IT-безопасности, бухгалтерии, данных из CRM-систем и клиентских соглашений;
  3. Проанализировать IT-инфраструктуру компании с целью определить возможные «центры» обработки персональных данных за пределами России;
  4. Оценить риски;
  5. Основываясь на полученных результатах, разработать стратегию и план действий, а также определить размер бюджета для возможных преобразований.

Юридические действия

Для локализации персональных данных российских граждан на территории России, необходимо:

  1. Провести юридический аудит обрабатываемых компанией сведений о субъектах персональных данных для того, что бы определить, что из них относится к персональным данным в соответствии с применимым законодательством;
  2. Привести внутреннюю документацию компании в соответствие с новыми требованиями к процедуре обработки и хранения персональных данных, в частности:
    • политику о персональных данных компании или иной документ, оформляющий порядок обработки персональных данных;
    • согласия работников и иных субъектов персональных данных на обработку их персональных данных;
    • иные документы, регламентирующие процедуры обработки персональных данных в компании.
  3. Ознакомить сотрудников с новой версией документации по работе с персональными данными, и получить согласия работников на обработку и трансграничную передачу их персональных данных в соответствии с требованиями законодательства.
  4. Уведомить контролирующие органы о местонахождении баз данных, используемых для работы с персональными данными российских граждан.

5. Ответственность в случае нарушения закона

В случае нарушения закона для юридических лиц и сотрудников компании (например, генеральный директор или ответственный за работу с персональными данными) предусмотрен административный штраф в размере от 5 000 до 10 000 рублей. В случае, если в руководящий состав компании входят иностранные граждане, обратите, пожалуйста, внимание на то, что иностранным гражданам, которые привлекались к административной ответственности 2 или более раза в течение 3х лет (вне зависимости от оснований привлечения), может быть отказано во въезде на территорию России.

На данный момент Госдумой принят в первом чтении законопроект об увеличении размера штрафа до 500 000 рублей за нарушение законодательства о персональных данных и увеличении штрафа за незаконную обработку персональных данных до 300 000 рублей.

Изменения в Закон о персональных данных предусматривают также возможность Роскомнадзора ограничить доступ к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных с использованием сети Интернет. Процедура ограничения доступа длительная и многоступенчатая. Вместе с тем, поскольку закон не ограничивает возможность применения блокировки информации только для определенных категорий операторов персональных данных или ресурсов обработки персональных данных, с юридической точки зрения, существует возможность применить такую процедуру в том числе и ко внутренним системам хранения и обработки персональных данных работников компании (например, Intranet).

C уважением,

Антон Кабаков
Партнёр, Awara

Александр Ермаков
Партнёр, Awara IT Solutions

  1. http://pd.rkn.gov.ru/advisory-council/activity/subject1/newshtm

Изменения в условиях и порядке уплаты работодателями страховых взносов

25 Ноя 0
ruble

Роструд подтвердил незаконность установления и выплаты заработной платы в иностранной валюте

10 Фев 0

Украинский парламент принял закон об индустриальных парках

21 Июн 0

0 Comments

Оставьте Ваш комментарий

Ваш e-mail не будет опубликован. Обязательные для заполнения поля отмечены *

Добавить комментарий