С 01.09.2015 г. вступил в силу Федеральный закон от 21.07.2014 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

Операторов персональных данных он касается в следующем случае: при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», необходимо обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

В случае невыполнения требований 242-ФЗ до 1 сентября 2015 года предусмотрено три вида санкций, которые могут применяться вне зависимости друг от друга как за нарушение правила о размещении баз данных на территории Российской Федерации, так и за другие нарушения (предусмотренные Кодексом об административных правонарушениях, Уголовным кодексом и Трудовым кодексом Российской Федерации, а также законопроектом № 683952-6 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который будет рассмотрен в Государственной Думе 24 февраля 2015) при работе с персональными данными:

  • Административный штраф.Невыполнение требований 242-ФЗ приводит к невыполнению требований федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее 152-ФЗ), а именно к нарушению установленного законом порядка сбора, хранения, использования или распространения персональных данных. Размер штрафа, установленный в случае вышеуказанного нарушения, для граждан составляет от 300 до 500 рублей, для должностных лиц – от 500 до 1 тысячи рублей, а для юридических лиц – от 5 до 10 тысяч рублей (ст. 13.11 Кодекса об административных правонарушениях Российской Федерации).
  • Включение Компании в реестр нарушителей. Это автоматизированная информационная система, в которую вносятся доменные имена и указатели страниц сайтов, содержащих информацию, обрабатываемую с нарушением законодательства Российской Федерации. Основанием для включения Компании в этот реестр является вступивший в законную силу акт суда. А основанием для исключения – отмена этого судебного акта или устранение допущенного нарушения в установленном законодательством Российской Федерации порядке (ст. 1 242-ФЗ, ст. 15.5 федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее 149-ФЗ)).
  • Ограничению доступа к сайту, на котором осуществляется обработка персональных данных (ст. 1 242-ФЗ, ст. 15.5 149-ФЗ). После обращения субъекта персональных данных в федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи (далее – Роскомнадзор) с заявлением о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации, и приложенным к нему вступившим в законную силу судебным актом, Роскомнадзор в течение трех рабочих дней уведомляет провайдера хостинга о нарушении, а тот, в свою очередь, в течение одного рабочего дня должен поставить в известность об этом владельца сайта. После получения такого уведомления владелец сайта в течение суток должен устранить выявленное нарушение (например, удалить незаконно размещенные персональные данные субъекта или подтвердить нахождение базы данных, содержащей персональные данные, на территории Российской Федерации). Если в течение указанного срока владельцем сайта не было принято мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации, то провайдер хостинга или Роскомнадзор ограничивают доступ к данной информации.

Но, стоит обратить внимание, что трансграничная передача персональных данных, с соблюдением всех требования 152-ФЗ и подзаконных актов, не запрещена. Поэтому каждый бизнес-процесс, попадающий под действие 242-ФЗ стоит детально анализировать и искать способ, который позволит соблюсти все требования данного закона с минимальными затратами для Заказчика.

Специалисты нашей компании проведут обследование бизнес-процессов и информационных систем, попавших под действие 242-ФЗ, составят подробный отчет о всех потоках данных в разрезе рассматриваемых процессов. После обследования наши специалисты разработают один или несколько вариантов приведения бизнес-процессов в соответствие требованиям 242-ФЗ. Когда будет принято решение об изменении бизнес-процессов, специалисты нашей компании будут сопровождать данный процесс на всех его этапах.

Если будет принято решение переносить часть инфраструктуры, непосредственно осуществляющей указанные выше действия с персональными данными граждан РФ, наши специалисты проконсультируют вас с выбором центра обработки данных, обеспечивающим все необходимые меры по защите персональных данных согласно законодательству РФ.