ФЗ 242 о заштити личних података. Савезни закон 242 (Федерални закон о личним подацима): измене и коментари

У Русији постоји посебан закон којим се од различитих организација и појединаца захтева обављање трансакција са личним подацима - савезни закон бр. 152. Законодавац периодично мења одговарајући правни акт. Конкретно, 1. септембра 2015. године ступиле су на снагу норме Федералног закона бр. 242, након чега је објављен низ фундаментално нових норми у Федералном закону бр. 152. Шта су они? Ко је дужан да се придржава релевантних одредаба закона?

Који је Савезни закон о личним подацима?

Посебну пажњу мора посветити овој основној тачки: Закон бр. 242-ФЗ, који је ступио на снагу 1. септембра 2015. године, представља нормативни акт који је изменио још један основни извор права - Савезни закон бр. 152 усвојен у јулу 2006. године. Према томе, текст из Закона бр. 242 треба разматрати искључиво у контексту оних норми садржаних у Федералном закону бр. 152.

Основни правни акт - Савезни закон бр. 152, утврђен у законодавству Руске Федерације, такве правне категорије као што су:

- лични подаци;

- оператор релевантних информација;

- обрада личних података.

Према првој правној категорији, законодавац прописује да разуме сваку информацију која се директно или индиректно односи на појединца. То може бити, на пример, његово пуно име, лични подаци, контакт информације.

Друга правна категорија у закону се схвата као државна или општинска власт, организација или појединац који самостално или у току интеракције са другим субјектима обавља поступак обраде података, као и да одреди њихов састав и рад са њима.

У трећој правној категорији, законодавац прописује да разуме било коју операцију или њихову секвенцу која је релевантна за личне податке и да се примењују помоћу аутоматских алата или без њих.

Основне операције са личним подацима, дефинисане Законом бр. 152: сакупљање, евидентирање, чување, корекција, коришћење, пренос, блокирање, брисање. Ове правне категорије, у принципу, у тренутку усвајања, могле би се сматрати сасвим новим за правни систем Руске Федерације. Прије тога, промет личних података регулисан је руским законодавством прилично површно.

Новост Федералног закона бр. 152

Закон о личним подацима усвојен у Руској Федерацији је стога био осмишљен како би се домаћи правни систем приближио свјетским стандардима за осигурање повјерљивости размјене информација - прије свега, презентован у електронској форми и кориштен у оквиру онлине комуникација. Међутим, федерални закон бр. 152 једнако је створио правно окружење како би се осигурала заштита различитих офф-лине података.

У складу са овим регулаторним актом идентификоване су неколико класа личних података који захтевају употребу одређених алгоритама заштите. Поред тога, Савезни закон бр. 152 успоставио је норме према којима би се промет различитих података могао обавити у специјализованим информационим системима - онима који су захтевали нарочито високу квалификацију администратора, као и добијање дозвола за обављање послова са личним подацима.

Упркос чињеници да је Закон бр. 152 издан 2006. године, у пракси су његове главне одредбе за оператере личних података постале обавезне тек од 1. јула 2011. године. Од тог тренутка, различите корекције су направљене периодично до одговарајућег извора закона, као што смо већ поменули. Конкретно, оне које су одобриле савезне власти путем Закона 242-ФЗ. Да размотримо његове карактеристике детаљније.

Карактеристике примјене правног акта

Федерални закон 242-ФЗ "О личним подацима" (конкретније, "О измјенама и допунама закона који се односе на обраду података") утврдио је одредбу према којој су оператери били обавезни да обрадују и чувају информације само на серверима који се налазе на територији Русије . Или ако је он-лине лични подаци - ставите их у базе података у РФ. Имајте на уму да у закону 242-ФЗ постоји изузетак од овог правила - које се, заузврат, одражавају на одредбе Федералног закона бр. 152.

Друга нијанса закона је то што је преко свог законодавца направила промјене не само главног правног акта који регулише рад са личним подацима, већ и другим изворима. Наиме, закони 149 "о информацијама", као и 249 ("О заштити правних лица и ИП-а под државном и општинском контролом").

Руски медији су активно преписали информације да ће Роскомнадзор, агенција одговорна за осигурање усклађености оператора података са одредбама ФЗ-242 "О заштити личних података" 2016. године, вршити инспекције највећих добављача ИТ решења која послују у Руској Федерацији. Конкретно, речено је да је сврха Роскомнадзора да сазна да ли захтеви закона који су у питању испуњавају такви брендови као што су Мицрософт, Вконтакте, ХеадХунтер, ЛаМода. Претпостављено је да ће одељење обавити око хиљаду различитих чекова.

Покренути од стране федералних власти путем објављивања Федералног закона бр. 242-ФЗ, измјене личних података у основном закону могу унапријед утврдити потребу за великим оператерима да направе значајне хардверске и софтверске исправке. Али овај задатак треба решити од стране брендова, у супротном, ако инфраструктура која их користе не испуњава услове из закона у питању, Роскомнадзор може наложити новчану казну за компанију.

Значајну улогу у ревизији би требало да имају корисници различитих ИТ решења. Ако почну да сумњају да њихови подаци нису потпуно сигурни, онда информације о услугама које су укључене у трансакције са релевантним подацима могу корисници пренијети директно на Роскомнадзор. Што ће, заузврат, морати покренути провјеру услуга у складу са одредбама закона 242-ФЗ.

Било би корисно размотрити који је обухват извора закона који се разматра.

Закон бр. 242: обим извора закона

Главна тачка дискусије у овом случају је да ли надлежност ФЗ-242 "О заштити личних података" обухвата иностране фирме које, с једне стране, пружају услуге руским корисницима, са друге стране, налазе се изван Руске Федерације са правног становишта, тако да А у смислу инфраструктуре.

Одвојене одредбе у закону о којима је реч, што би јединствено одредило географију свог рада, законодавац није одобрио. Стога, како би се одговорио на питање које се разматра, неопходно је примијенити и на друга правна акта.

Према томе, у складу са законом о информацијама на снази у Руској Федерацији, коришћење различитих врста комуникационе инфраструктуре на територији Русије треба да узме у обзир норме одобрене у законодавству Руске Федерације. Дакле, ако пратите ово правило, можете закључити да се федералним законом бр. 242-ФЗ односи само на оне услуге које јединствено користе инфраструктуру која се налази у Русији.

Дефиниција оператора личних података у Русији

Најважнији критеријум за утврђивање надлежности извора закона који се разматра је фокус активности марке који поседује једну или другу услугу. Ако се сајт углавном служи руским корисницима, онда га треба сматрати предметом регулације у смислу примене одредаба закона бр. 242. Чињеница да је услуга усмерена на прибављање личних података руских држављана може се установити на основу тога што:

- у адресној структури сајта домена .ру, .су, .рф или, на пример, Москва се користи;

- садржај сајта је на руском;

- странице портала имају прилику да ступе у правни однос са услугом користећи облике уговора састављених у складу са Грађанским кодексом Руске Федерације.

У пракси, оператери података који спадају у надлежност Федералног закона бр. 242, могу бити разне структуре - на примјер, кадровске услуге предузећа, банака, цалл центара. Сви они су обавезни да обезбеде усклађеност својих активности са захтевима закона о којима је реч.

Закон бр. 242 у смислу примјене његове ретроактивности

Закон бр. 242-ФЗ којим се мијења Закон о федералном закону бр. 152 издат је касније од актуелног Федералног закона бр. 152, као и претходних измјена, али је захтијевао даље тумачење одредаба главног правног акта. Конкретно, међу адвокатима се расправљало о томе да ли Закон број 242 треба сматрати ретроактивним.

Најпопуларнија је став да је за процјену правног учинка предметног правног акта неопходно примијенити опћа правна начела, према којима се накнадним укидањем тих закона који погоршавају положај одређених особа или успостављају додатне дужности за њих не треба користити .

Изузеци се могу донијети у погледу правних аката у којима је принцип ретроактивности фиксиран директно. Закон 242-ФЗ не садржи такве одредбе. Стога, само они учесници у правним односима који почињу да обрађују личне податке након што је релевантни правни акт ступио у правну снагу, морају се поштовати. То јест, од 1. септембра 2015. године.

Суштина прикупљања података

Још један дискутабилан тренутак који карактерише правни акт који се разматра јесте дефиниција појма "прикупљање података" на основу формулара који се налази у њему. Која је сложеност интерпретација у овом случају? Чињеница је да су у складу са одредбама Федералног закона бр. 152, који су измењени објављивањем Федералног закона бр. 242-ФЗ, измјене личних података, оператори су обавезни да обезбеде локализацију досијеа у процесу прикупљања релевантних информација. С друге стране, суштина ове процедуре није јасно дефинисана у закону, што, наравно, не доприноси ефикасној примјени својих одредби у низу контекста.

У стручном окружењу, становиште је широко распрострањено да је под "колекцијом" легитимно разумети процес у којем оператор података добија директно од неког ентитета или овлашћених трећих лица. Испоставило се да је локализован у складу са правилима Федералног закона 242 само лични подаци које је оператер прибавио у чињеници да је обавио сврсисходан рад на прикупљању релевантних података. А ако је, на пример, оператер примио случајно - као опцију, у облику слова е-маилу, онда није потребно локализовати, како је прописано законом 242-ФЗ. Слично томе, погрешно је посматрати као процес прикупљања података њихову потврду од стране једне фирме од друге, ако представљају телефоне и друге контакт податке о представницима компанија.

Пласирање података у иностранству према Закону бр. 242

Следећи најважнији нијанс који карактеришу праксу спровођења закона приликом примене одредаба закона бр. 242 је могућност стављања података од стране оператера у иностранству у неопходним случајевима, на примјер, ако се ради о подржавању релевантних информација о серверима изнајмљеним од страних добављача. С једне стране, према закону бр. 242-ФЗ, лични подаци треба ставити на сервере који се налазе на територији Русије. Са друге стране, наравно, може постојати објективна потреба за њиховим распоређивањем на иностране ресурсе.

Као што су адвокати рекли, могуће је пренијети прекогранични пренос података без кршења одредби регулаторног законодавства. На основу којих одредби законодавства, ова позиција може се сматрати легитимном?

Када је прекогранични пренос легалан

Чињеница је да закон о локализацији личних података 242-ФЗ не садржи одредбе о прилагођавању правних аката којима се уређује прекогранични пренос досијеа који садрже индивидуалне информације о држављанима Руске Федерације и другим субјектима који су под заштитом закона бр. 152-ФЗ. Стога је овај поступак легалан, као и до тренутка када су усвојене измјене и допуне закона који се разматрају.

Али још једном обраћамо пажњу - пренос прекограничних података може се извршити само у сврху чувања одговарајућих датотека. Њихови оригинали, према томе, нужно морају бити постављени на серверима у Руској Федерацији. Истовремено, сам оператор података је одговоран за неовлаштено кориштење датотека на страним серверима од стране тих или других особа. Поред тога, вероватно ће ускладити своје информационе системе са захтевима утврђеним законским прописима државе на чијој територији се налазе сервери.

Санкције за кршење закона бр. 242

Дакле, студирали смо оно што је законодавац уведен издавањем закона 242-ФЗ о амандману на Закон бр. 152. Такође ће бити корисно размотрити који су оператери санкција могли да нађу и који су прекршили одредбе релевантног извора закона.

Прво, може се изрећи административна казна за предузеће које мора испунити услове закона бр. 242. Њена вредност је 500-1000 рубаља за званичнике, као и 10 пута већи износи - за правна лица. Ова казна је уметност. 13.11. Административног кодекса Руске Федерације.

Друго, таква санкција се може примијенити, као што је унос оператора података у регистар кршитеља. То је аутоматизована база података која укључује имена домена и адресе страница страница на којима се лични подаци обрађују кршењем. Имајте на уму да се укључивање оператора у одговарајући регистар врши на основу судске одлуке. Изузетак је након отказа или након што компанија елиминише повреде закона у питању.

Треће, приступ на локацију на којој се остварује неправилна обрада личних података може бити ограничена. Овај поступак се обавља након што субјект личних података упути Роскомнадзору пријаву о потреби предузимања мјера за блокирање одговарајућег ресурса.

Поред тога, овај документ треба допунити судским актом, који је ступио на снагу. Након тога, Роскомнадзор шаље информације о прекршајима од стране власника сајта Закона бр. 242 даваоцу хостинга, а ако власник ресурса не елиминише прекршај, локација блокира.

Поступак за изрицање санкција за прекршиоце одредаба предметног правног акта у великој мјери зависи од праксе спровођења закона. За оператере личних података има смисла редовно проучавати, као и, на пример, разне аналитичке студије о одредбама закона бр. 242-ФЗ, коментарима адвоката. Извођење норми Савезног закона бр. 152, узимајући у обзир актуелне измјене и допуне, најважнији је услов за правилно функционисање релевантних информативних служби.