FZ 242 over de bescherming van persoonsgegevens. Federale wet 242 (federale wet op persoonlijke gegevens): wijzigingen en opmerkingen

In Rusland is er een aparte wet, involgens welke verschillende organisaties en individuen transacties met persoonlijke gegevens moeten uitvoeren - federale wet nr. 152. De wetgever brengt periodiek wijzigingen aan in de betreffende rechtshandeling. In het bijzonder zijn op 1 september 2015 de normen van federale wet nr. 242 in werking getreden, na de publicatie waarvan een aantal fundamenteel nieuwe normen verschenen in federale wet nr. 152. Wat zijn ze? Wie is verplicht zich te houden aan de relevante bepalingen van de wet?

Wat is de federale wetgeving met persoonsgegevens?

Hier moet speciaal op worden gewezenhet belangrijkste punt: de wet van 242-FZ, die op 1 september 2015 in werking trad, is een normatieve handeling die een andere grondwetbron heeft gewijzigd - federale wet nr. 152, aangenomen in juli 2006. De formulering in wet nr. 242 moet dus uitsluitend in de context van die normen in federale wet nr. 152 worden beschouwd.

De fundamentele rechtshandeling - federale wet nr. 152, vastgelegd in de wetgeving van de Russische Federatie, juridische categorieën als:

- persoonlijke gegevens;

- de exploitant van de relevante informatie;

- verwerking van persoonsgegevens.

Onder de eerste juridische categorie, de wetgeverschrijft voor om alle informatie te begrijpen die direct of indirect naar een persoon verwijst. Het kan bijvoorbeeld zijn volledige naam, persoonlijke gegevens, contactgegevens zijn.

Onder de tweede juridische categorie in de wetHet verwijst naar een staat of gemeente, organisatie of persoon die zelfstandig of in samenwerking met andere actoren van de gegevensverwerking procedure uit te voeren, en het bepalen van de samenstelling en activiteiten met hen.

Onder de derde juridische categorie, de wetgeverschrijft voor om elke bewerking of hun volgorde te begrijpen die te maken heeft met persoonlijke gegevens en wordt uitgevoerd met behulp van automatiseringstools of zonder hen.

Basisbewerkingen met persoonlijke gegevens,gedefinieerd door wet nr. 152: verzameling, opname, opslag, aanpassing, gebruik, overdracht, blokkering, verwijdering. Deze juridische categorieën, in principe, op het moment van goedkeuring kunnen als vrij nieuw worden beschouwd voor het rechtssysteem van de Russische Federatie. Voordien werd de omzet aan persoonsgegevens door de Russische wetgeving nogal oppervlakkig gereguleerd.

Nieuwheid van de federale wet № 152

De wet op persoonsgegevens, aangenomen in de Russische Federatie, wasdus om het nationale rechtssysteem dichter bij de wereldnormen te brengen voor het waarborgen van de vertrouwelijkheid van informatie-uitwisseling - in de eerste plaats gepresenteerd in elektronische vorm en gebruikt in het kader van online communicatie. Maar federale wet nr. 152 creëerde ook een wettelijke omgeving om de bescherming van verschillende off-line gegevens te waarborgen.

In overeenstemming met deze normatieve rechtshandelingVerschillende klassen van persoonlijke gegevens werden geïdentificeerd die het gebruik van bepaalde beveiligingsalgoritmen vereisten. Bovendien stelde federale wet nr. 152 normen vast volgens welke de omzet van verschillende gegevens kon worden uitgevoerd in gespecialiseerde informatiesystemen - systemen die een bijzonder hoge kwalificatie van beheerders vereisten, evenals het verkrijgen van licenties voor het uitvoeren van operaties met persoonlijke gegevens.

Ondanks het feit dat federale wet nr. 152 in 2006 werd uitgegevenIn de praktijk werden de belangrijkste bepalingen voor exploitanten van persoonsgegevens voortaan alleen verplicht vanaf 1 juli 2011. Sindsdien zijn er periodiek verschillende correcties aangebracht in de juiste rechtsbron, zoals we hierboven hebben opgemerkt. In het bijzonder die welke werden goedgekeurd door de federale autoriteiten door middel van Wet 242-FZ. Laten we de functies ervan in meer detail bekijken.

Kenmerken van de toepassing van de wetgevingshandeling

Federale wet 242-FZ "Over persoonlijke gegevens"(meer bepaald: "Wijzigingen van de wetten met betrekking tot de specificatie van gegevensverwerking") heeft een bepaling opgesteld op grond waarvan exploitanten alleen informatie behoeven te verwerken en op te slaan op servers die zich op het grondgebied van Rusland bevinden. Of als het offline persoonlijke gegevens zijn - plaats ze in databases die zich in de RF bevinden. Merk op dat er in de wet 242-FZ een aantal uitzonderingen op deze regel zijn - die op hun beurt worden weerspiegeld in de bepalingen van federale wet nr. 152.

Een andere nuance van de toepassing van de wet isHet feit dat hij via zijn wetgever niet alleen wijzigingen heeft aangebracht in de belangrijkste wetgevingshandeling die transacties met persoonsgegevens regelt, maar ook in andere bronnen. Namelijk, wetten 149 "Over informatie", evenals 249 ("Over de bescherming van juridische entiteiten en IP's onder staatscontrole en gemeentelijke controle").

In de Russische media actief gerepliceerdInformatie die Roskomnadzor - instantie die verantwoordelijk is voor het waarborgen dat de activiteiten van deze operatoren met de bepalingen van de federale wet # 242 "Op de bescherming van persoonsgegevens" in 2016 inspecties van de grootste aanbieders van IT-oplossingen, welke activiteiten in de Russische Federatie uit te voeren zal uitvoeren. In het bijzonder werd gezegd dat het doel van Roskomnadzor - Zoek uit of bepalingen van de wet in merken als Microsoft, «Vkontakte», HeadHunter, LaModa. Er werd van uitgegaan dat het agentschap voert over 1000. Diverse controles.

Geïnitieerd door de federale overheid viaedities van de federale wet nr. 242-FZ, kunnen wijzigingen in de persoonsgegevens in de basiswet vooraf bepalen dat grote operatoren een aanzienlijke upgrade van hardware en software moeten uitvoeren. Maar deze taak moet door de merken worden opgelost, anders kan Roskomnadzor de onderneming boeten als de gebruikte infrastructuur niet voldoet aan de vereisten van de wet in kwestie.

Een belangrijke rol bij inspecties, zoalser wordt van uitgegaan dat gebruikers van verschillende IT-oplossingen zouden moeten spelen. Als ze gaan vermoeden dat hun gegevens niet volledig veilig zijn, kan informatie over de service die betrokken is bij bewerkingen met de relevante gegevens door gebruikers rechtstreeks naar Roskomnadzor worden overgebracht. Die op hun beurt een servicecontrole moet uitvoeren om te voldoen aan de bepalingen van wet 242-FZ.

Het is nuttig om na te gaan wat de reikwijdte van de onderzochte bron van wetgeving is.

Wet nr. 242: de reikwijdte van de rechtsbron

Het belangrijkste discussiepunt in dit geval -of het rechtsgebied FZ-242 "Bescherming van persoonsgegevens" van toepassing is op buitenlandse firma's die aan de ene kant diensten leveren aan Russische gebruikers, aan de andere kant buiten de Russische Federatie liggen, zowel juridisch als qua infrastructuur.

Afzonderlijke bepalingen in de desbetreffende wet,wat ondubbelzinnig de geografie van zijn werking zou bepalen, keurde de wetgever niet goed. Om het antwoord op de vraag in kwestie te vinden, is het daarom noodzakelijk om van toepassing te zijn op andere rechtshandelingen.

Dus, in overeenstemming met de wet op informatie,optredend in de Russische Federatie, moet het gebruik in Rusland van verschillende soorten communicatie-infrastructuur worden uitgevoerd rekening houdend met de normen die zijn goedgekeurd in de wetgeving van de Russische Federatie. Als u zich aan deze regel houdt, kunt u dus tot de conclusie komen dat Federale Wet nr. 242-FZ alleen hetzelfde geldt voor die diensten die op unieke wijze gebruikmaken van de infrastructuur die zich in Rusland bevindt.

De definitie van de exploitant van persoonsgegevens in Rusland

Het belangrijkste criterium voor het bepalen van de jurisdictiede overwogen bron van de wet - de focus van het merk dat een bepaalde dienst bezit. Als een bepaalde site voornamelijk Russische gebruikers bedient, dan moet het worden beschouwd als een object van regulering in termen van de toepassing van de bepalingen van wet nr. 242. Het feit dat de dienst is gericht op het verkrijgen van persoonlijke gegevens van Russische burgers kan worden vastgesteld op de basis dat:

- in de adresstructuur van de site wordt het domein .ru, .su, .ir of bijvoorbeeld moskou gebruikt;

- de inhoud van de site is in het Russisch;

- de pagina's van het portaal hebben de mogelijkheid om juridische betrekkingen aan te gaan met de dienst met behulp van de vormen van contracten die zijn opgesteld in overeenstemming met het Burgerlijk Wetboek van de Russische Federatie.

In de praktijk vallen data-operators die vallenonder de jurisdictie van federale wet nr. 242, kan er een verscheidenheid aan structuren zijn - bijvoorbeeld personeelsdiensten van bedrijven, banken, callcenters. Allen zijn verplicht om ervoor te zorgen dat hun activiteiten voldoen aan de eisen van de wet in kwestie.

Wet nr. 242 in termen van het toepassen van de retroactiviteit

Wet nr. 242-FZ inzake wijzigingen van federale wet nr. 152werd later uitgegeven dan de feitelijke FL 152 zelf, evenals eerdere wijzigingen erin, echter, vereiste de extra interpretatie van de bepalingen van de belangrijkste wetgevingshandeling. Met name onder advocaten was er een discussie over de vraag of wet nr. 242 als terugwerkende kracht moet worden beschouwd.

Het meest populaire gezichtspunt, involgens welke met betrekking tot de beoordeling van de rechtsgevolgen van de betrokken rechtshandeling de algemene rechtsbeginselen moeten worden toegepast, volgens welke de aanpassing van die wetten die de situatie van bepaalde personen verslechteren of aanvullende rechten voor hen vaststelt, niet wordt uitgeoefend.

Uitzonderingen kunnen zijnHandelingen waarbij het beginsel van terugwerkende kracht rechtstreeks wordt vastgesteld. De wet van 242-FZ bevat dergelijke bepalingen niet. Daarom hoeven alleen deelnemers aan juridische relaties die met het verwerken van persoonsgegevens beginnen nadat de betreffende wettelijke handeling rechtsgeldig is geworden, hieraan te voldoen. Dat wil zeggen, vanaf 1 september 2015.

De essentie van gegevensverzameling

Nog een discutabel moment dat kenmerkend isde in behandeling zijnde rechtshandeling is de definitie van het begrip "gegevensverzameling" op basis van de daarin aanwezige bewoordingen. Wat is de complexiteit van de interpretaties in dit geval? Feit is dat, in overeenstemming met de bepalingen van federale wet nr. 152, wijzigingen in persoonlijke gegevens zijn aangebracht door de afgifte van federale wet nr. 242-FZ, exploitanten moeten zorgen voor de lokalisatie van bestanden tijdens het verzamelen van de relevante informatie. Op zijn beurt is de essentie van deze procedure niet duidelijk omschreven in de wet, die uiteraard niet bijdraagt ​​tot de effectieve uitvoering van de bepalingen ervan in een aantal contexten.

In de expert-omgeving, het gezichtspunt opdie onder de "verzameling" terecht het proces begrijpt waarin de gegevensbeheerder ze rechtstreeks van een entiteit of geautoriseerde derde partijen ontvangt. Het blijkt dat gelokaliseerde in overeenstemming met de regels van de federale wet 242 alleen die persoonlijke gegevens moeten zijn die door de exploitant zijn verkregen in het feit dat hij een doelbewust werk heeft verricht om de relevante gegevens te verzamelen. En als de operator ze bijvoorbeeld per ongeluk heeft ontvangen - als een optie, in de vorm van een brief naar e-mail, dan is het niet nodig om te lokaliseren, zoals voorgeschreven door wet 242-FZ. Evenzo is het verkeerd om een ​​proces van gegevensverzameling als een proces van ontvangst door de ene onderneming van de andere te beschouwen, als het om telefoons en andere contactgegevens van bedrijfsvertegenwoordigers gaat.

Plaatsing van gegevens in het buitenland onder Wet No. 242

De volgende belangrijkste nuance die kenmerkend iswetshandhavingspraktijk bij de implementatie van de bepalingen van wet nr. 242 - de mogelijkheid om gegevens door exploitanten in het buitenland in de vereiste gevallen te plaatsen - bijvoorbeeld als het gaat om het maken van back-ups van relevante informatie over servers die worden gehuurd van buitenlandse leveranciers. Enerzijds moeten volgens de wet nr. 242-FZ persoonlijke gegevens worden geplaatst op servers die zich op het grondgebied van Rusland bevinden. Aan de andere kant kan er natuurlijk een objectieve noodzaak zijn om ze op buitenlandse middelen te plaatsen.

Zoals advocaten opmerken, grensoverschrijdende overdrachtgegevens zonder de bepalingen van de regelgeving te schenden, is in principe mogelijk. Op basis van welke bepalingen van de wetgeving kan deze positie als legitiem worden beschouwd?

Wanneer een grensoverschrijdende overdracht legaal is

Het is een feit dat de wet op de lokalisatie van persoonlijke242-FZ bevat geen bepalingen over het aanpassen van rechtshandelingen die de grensoverschrijdende overdracht regelen van bestanden met geïndividualiseerde informatie over burgers van de Russische Federatie en andere entiteiten die vallen onder de bescherming van wet nr. 152-FZ. Daarom is deze procedure legaal, evenals tot het moment waarop de wijzigingen in de desbetreffende wet werden aangenomen.

Maar let nogmaals - grensoverschrijdendDatatransmissie kan alleen worden uitgevoerd om een ​​back-up van de relevante bestanden te maken. Hun originelen moeten daarom noodzakelijkerwijs op servers in de Russische Federatie worden geplaatst. Tegelijkertijd is de gegevensoperator zelf verantwoordelijk voor ongeoorloofd gebruik van bestanden op buitenlandse servers door individuen. Bovendien zal hij zijn informatiesystemen waarschijnlijk afstemmen op de vereisten die zijn vastgesteld door de rechtsregels van de staat op het grondgebied waarvan de servers zich bevinden.

Sancties voor overtredingen van wet nr. 242

Dus, we hebben bestudeerd wat de wetgever heeft ingevoerddoor het uitvaardigen van de wet 242-FZ van de wijziging van federale wet nr. 152. Het zal ook nuttig zijn na te gaan welke sancties kunnen worden opgelegd door gegevensoperatoren die de bepalingen van de relevante rechtsbron hebben geschonden.

Ten eerste het bedrijf dat moet presterende vereisten van Wet No. 242, kan een administratieve boete worden opgelegd. Zijn waarde is 500-1000 roebel voor ambtenaren, evenals 10 keer grotere bedragen - voor rechtspersonen. Deze straf is ingesteld kunst. 13.11 van de administratieve code van de Russische Federatie.

Ten tweede kan een dergelijke sanctie worden toegepast,als het invoeren van de gegevensoperator in het register van overtreders. Het is een geautomatiseerde database met domeinnamen en de adressen van pagina's van sites waar persoonsgegevens worden verwerkt met schendingen. Merk op dat de opname van de operator in het betreffende register wordt uitgevoerd op basis van een rechterlijke beslissing. Een uitzondering is na de annulering of nadat het bedrijf schendingen van de betreffende wet heeft geëlimineerd.

Ten derde kan de toegang tot de site beperkt zijn,waarop ongepaste verwerking van persoonlijke gegevens wordt gerealiseerd. Deze procedure wordt uitgevoerd nadat het onderwerp persoonlijke gegevens aan Roskomnadzor een toepassing heeft gestuurd over de noodzaak om maatregelen te nemen om de overeenkomstige hulpbron te blokkeren.

Bovendien zou dit document ook moeten zijnaangevuld door een rechterlijke handeling die in werking is getreden. Daarna stuurt Roskomnadzor informatie over schendingen door de site-eigenaar van wet nr. 242 naar de hostingprovider en als de eigenaar van de bron de overtreding niet opheft, wordt de site geblokkeerd.

De procedure voor het toepassen van sancties op overtredersbepalingen van de desbetreffende rechtshandeling hangen grotendeels af van de wetshandhavingspraktijk. Voor exploitanten van persoonsgegevens is het logisch om het regelmatig te bestuderen, evenals, bijvoorbeeld, en verschillende analytische studies van de bepalingen van wet nr. 242-FZ, opmerkingen van advocaten aan hem. Het uitvoeren van de normen van federale wet nr. 152, rekening houdend met de feitelijke wijzigingen erin, is de belangrijkste voorwaarde voor het correct functioneren van de relevante informatiediensten.