FZ 242 om beskyttelse af personoplysninger. Forbundslov 242 (føderal lov om personoplysninger): ændringer og kommentarer

I Rusland er der en særskilt lov, ihvorefter forskellige organisationer og enkeltpersoner skal foretage transaktioner med personoplysninger - lov nr. 152. Lovgiveren foretager regelmæssigt ændringer i den relevante retsakt. Især den 1. september 2015 trådte normerne i forbundslov nr. 242 i kraft, efter at der blev offentliggjort en række grundlæggende nye normer i lov nr. 152 Hvad er de Hvem er forpligtet til at overholde de relevante bestemmelser i loven?

Hvad er den personlige data føderale lov?

Det bør lægges særlig vægt på dettei princippet: loven om 242-FZ, som trådte i kraft den 1. september 2015, er en normativ handling, der ændrede en anden grundlæggende lovkilde - føderal lov nr. 152, der blev vedtaget i juli 2006. Således bør ordlyden i lov nr. 242 kun betragtes som led i de normer, der er indeholdt i lov nr. 152.

Den grundlæggende retsakt - Federal Law No. 152, der er oprettet i lovgivningen i Den Russiske Føderation, er juridiske kategorier som:

- personoplysninger

- operatøren af ​​de relevante oplysninger

- behandling af personoplysninger

Under den første juridiske kategori, lovgiverenforeskriver at forstå enhver information, der direkte eller indirekte henviser til en person. Det kan for eksempel være hans fulde navn, personlige oplysninger, kontaktoplysninger.

Under den anden juridiske kategori i lovenDet refererer til en stat eller kommunal myndighed, organisation eller person, der selvstændigt eller i samarbejde med andre aktører udføre proceduren for databehandling, og fastsætte deres sammensætning og drift med dem.

Under den tredje juridiske kategori, lovgiverenforeskriver at forstå enhver handling eller deres rækkefølge, der har at gøre med personlige data og udføres ved hjælp af automatiseringsværktøjer eller uden dem.

Grundlæggende operationer med personoplysninger,defineret ved lov nr. 152: indsamling, optagelse, opbevaring, justering, brug, overførsel, blokering, fjernelse. Disse juridiske kategorier, i princippet på tidspunktet for vedtagelsen, kunne betragtes som helt nye for Den Russiske Føderations retssystem. Før dette blev omsætningen af ​​personoplysninger reguleret af russisk lovgivning temmelig overfladisk.

Nyhed i forbundslovens § 152

Loven om personoplysninger, der blev vedtaget i Den Russiske Føderation, vardermed at bringe det nationale retssystem tættere på verdensstandarderne for at sikre fortroligheden af ​​informationsudveksling - først og fremmest fremlagt i elektronisk form og anvendt inden for rammerne af online kommunikation. Men føderal lov nr. 152 skabte ligeledes et retligt miljø også for at sikre beskyttelsen af ​​forskellige off-line data.

I overensstemmelse med denne normative retsaktDer blev identificeret adskillige klasser af personoplysninger, der krævede anvendelse af visse beskyttelsesalgoritmer. Derudover fastsatte føderale lov nr. 152 normer, hvorefter omsætningen af ​​forskellige data kunne udføres i specialiserede informationssystemer - dem, der krævede særlig højt kvalificering af administratorer, samt opnåelse af licenser til udførelse af operationer med personoplysninger.

Trods det faktum, at forbundslov nr. 152 blev udstedt i 2006år, i praksis blev dets vigtigste bestemmelser til personoplysninger kun obligatoriske fra den 1. juli 2011. Siden det øjeblik er der blevet foretaget forskellige korrektioner regelmæssigt til den relevante lovkilde, som vi har nævnt ovenfor. Navnlig dem, der blev godkendt af de føderale myndigheder gennem lov 242-FZ. Lad os overveje dens funktioner mere detaljeret.

Funktioner i anvendelsen af ​​retsakten

Federal Law 242-FZ "On Personal Data"(Mere præcist "om ændring af de retsakter i data del af afklaring") fastlagde den holdning, hvorefter operatørerne er blevet tvunget til at behandle og gemme data kun på servere, der er placeret på det område af Rusland. Eller hvis det er offline personlige data - læg dem i databaser, der er i RF. Bemærk at i lov 242-FZ er der en række undtagelser fra denne regel - som igen afspejles i bestemmelserne i lov nr. 152.

En anden nuance af lovens anvendelse erDen kendsgerning, at gennem sin lovgiver også har ændret ikke kun den vigtigste retsakt, der regulerer transaktioner med personoplysninger, men også til andre kilder. Nemlig loven 149 "On Information" samt 249 ("Om beskyttelse af juridiske enheder og IP'er under statslig og kommunal kontrol").

I de russiske medier replikeres aktivtOplysninger om, at Roskomnadzor - agentur ansvarlig for at sikre, at aktiviteterne i disse operatører med bestemmelserne i Federal Law # 242 "om beskyttelse af personoplysninger" i 2016 vil gennemføre inspektioner af de største udbydere af IT-løsninger, som udfører aktiviteter i Den Russiske Føderation. Især blev det sagt, at formålet med Roskomnadzor - Find ud af, om bestemmelser i loven i sådanne mærker som Microsoft, «Vkontakte», HeadHunter, LaModa. Det blev antaget, at afdelingen vil udføre omkring 1 tusind forskellige checks.

Initieret af de føderale myndigheder gennemudgave af den føderale lov № 242-FZ ændringer af personoplysninger i grundloven kunne forudbestemme nødvendigheden af ​​de største operatører af en betydelig opgradering af hardware og software. Men dette problem skal løses mærker, med undtagelse af manglende overholdelse af kravene i den infrastruktur, der anvendes af den pågældende lov, kan Roskomnadzor pålægge en bøde på virksomheden.

En væsentlig rolle i inspektioner, somDet skulle gøre brugere af forskellige it-løsninger. Hvis de begynder at tro, at deres data ikke er fuldt beskyttet, kan de oplysninger om tjenesten, som er engageret i operationer med de relevante data overføres direkte til brugerne Roskomnadzor. Hvilket til gengæld burde indlede en verifikation tjenesteydelse overholder lov 242-FZ.

Det vil være nyttigt at overveje, hvad omfanget af lovkilden er under overvejelse.

Lov nr. 242: omfanget af lovkilden

Hoveddiskussionspunktet i denne sag -derefter, hvorvidt kompetencen i forbundslov # 242 "om beskyttelse af personoplysninger" på udenlandske virksomheder, der på den ene side, leverer tjenesteydelser til russiske brugere, på den anden side, er placeret uden for Rusland som den juridisk synspunkt, og med hensyn til den involverede infrastruktur.

Særskilte bestemmelser i den pågældende lov,som utvetydigt bestemmer geografiens drift, godkendte lovgiveren ikke. For at finde svaret på det pågældende spørgsmål er det derfor nødvendigt at anvende andre retsakter.

Så i overensstemmelse med lov om information,der optræder i Den Russiske Føderation, bør brugen i Rusland af forskellige former for kommunikationsinfrastruktur udføres under hensyntagen til de normer, der er godkendt i Den Russiske Føderations lovgivning. Således, hvis du følger denne regel, kan du komme til den konklusion, at forbundslov nr. 242-FZ udelukkende omfatter de tjenester, der unikt anvender den infrastruktur, der er placeret i Rusland.

Definitionen af ​​operatør af personoplysninger i Rusland

Det vigtigste kriterium for bestemmelse af jurisdiktionden betragtede lovkilde - fokuset på det mærke, der ejer en bestemt tjeneste. Hvis et bestemt websted primært henvender sig til russiske brugere, skal det betragtes som underlagt regulering fra synspunkt anvendelsen af ​​loven nummer 242. Den omstændighed, at tjenesten er rettet mod at opnå personoplysninger om borgere i Den Russiske Føderation kan etableres baseret på det faktum, at:

- i adressen adresse på webstedet domænet .ru, .su, .рф eller, for eksempel. Moskva anvendes;

- indholdet af webstedet er på russisk

- Portalens sider har mulighed for at indgå juridiske forbindelser med tjenesten ved hjælp af de kontrakter, der er udarbejdet i overensstemmelse med Den Russiske Føderations civile lov.

I praksis er dataoperatører, der falderder er underlagt lov nr. 242, kan der være en række forskellige strukturer - for eksempel personaleydelser fra virksomheder, banker, call-centre. Alle er forpligtet til at sikre, at deres aktiviteter overholdes i henhold til lovgivningen.

Lov nr. 242 med hensyn til anvendelse af dens retroaktivitet

Lov nr. 242-FZ om ændring af føderal lov nr. 152blev udstedt senere end selve FL 152 i sig selv, såvel som tidligere ændringer af den, krævede dog en yderligere fortolkning af bestemmelserne i den vigtigste retsakt. Især blandt advokater var der diskussion om, hvorvidt lov nr. 242 skulle anses for at have tilbagevirkende kraft.

Det mest populære synspunkt, ihvorefter i vurderingen af ​​den juridiske rækkevidde af den retsakt bør gælde obscheyuridicheskie principper hvorefter indrømmelse tilbagevirkende kraft af disse love, som forværrer situationen for visse personer, eller udsætte dem for tillægstold ikke bør udføres.

Undtagelser kan væreRetsakter, hvor princippet om retroaktivitet er rettet direkte. Loven i 242-FZ indeholder ikke sådanne bestemmelser. Derfor er det kun de deltagere i juridiske forhold, der begynder at behandle personoplysninger, efter at den relevante retsakt er trådt i kraft, for at overholde det. Det er fra 1. september 2015.

Essensen af ​​dataindsamling

Et andet diskutabelt øjeblik, der karakterisererden pågældende retsakt er definitionen af ​​begrebet "dataindsamling" baseret på den formulering der er til stede i den. Hvad er kompleksiteten af ​​fortolkningerne i denne sag? Det faktum, at i overensstemmelse med bestemmelserne i den føderale lov nummer 152, at der er foretaget gennem offentliggørelsen af ​​den føderale lov № 242-FZ om personlige data ændringer, er operatørerne forpligtet til at levere de localization filer i netop den samme samling af relevante oplysninger. Til gengæld er essensen af ​​denne procedure ikke klart defineret i loven, som naturligvis er ikke befordrende for en effektiv gennemførelse af dens bestemmelser i en række sammenhænge.

I ekspertmiljøet er synspunktet omsom under "samlingen" med rette forstår processen, hvor dataoperatøren modtager dem direkte fra en eller flere enheder eller autoriserede tredjeparter. Det viser sig, at lokaliseret i overensstemmelse med reglerne i forbundslov 242 kun bør være de personoplysninger, der blev erhvervet af operatøren i den kendsgerning, at han udførte et målbevidst arbejde for at indsamle de relevante data. Og hvis for eksempel operatøren modtog dem ved et uheld - som en mulighed i form af et brev til e-mail, er det ikke nødvendigt at lokalisere, som foreskrevet i lov 242-FZ. Tilsvarende er det forkert at betragte som en proces med dataindsamling deres kvittering fra en virksomhed fra den anden, hvis de er telefoner og andre kontaktoplysninger fra firmaets repræsentanter.

Placering af data i udlandet i henhold til lov nr. 242

Den næste vigtige nuance, der karakterisererretshåndhævelse praksis i forbindelse med gennemførelsen af ​​bestemmelserne i lov nummer 242 - mulighed for at placere disse operatører i udlandet hvor det er nødvendigt - for eksempel, når det kommer til at sikkerhedskopiere de relevante oplysninger på servere lejet hos udenlandske leverandører. På den ene side, ifølge lov nr. 242-FZ, bør personoplysninger placeres på servere, der er placeret på Ruslands område. På den anden side kan der naturligvis være et objektivt behov for, at de placeres på udenlandske ressourcer.

Som advokater noterer, grænseoverskridende overførseldata er i princippet ikke i strid med bestemmelserne i lovgivningen. På baggrund af hvilke bestemmelser i lovgivningen kan denne holdning betragtes som legitim?

Når en grænseoverskridende overførsel er lovlig

Faktum er, at loven om lokalisering af personlige242-FZ indeholder ikke bestemmelser om tilpasning af retsakter, der regulerer grænseoverskridende overførsel af filer indeholdende individualiseret information om borgere i Den Russiske Føderation og andre enheder, der falder ind under beskyttelsen af ​​lov nr. 152-FZ. Derfor er denne procedure lovlig såvel som indtil det tidspunkt, hvor ændringerne af den pågældende lov blev vedtaget.

Men igen opmærksom - grænseoverskridendeDataoverførsel kan kun udføres med det formål at sikkerhedskopiere de relevante filer. Deres originaler skal derfor nødvendigvis placeres på servere i Den Russiske Føderation. Samtidig er dataoperatøren selv ansvarlig for uautoriseret brug af filer på udenlandske servere af enkeltpersoner. Derudover vil han sandsynligvis tilpasse sine informationssystemer til de krav, der er fastsat i lovgivningen i den stat, på hvis område serverne er placeret.

Sanktioner for overtrædelse af lov nr. 242

Så vi studerede, hvad lovgiveren introduceredeved at udstede lov 242-FZ af ændringen til føderal lov nr. 152. Det vil også være nyttigt at overveje, hvilke sanktioner der kan pålægges af dataoperatører, der overtrådte bestemmelserne i den relevante lovkilde.

For det første er det selskabet der skal udførekravene i lov nr. 242 kan der indføres en administrativ bøde. Dens værdi er 500-1000 rubler for embedsmænd, samt 10 gange større beløb - for juridiske enheder. Denne straf er fastsat kunst. 13.11 i Den Russiske Føderations administrative kodeks.

For det andet kan en sådan sanktion anvendes,som indleder dataoperatøren i overtrædelsesregisteret. Det er en automatiseret database, der indeholder domænenavne og adresserne på sider på websteder, hvor personoplysninger behandles med overtrædelser. Bemærk, at operatørens optagelse i det relevante register udføres på grundlag af en retsafgørelse. En undtagelse er efter dens aflysning eller efter at virksomheden eliminerer overtrædelser af den pågældende lov.

For det tredje kan adgangen til webstedet begrænses,på hvilken ukorrekt behandling af personoplysninger er realiseret. Denne procedure udføres efter at personoplysningerne sender Roskomnadzor en ansøgning om behovet for at træffe foranstaltninger for at blokere den tilsvarende ressource.

Desuden skal dette dokument også væresuppleret af en retsakt, som trådte i kraft. Efter at Roskomnadzor sender informationer om overtrædelser af ejeren af ​​det sted, lov nummer 242 udbyder, og at, hvis ejeren af ​​ressourcen ikke vil fjerne den overtrædelse, blokerer webstedet.

Proceduren for anvendelse af sanktioner over for overtrædelserBestemmelserne i den pågældende retsakt afhænger i vid udstrækning af retshåndhævelsespraksis. For operatører af personoplysninger er det fornuftigt at studere det regelmæssigt såvel som for eksempel forskellige analysestudier af bestemmelserne i lov nr. 242-FZ, advokaternes kommentarer til ham. Gennemførelse af normerne i føderal lov nr. 152 under hensyntagen til de faktiske ændringer heraf er den vigtigste betingelse for, at de relevante informationstjenester fungerer korrekt.