- Awara
- 30.07.2015
- 5736
Что важно знать о требованиях нового закона «О персональных данных»?
Согласно изменениям в федеральный закон «О персональных данных», вступающим в силу 1 сентября 2015, компании, осуществляющие обработку персональных данных, должны обрабатывать персональные данные российских граждан с использованием баз данных, размещенных на территории России. Новые требования законодательства в первую очередь скажутся на деятельности IT компаний и их клиентов, использующих облачные сервисы для хранения информации.
Ниже мы ответим на самые частые вопросы по данной теме.
1. Что является персональными данными?
Персональными данными является любая информация о физическом лице, в том числе:
- Адрес электронной почты, содержащий в себе фамилию и/или название компании;
- Номер банковской карты, а также, в определенных случаях, код CVC;
- В некоторых случаях, номер мобильного телефона (так называемые «конфиденциальные персональные данные»)
Например:
Электронный адрес: ivan.ivanov@pochta.com – является персональными данными
Электронный адрес: ivan@pochta.com – не является персональными данными.
Необходимо отметить, что даже в случае, если информация, относящаяся к субъекту персональных данных, не позволяет идентифицировать физическое лицо, при определенных обстоятельствах такая информация может являться персональными данными.
В настоящий момент Роскомнадзор разрабатывает четкие критерии определения «персональные данные»1.
2. Какие компании попадают под действие новых требований закона?
- Компании, зарегистрированные в России;
- Иностранные компании, имеющие представительства и филиалы в России;
- Иностранные компании, деятельность которых направлена на территорию России и и/или включает в себя обработку персональных данных российских граждан.
Например:
Если гражданин России, работающий в российском представительстве иностранной компании, может просматривать и загружать информацию о себе на общий внутренний портал иностранной компании, и сервер, на котором обрабатывается и хранится данная информация, располагается за пределами России, то такая компания может быть признана нарушающей требования закона о локализации персональных данных на территории России.
3. Распространяются ли требования закона на «обезличенные» персональные данные?
Если компания передает зашифрованные персональные данные за рубеж, и при этом принимающий сервер ни при каких условиях не может осуществить дешифрацию полученных персональных данных, то такие действия компании не могут быть признаны нарушением требований закона о локализации персональных данных в России, поскольку в данном случае отсутствует факт передачи персональных данных за пределы России. Иными словами, за рубеж осуществляется передача не персональных данных, а зашифрованного кода.
4. Какие меры следует принять в связи с новыми требованиями?
Действия в части IT
- Провести IT-аудит:
- Определить, где происходит сбор, обработка, и хранение персональной информации, и кто отвечает за эти процессы в компании;
- Используя DLP-системы, определить, как организовано перемещение данных в компании;
- Сравнить, какой объем информации находится на внутренних серверах компании, а какой – на серверах третьей стороны, поскольку часть данных может храниться у сторонней организации;
- Проверить, насколько четко организована процедура резервного копирования и восстановления, и убедиться, что вам точно известно место хранения резервных копий;
- Установить, какое программное обеспечение используется для сбора, обработки, и хранения персональных данных.
- Определить, какая информация, использующаяся в работе компании, попадает (или может попадать) под категорию персональных данных. Особенно это касается данных, задействованных в работе кадрового и расчетного отделов, отдела IT-безопасности, бухгалтерии, данных из CRM-систем и клиентских соглашений;
- Проанализировать IT-инфраструктуру компании с целью определить возможные «центры» обработки персональных данных за пределами России;
- Оценить риски;
- Основываясь на полученных результатах, разработать стратегию и план действий, а также определить размер бюджета для возможных преобразований.
Юридические действия
Для локализации персональных данных российских граждан на территории России, необходимо:
- Провести юридический аудит обрабатываемых компанией сведений о субъектах персональных данных для того, что бы определить, что из них относится к персональным данным в соответствии с применимым законодательством;
- Привести внутреннюю документацию компании в соответствие с новыми требованиями к процедуре обработки и хранения персональных данных, в частности:
- политику о персональных данных компании или иной документ, оформляющий порядок обработки персональных данных;
- согласия работников и иных субъектов персональных данных на обработку их персональных данных;
- иные документы, регламентирующие процедуры обработки персональных данных в компании.
- Ознакомить сотрудников с новой версией документации по работе с персональными данными, и получить согласия работников на обработку и трансграничную передачу их персональных данных в соответствии с требованиями законодательства.
- Уведомить контролирующие органы о местонахождении баз данных, используемых для работы с персональными данными российских граждан.
5. Ответственность в случае нарушения закона
В случае нарушения закона для юридических лиц и сотрудников компании (например, генеральный директор или ответственный за работу с персональными данными) предусмотрен административный штраф в размере от 5 000 до 10 000 рублей. В случае, если в руководящий состав компании входят иностранные граждане, обратите, пожалуйста, внимание на то, что иностранным гражданам, которые привлекались к административной ответственности 2 или более раза в течение 3х лет (вне зависимости от оснований привлечения), может быть отказано во въезде на территорию России.
На данный момент Госдумой принят в первом чтении законопроект об увеличении размера штрафа до 500 000 рублей за нарушение законодательства о персональных данных и увеличении штрафа за незаконную обработку персональных данных до 300 000 рублей.
Изменения в Закон о персональных данных предусматривают также возможность Роскомнадзора ограничить доступ к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных с использованием сети Интернет. Процедура ограничения доступа длительная и многоступенчатая. Вместе с тем, поскольку закон не ограничивает возможность применения блокировки информации только для определенных категорий операторов персональных данных или ресурсов обработки персональных данных, с юридической точки зрения, существует возможность применить такую процедуру в том числе и ко внутренним системам хранения и обработки персональных данных работников компании (например, Intranet).
C уважением,
Антон Кабаков
Партнёр, Awara
Александр Ермаков
Партнёр, Awara IT Solutions
Контакты
- +7 495 225-30-38 Москва
- +7 812 244-75-49 Санкт-Петербург
- +7 495 225-30-38 Тверь