Законы о защите данных (конфиденциальности) в России - это быстро развивающаяся отрасль российского законодательства, которая в основном была введена в действие в 2005 и 2006 годах. [1] Федеральный закон Российской Федерации «О персональных данных» (№ 152-ФЗ), вступивший в силу 27 июля, 2006, составляет основу российского законодательства о конфиденциальности и требует от операторов данных принимать «все необходимые организационные и технические меры, необходимые для защиты персональных данных от незаконного или случайного доступа». [2] Поправка была подписана 20 декабря 2020 года и вступила в силу 1 марта 2021 года. Поправка требует, чтобы «личные данные стали общедоступными», чтобы получить согласие субъекта данных. [3] РоссияФедеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - это государственный орган, которому поручено следить за соблюдением требований. [4]
Применимые законы
1.1 Конвенция о защите физических лиц при автоматизированной обработке персональных данных, подписанная и ратифицированная Российской Федерацией 19 декабря 2005 г .; [5]
1.2 Закон РФ «О персональных данных» от 27.07.2006 № 152-ФЗ, регулирующий обработку персональных данных средствами автоматизации . Это оператор, который должен соблюдать этот Закон;
1.3. «Положение о защите персональных данных, обрабатываемых в системах персональных данных», введенное Постановлением Правительства РФ от 17.11.2007 № 781. Регламент содержит обязательные правила безопасности, которые необходимо соблюдать при обработке и хранении персональных данных;
1.4 Федерального закона «О рекламе» от 13.03.2006 № 38-ФЗ. Это регулирует маркетинговые коммуникации, отправляемые, в частности, электронными средствами, включая электронную почту, SMS и т. Д .;
1.5 Кодекса Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ. Это регулирует вопросы ответственности за совершение административных правонарушений в связи с обработкой персональных данных или распространением маркетинговых сообщений.
Определения
2.1 персональные данные - это любая информация, относящаяся к идентифицированному или идентифицируемому на основе такой информации физическому лицу (субъекту персональных данных), включая его фамилию, имя, отчество , дату, месяц, год и место рождения, адрес, семью, социальную принадлежность, имущественное положение , образование, профессия, доход, другая информация; [6]
2.2 конфиденциальные персональные данные означают персональные данные, относящиеся к:
- Раса или этническое происхождение
- Политические взгляды
- Религиозные верования
- Состояние здоровья
- Половая жизнь
2.3 обработка - это все, что может быть выполнено с личными данными или с ними, включая получение, организацию, накопление, хранение, корректировку (обновление, изменение), использование, раскрытие (включая передачу), выдачу себя за другое лицо, блокирование или уничтожение таких данных;
2.4 оператор - это субъект, который организует и / или выполняет обработку данных, а также определяет цели и способ обработки данных. В большинстве случаев и материнская компания, и организация, которая управляет соответствующим оборудованием или предлагаемыми услугами, будут операторами;
2.5 система персональных данных - это система данных, которая включает в себя персональные данные, записанные в базе данных, а также информационные технологии и техническое оборудование, которые делают возможной обработку таких данных.
Основные правила, содержащиеся в применимых законодательных актах
3.1 Для обработки его персональных данных требуется согласие физического лица. Это правило не применяется, если такая обработка необходима для выполнения контракта, стороной которого является физическое лицо.
Следует иметь в виду, что субъект персональных данных имеет право в любой момент отозвать свое ранее предоставленное согласие, что обязывает оператора прекратить обработку таких персональных данных и уничтожить их в течение трех рабочих дней (если иной срок не был согласован с оператор и физическое лицо) после даты отзыва и уведомить субъекта персональных данных об уничтожении его персональных данных.
3.2 В частности, обработка персональных данных в целях прямого маркетинга может осуществляться при условии предварительного согласия субъектов персональных данных. Предполагается отсутствие такого согласия, если оператор не докажет обратное. Обработка персональных данных в указанных выше целях должна быть немедленно прекращена по требованию субъекта персональных данных.
3.3 Во время получения персональных данных оператор обязан по запросу физического лица сообщить последнему информацию, касающуюся оператора и процесса предполагаемой обработки.
3.4 Если персональные данные получены не напрямую от субъекта персональных данных, оператор перед обработкой такой информации должен предоставить физическому лицу следующую информацию:
3.4.1 наименование и адрес оператора или его представителя;
3.4.2 цель и правовые основания обработки персональных данных;
3.4.3 ожидаемые пользователи персональных данных; а также
3.4.4 права физического лица в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ.
3.5 Как правило, запрещается обрабатывать каким-либо образом конфиденциальные персональные данные физического лица, за исключением случаев, когда до обработки было получено явное письменное согласие, содержащее все условия, предусмотренные законом.
3.6 Как правило, для передачи персональных данных за пределы Российской Федерации оператор должен до такой передачи убедиться, что права субъектов персональных данных будут пользоваться адекватной и достаточной защитой в стране назначения.
До 1 сентября 2015 года позиция Федеральной службы связи, государственного органа, ответственного за защиту персональных данных, заключалась в том, что адекватная и достаточная защита существует только в тех иностранных государствах, которые подписали и ратифицировали Конвенцию о защите физических лиц в отношении автоматической обработки персональных данных . Тем не менее, есть три основных исключения, которые разрешают передачу персональных данных в страны, в которых применяются более низкие стандарты защиты персональных данных или нет, а именно:
- Когда передача необходима для выполнения договора, стороной которого является физическое лицо
- Если субъект персональных данных дал свое предварительное письменное согласие, содержащее все предусмотренные законодательством условия, на такую передачу.
- Когда передача необходима для выполнения Российской Федерацией своих обязательств по международному соглашению о реадмиссии
1 сентября 2015 года вступила в силу новая «Статья 18 (5)», более строго ограничивающая экспорт данных. [7]
3.7 Российское законодательство налагает строгие ограничения на использование электронных средств связи для прямого маркетинга. А именно, перед отправкой маркетинговых сообщений ему по электронной почте или SMS необходимо получить явное согласие. Предполагается отсутствие такого предварительного согласия, если отправитель не докажет обратное. Закон предусматривает немедленное прекращение отправки маркетинговых сообщений в короткие сроки. Также следует отметить, что в России категорически запрещена отправка электронных писем или SMS-сообщений с использованием автодозвона.
Для отправки маркетинговых сообщений по почте оператор должен получить специальное разрешение Федеральной службы по связи. К сожалению, процедура получения такого разрешения еще не налажена.
3.8. Обработка персональных данных должна быть адекватной, актуальной и не чрезмерной по отношению к цели или целям, для которых они обрабатываются.
3.9. Обрабатываемые персональные данные находятся в режиме конфиденциальности. Это подразумевает использование оператором достаточных технических и организационных средств, предназначенных для предотвращения несанкционированного доступа третьих лиц к обрабатываемой личной информации. Должны существовать процедуры (включая издание внутренних правил или постановлений), регулирующие процесс доступа к такой конфиденциальной информации.
3.10 Персональные данные должны быть точными и при необходимости обновляться. Оператор обязан обеспечить доступность персональной информации для проверки субъектами персональных данных по их запросу. В случае, если такие субъекты обнаружат, что эта информация является устаревшей или неадекватной, оператор будет обязан прекратить обработку такой информации до тех пор, пока не будут внесены необходимые изменения.
3.11 Персональные данные не должны храниться дольше, чем это необходимо для целей, для которых они обрабатываются, что требует их уничтожения после достижения этих целей или в случае, если их выполнение больше не требуется.
3.12 Персональные данные должны обрабатываться в соответствии с правами субъектов персональных данных в соответствии с действующим законодательством о защите данных. Оператор нарушит этот принцип, если, среди прочего, он:
3.12.1 нарушает положения о правах доступа, изложенные в законодательстве;
3.12.2. Не выполняет требование о прекращении обработки в течение срока, установленного законом или согласованного сторонами.
Должны быть установлены процедуры, гарантирующие, что компьютерные системы настроены надлежащим образом, чтобы позволить точную регистрацию предоставления согласия во всех соответствующих случаях, описанных в данном документе. Также должны быть установлены процедуры, гарантирующие, что на любые уведомления или запросы будут оперативно реагировать и обрабатываться.
3.13 Должны быть приняты соответствующие технические и организационные меры против несанкционированной или незаконной обработки персональных данных, а также от случайной потери, уничтожения или повреждения персональных данных. Операторам следует рассмотреть соответствующие меры для обеспечения целостности данных (для электронной обработки), включая установку программного обеспечения для защиты от вирусов и межсетевых экранов, использование шифрования для передачи данных, использование технологий повышения конфиденциальности и регулярное резервное копирование с надежным хранением. Для ручной обработки следует рассмотреть соответствующие меры безопасности, такие как хранение бумажных записей в запираемых, пожаробезопасных шкафах.
3.14 Соответствующие положения требуют эффективной защиты личных данных. Обязательные правила защиты таких данных в настоящее время разрабатываются Федеральной службой безопасности (далее - ФСС), которые будут изданы в течение двух месяцев. На данный момент, по информации, полученной от специалиста ФСС в ходе телефонной консультации, в ФСС есть предварительный проект указанного регламента, который может быть изменен, так как окончательный вариант указанного регламента должен быть издан в течение двух месяцев. Проект в его текущей версии предусматривает защиту всех персональных данных, передаваемых за пределы России, в виде шифрования . Стоит отметить, что на данный момент практически возможно использовать для этой цели только российское программное обеспечение и оборудование для шифрования.
Индивидуальные права
Законодательство наделяет субъектов персональных данных определенными правами в отношении хранимых о них персональных данных. Это включает:
4.1 право доступа к информации об операторе и обрабатываемых персональных данных;
4.2 право требовать прекращения обработки, блокировки или изменения личных данных, которые были получены незаконным путем, являются неадекватными или устаревшими; а также
4.3 право требовать немедленного прекращения обработки в целях прямого маркетинга.
Категории персональных данных
Законодательство описывает определенные категории персональных данных: [8]
5.1 Общедоступные - персональные данные, полученные только из общедоступных источников персональных данных, созданных в соответствии со ст. 8 Федерального закона РФ «О персональных данных» (№ 152-ФЗ).
5.2 Биометрические данные - информация, характеризующая физиологические и биологические характеристики человека, на основании которых можно установить его личность и которая используется оператором персональных данных для идентификации субъекта персональных данных.
5.3 Особые - персональные данные, касающиеся расы, этнического происхождения, политических взглядов, религиозных убеждений, состояния здоровья, сексуальной жизни субъектов персональных данных.
5.4 Прочие - персональные данные, не относящиеся ни к одной из вышеперечисленных категорий (общедоступные, биометрические, специальные).
Уведомление
Операторы, к которым применяется российское законодательство, обязаны направить уведомление в территориальный орган Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (далее - Федеральная служба по связи) для каждого региона России, в котором он обладает средствами обработки личной информации. Для Москвы это будет Московское управление указанной федеральной службы. Такое уведомление необходимо для включения оператора в конкретный Реестр и должно быть сделано операторами, которые обрабатывали персональную информацию до вступления в силу Федерального закона «О персональных данных» от 27.07.2006 и продолжают ее обработку после его вступления в силу до вступления в силу. до 1 января 2008 г. Те операторы, которые не занимались обработкой личной информации с использованием собственного оборудования или оборудования третьих лиц, находящегося в России до вступления в силу указанного закона, должны отправить уведомление до того, как они фактически начнут обрабатывать личные данные. Важно, чтобы указанное уведомление содержало информацию, предусмотренную действующим законодательством.
Юрисдикция
Сфера применения российского законодательства о защите данных: российское законодательство применяется, когда оператор использует собственное или стороннее оборудование для обработки данных, расположенное в России. А также в случаях, когда данные уже были переданы за пределы России, но имело место нарушение прав субъекта персональных данных до или во время такой передачи. Если данные передаются за пределы России должным образом, это впоследствии будет регулироваться законодательством страны назначения, и последствия российского законодательства к ним не применяются.
В большинстве случаев Федеральная служба по телекоммуникациям обладает юрисдикцией только в отношении данных, хранящихся или обрабатываемых в России. Тем не менее, правовые последствия российского законодательства о защите данных будут применяться в отношении данных, уже переданных за пределы России, в случае, если права лиц, чьи персональные данные были собраны и обработаны с использованием оборудования, расположенного в России, были нарушены до или во время такой передачи (например, оператор передал личные данные в страну, где личные данные не пользуются надлежащей защитой, без предварительного письменного согласия субъекта данных). В этом случае Федеральная служба связи может подать иски к операторам для защиты прав субъектов персональных данных и наложить соответствующие штрафы за нарушение законодательства о защите данных.
Смотрите также
Рекомендации
- ^ Ариевичу, Павел (1 июня 2012). «Защита данных в Российской Федерации: Обзор» . Практическая юридическая компания .
- ^ «Английский перевод Федерального закона РФ« О защите персональных данных »» . Международная ассоциация профессионалов в области конфиденциальности .
- ^ «Новые правила обработки общедоступных персональных данных» . Бюро международного права . 2021-01-29 . Проверено 9 апреля 2021 .
- ^ Сотто, Лиза Дж. (Август 2008 г.). «Россия запускает веб-сайт по защите данных» (PDF) . Хантон и Уильямс .
- ^ См. Федеральный закон «О ратификации Конвенции о защите физических лиц при автоматизированной обработке персональных данных» от 19.12.2005 N 160-ФЗ.
- ^ Закон РФ «О персональных данных» от 27.07.2006 № 152-ФЗ, ст. 3
- ^ Карпухин, Александр Е .; Сивкова, Дарья Александровна (ноябрь 2017 г.). «Как соответствовать российским требованиям по локализации персональных данных» . Финансист в мире .
- ^ Бессонов, Евгений (2017). «Категории персональных данных на примере ИТ-инфраструктуры в соответствии с Федеральным законом №152» . Cloud4Y .
Внешние ссылки
- Конвенция о защите частных лиц при автоматической обработке персональных данных
- Электронная база данных российского законодательства (на русском языке)
- Альтернативная база данных российских законов - некоторые доступны на английском языке
- Энциклопедия российского права
- хранители документов, российские графики хранения документации