Законодательная работа

Вернуться назад

Ситан 2016. О персональных данных

16 Февраля 2016
Ситан 2016. О персональных данных Ситан 2016. О персональных данных Неопределенность в части квалификации нарушений

ПРОБЛЕМА

Неопределенность норм законодательства о персональных данных и об информации, информационных технологиях и о защите информации, установленных федеральным законом от 21.07.2014 № 242-ФЗ, как в части возможной квалификации нарушений законодательства в области персональных данных, так и в части определения оснований ограничения доступа к информации, обрабатываемой с нарушением законодательства в области персональных данных.

РЕШЕНИЕ

1. Внести изменения в федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», заменив в части 5 статьи 18 слова «при сборе персональных данных» на слова «при первичном сборе персональных данных».

(Ad absurdum).

2. Внести изменения в федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», заменив в части 3 статьи 22 слова «нарушением законодательства Российской Федерации» на «нарушением прав субъектов персональных данных».

3. Внести изменения в федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», заменив в тексте статьи 15.5 слова «нарушение законодательства Российской Федерации» на «нарушение прав субъектов персональных данных» с учетом склонения.


Неопределенность в части обязанностей организатора распространения информации


ПРОБЛЕМА

Неопределенность норм законодательства об информации, информационных технологиях и о защите информации, установленных федеральным законом от 05.05.2014 № 97-ФЗ, в части толкования содержания и объема обязанности организатора распространения информации по реализации требований к оборудованию и программно-техническим средствам, установленных федеральным органом исполнительной власти в области связи по согласованию с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации.

РЕШЕНИЕ

Внести изменения в федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», дополнив часть 4 статьи 10.1 после слов «тактических приемов проведения данных мероприятий.» словами «Указанные требования устанавливаются в отношении оборудования и программно-технических средств, используемых организатором распространения информации для обработки информации, предусмотренной частью 3 настоящей статьи.».

(Ограничиваем сферу действия требований, и исключаем доступ к содержанию сообщений).

Неопределенность относительно облачных провайдеров

ПРОБЛЕМА

Рассматривая провайдеров облачных вычислений как разновидность провайдеров хостинга, мы предлагаем в Федеральном законе «Об информации…» изложить определение «провайдера хостинга» в новой редакции, что позволит, во-первых,  дать более корректное определение традиционного хостинга (более точно раскрывающее содержание деятельности информационного посредника и согласованное с п.3 ст.17  Закона "Об информации, информационных технологиях и о защите информации", а также со ст.12531 ГК РФ) и, во-вторых, актуализировать определение с учетом понимания облачных вычислений как новой технологии оказания услуг хостинга.

РЕШЕНИЕ

Предлагаем следующую редакцию определения «провайдера хостинга»: «лицо, предоставляющее принадлежащие ему технические (программно-аппаратные) средства для размещения и обеспечения доступа к информации на сайте в сети «Интернет», а также лицо, предоставляющее  вычислительные мощности и(или) программы для ЭВМ для их использования посредством информационно-телекоммуникационных сетей в целях обработки и хранения информации заказчика (провайдер облачных вычислений)».


Отсутствие правовых мер по обеспечению свободы обмена информацией

ПРОБЛЕМА

Сопоставление российского законодательства в сфере трансграничной передачи персональных данных с международной практикой регулирования данной сферы, прежде всего европейским опытом такого регулирования, показывает отсутствие должных правовых мер, направленных на реализацию принципа свободного обмена информацией. В первую очередь, речь идет об отсутствии законодательных условий, позволяющих использовать при трансграничной передаче такие гибкие и эффективные правовые механизмы обеспечения адекватного уровня защиты персональных данных как индивидуальные договорные условия? доказавшие свою эффективность и работоспособность в правовом поле стран-участниц Европейского Союза и ряде других стран.

РЕШЕНИЕ

Предлагаем внести соответствующие изменения в ч.4 ст.12  ФЗ «О персональных данных» и дополнить новым пунктом: «5) обеспечения условиями договора гарантий защиты прав субъектов персональных данных.»


Распределение ответственности между оператором персональных данных и обработчиком

ПРОБЛЕМА

Использование облачных вычислений в любой правовой системе с неизбежностью порождает возникновение сложного комплекса правоотношений, которые в большинстве случаев уже имеют соответствующее правовое регулирование. При использовании облачных вычислений традиционные правоотношения приобретают специфический характер в связи с техническими характеристиками облачных вычислений.  В частности, особенности данных отношений обуславливаются наличием конкретных технологий (облачных вычислений), а также вовлечением лиц, которые обеспечивают их предоставление (провайдеров-обработчиков). Решающее значение имеет распределение ответственности между оператором персональных данных и обработчиком. При оказании услуг облачных вычислений формирующиеся отношения включают дифференцированный круг субъектов – операторов и обработчиков персональных данных. Именно поэтому важно определить и разграничить их правовой статус, основываясь на специфическом для защиты персональных данных наборе прав, обязанностей и ответственности.

РЕШЕНИЕ

В Федеральному законе "О персональных данных" статью 3 дополнить пунктом 12 следующего содержания:

"12) обработчик– лицо, осуществляющее обработку персональных

данных по поручению оператора.". Части 3 – 5 изложить в следующей редакции:

"3. Оператор вправе поручить обработку персональных данных обработчику с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с обработчиком договора, в том числе государственного или муниципальногоконтракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение оператора). Обработчик обязан соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться обработчиком, и цели обработки, должна быть установлена обязанность обработчика соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

4. Договор, заключенный между оператором и субъектом персональных данных, означает в том числе согласие субъекта персональных данных на поручение оператором обработки персональных данных обработчику в целях исполнения договора.

5. Обработчик не обязан дополнительно получать согласие субъекта персональных данных на обработку его персональных данных."


Право распоряжаться по своему усмотрению своими собственными данными

ПРОБЛЕМА

Внести изменения, устраняющие неясность, которая затрудняет реализацию права субъектов персональных данных – граждан Российской Федерации права распоряжаться по своему усмотрению своими собственными данными при наличии выраженного намерения хранить данные за пределами Российской Федерации. В соответствии со ст.8 Федерального закона «О персональных данных» субъект персональных данных имеет право сделать общедоступными свои данные или передать их любому, в том числе, иностранному лицу. Поэтому, на наш взгляд, введенные № 242-ФЗ ограничения не должны распространяться на общедоступные персональные данные и договорные отношения субъекта персональных данных. Пользователи (субъекты персональных данных) должны иметь полный личный контроль над своим персональными данными, самостоятельно выбирая иностранного провайдера, чьи сервера расположены в том числе и за границей, если они доверяют качеству услуг этого провайдера и тем мерам безопасности, которые у него приняты.

РЕШЕНИЕ

Изложить ч.5 ст.18 Федерального закона «О персональных данных» в следующей редакции: "5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 1, 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.


Хранение на территории других государств, обеспечивающих адекватную защиту

ПРОБЛЕМА

В целях минимизации негативных последствий требований к оператору персональных данных и расширения возможных вариантов локализации данных для повышения качества предоставления глобальных облачных услуг конечным пользователям, предлагаем дополнить ч.5 ст.18 Федерального закона «О персональных данных», расширяющей требования о сборе и обработке персональных данных не только с использованием баз данных, находящихся на территории Российской Федерации, но также баз данных, находящихся на территории других государств, обеспечивающих адекватный российскому уровень защиты персональных данных.

РЕШЕНИЕ

Изложить ч.5 ст.18 Федерального закона «О персональных данных» в следующей редакции: "5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, а также на территории других государства, обеспечивающих адекватный уровень защиты персональных данных, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона."



Источник: IOmbudsman.ru