Главная > Спорт и фитнес > Суверенные базы данных и реестры нарушителей прав субъектов персональных данных. Реестр нарушителей прав субъектов персональных данных в действии Реестр нарушителей прав субъектов персональных данных

Суверенные базы данных и реестры нарушителей прав субъектов персональных данных. Реестр нарушителей прав субъектов персональных данных в действии Реестр нарушителей прав субъектов персональных данных

Постановление Правительства РФ от 19 августа 2015 г. N 857
"Об автоматизированной информационной системе "Реестр нарушителей прав субъектов персональных данных"

В соответствии с частями 3 и 4 статьи 15.5 Федерального закона "Об информации, информационных технологиях и о защите информации" Правительство Российской Федерации постановляет:

1. Утвердить прилагаемые:

Правила создания, формирования и ведения автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных";

критерии определения оператора автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных" - организации, зарегистрированной на территории Российской Федерации, в целях привлечения к формированию и ведению такого реестра.

Правила
создания, формирования и ведения автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных"
(утв. постановлением

С изменениями и дополнениями от:

1. Автоматизированная информационная система "Реестр нарушителей прав субъектов персональных данных" (далее - реестр) создается в целях ограничения доступа к информации в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных (далее - информация, обрабатываемая с нарушением законодательства).

2. Создание, формирование и ведение реестра осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций.

3. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций может привлечь к формированию и ведению реестра организацию, зарегистрированную на территории Российской Федерации, соответствующую критериям определения оператора автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных" - организации, зарегистрированной на территории Российской Федерации, в целях привлечения к формированию и ведению такого реестра, утвержденным постановлением Правительства Российской Федерации от 19 августа 2015 г. N 857 "Об автоматизированной информационной системе "Реестр нарушителей прав субъектов персональных данных".

4. Реестр включает в себя:

а) доменные имена и (или) указатели страниц сайтов в сети "Интернет", содержащих информацию, обрабатываемую с нарушением законодательства (далее - доменные имена);

б) сетевые адреса, позволяющие идентифицировать сайты в сети "Интернет", содержащие информацию, обрабатываемую с нарушением законодательства (далее соответственно - сайты, сетевые адреса);

в) указание на вступивший в законную силу судебный акт о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства (далее - акт об ограничении доступа), включая наименование суда, номер дела, содержание нарушения законодательства Российской Федерации в области персональных данных, изложенное в резолютивной части судебного акта, дату вынесения судебного акта и дату его вступления в законную силу;

г) дату и время направления Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций операторам связи сведений, указанных в подпунктах "а" - "в" настоящего пункта, для осуществления мероприятий, ограничивающих доступ к информации, обрабатываемой с нарушением законодательства;

5. Информация об устранении нарушения законодательства Российской Федерации в области персональных данных включает в себя:

а) дату и время получения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций акта об ограничении доступа;

б) сведения о провайдере хостинга или ином лице, обеспечивающих обработку информации в сети "Интернет" с нарушением законодательства Российской Федерации в области персональных данных (далее - провайдеры), включая их наименования и адреса электронной почты;

в) дату и время направления провайдеру уведомления о нарушении законодательства Российской Федерации в области персональных данных;

г) дату и время внесения доменного имени в реестр;

д) дату и время внесения сетевого адреса в реестр;

е) сведения о вступившем в законную силу судебном акте об отмене ранее принятого судебного акта об ограничении доступа (далее - акт об отмене акта об ограничении доступа), включая наименование суда, номер дела, дату вынесения судебного акта и дату вступления его в законную силу;

ж) сведения о решении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций об исключении доменного имени и сетевого адреса из реестра;

з) дату и время внесения в реестр сведений об исключении доменного имени из реестра;

и) дату и время внесения в реестр сведений об исключении сетевого адреса из реестра.

7. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение 3 рабочих дней со дня получения акта об ограничении доступа осуществляет:

б) определение провайдера;

в) направление провайдеру на русском и английском языках в электронном виде уведомления о нарушении законодательства Российской Федерации в области персональных данных с информацией в отношении акта об ограничении доступа, доменном имени, сетевом адресе, а также с требованием принять меры по устранению нарушения законодательства Российской Федерации в области персональных данных, указанные в акте об ограничении доступа;

8. Основанием для включения в реестр сведений, указанных в подпунктах "з" и "и" пункта 5 настоящих Правил, является вступивший в законную силу акт об отмене акта об ограничении доступа или решение Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций об исключении доменного имени и сетевого адреса из реестра.

9. По истечении 3 рабочих дней со дня направления уведомления провайдеру Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций проверяет устранение нарушений, указанных в акте об ограничении доступа.

В случае отсутствия доступа к информации, обрабатываемой с нарушением законодательства, или устранения нарушения, указанного в акте об ограничении доступа, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций принимает решение об исключении доменного имени и сетевого адреса из реестра, а также вносит в реестр сведения, указанные в подпунктах "ж" и "з" пункта 5 настоящих Правил.

При наличии доступа к информации, обрабатываемой с нарушением законодательства, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций вносит в реестр сведения, указанные в подпункте "б" пункта 4 и подпункте "д" пункта 5 настоящих Правил, и направляет операторам связи доменное имя, сетевой адрес и сведения, указанные в подпункте "в" пункта 4 настоящих Правил, для принятия мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства.

После получения информации, обрабатываемой с нарушением законодательства, оператор связи незамедлительно обязан ограничить доступ к информационному ресурсу, в том числе к сайту в сети "Интернет", на котором осуществляется обработка информации с нарушением законодательства Российской Федерации в области персональных данных, за исключением случая, предусмотренного абзацем третьим пункта 5.1 статьи 46 Федерального закона "О связи".

10. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение 3 рабочих дней со дня получения акта об отмене акта об ограничении доступа осуществляет:

б) уведомление провайдера и (или) операторов связи о внесении в реестр сведений об исключении доменного имени и сетевого адреса из реестра.

11. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение 3 рабочих дней со дня получения от владельца сайта, провайдера или оператора связи извещения об устранении нарушения законодательства Российской Федерации в области персональных данных проверяет изложенные в нем сведения, а также осуществляет следующие действия:

а) в случае устранения нарушения - принимает решение об исключении доменного имени и сетевого адреса из реестра, вносит в реестр сведения, указанные в подпунктах "ж" - "и" пункта 5 настоящих Правил, а также уведомляет владельца сайта, провайдера и операторов связи об исключении доменного имени и сетевого адреса из реестра;

б) в случае неустранения нарушения - принимает решение об отказе в исключении доменного имени и сетевого адреса из реестра, а также уведомляет владельца сайта, провайдера или оператора связи о принятом решении.

Критерии
определения оператора автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных" - организации, зарегистрированной на территории Российской Федерации, в целях привлечения к формированию и ведению такого реестра
(утв. постановлением Правительства РФ от 19 августа 2015 г. N 857)

1. Наличие технической возможности для приема обращений субъектов персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных.

2. Наличие технических и организационных возможностей для ведения автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных", включая возможность взаимодействия с провайдерами хостинга и операторами связи, оказывающими услуги по предоставлению доступа к информационно-телекоммуникационной сети "Интернет".

В соответствии с частями 3 и 4 статьи 155 Федерального закона "Об информации, информационных технологиях и о защите информации" Правительство Российской Федерации постановляет:

1. Утвердить прилагаемые:

Правила создания, формирования и ведения автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных";

критерии определения оператора автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных" - организации, зарегистрированной на территории Российской Федерации, в целях привлечения к формированию и ведению такого реестра.

Председатель Правительства

Российской Федерации Д.Медведев

УТВЕРЖДЕНЫ
постановлением Правительства
Российской Федерации
от 19 августа 2015 г. № 857

ПРАВИЛА
создания, формирования и ведения автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных"

1. Автоматизированная информационная система "Реестр нарушителей прав субъектов персональных данных" (далее - реестр) создается в целях ограничения доступа к информации в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных (далее - информация, обрабатываемая с нарушением законодательства).

2. Создание, формирование и ведение реестра осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций.

3. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций может привлечь к формированию и ведению реестра организацию, зарегистрированную на территории Российской Федерации, соответствующую критериям определения оператора автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных" - организации, зарегистрированной на территории Российской Федерации, в целях привлечения к формированию и ведению такого реестра, утвержденным постановлением Правительства Российской Федерации от 19 августа 2015 г. № 857 "Об автоматизированной информационной системе "Реестр нарушителей прав субъектов персональных данных".

4. Реестр включает в себя:

а) доменные имена и (или) указатели страниц сайтов в сети "Интернет", содержащих информацию, обрабатываемую с нарушением законодательства (далее - доменные имена);

б) сетевые адреса, позволяющие идентифицировать сайты в сети "Интернет", содержащие информацию, обрабатываемую с нарушением законодательства (далее соответственно - сайты, сетевые адреса);

в) указание на вступивший в законную силу судебный акт о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства (далее - акт об ограничении доступа), включая наименование суда, номер дела, содержание нарушения законодательства Российской Федерации в области персональных данных, изложенное в резолютивной части судебного акта, дату вынесения судебного акта и дату его вступления в законную силу;

г) дату и время направления Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций операторам связи сведений, указанных в подпунктах "а" - "в" настоящего пункта, для осуществления мероприятий, ограничивающих доступ к информации, обрабатываемой с нарушением законодательства;

д) информацию об устранении нарушения законодательства Российской Федерации в области персональных данных.

5. Информация об устранении нарушения законодательства Российской Федерации в области персональных данных включает в себя:

а) дату и время получения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций акта об ограничении доступа;

б) сведения о провайдере хостинга или ином лице, обеспечивающих обработку информации в сети "Интернет" с нарушением законодательства Российской Федерации в области персональных данных (далее - провайдеры), включая их наименования и адреса электронной почты;

в) дату и время направления провайдеру уведомления о нарушении законодательства Российской Федерации в области персональных данных;

г) дату и время внесения доменного имени в реестр;

д) дату и время внесения сетевого адреса в реестр;

е) сведения о вступившем в законную силу судебном акте об отмене ранее принятого судебного акта об ограничении доступа (далее - акт об отмене акта об ограничении доступа), включая наименование суда, номер дела, дату вынесения судебного акта и дату вступления его в законную силу;

ж) сведения о решении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций об исключении доменного имени и сетевого адреса из реестра;

з) дату и время внесения в реестр сведений об исключении доменного имени из реестра;

и) дату и время внесения в реестр сведений об исключении сетевого адреса из реестра.

6. Во исполнение акта об ограничении доступа в реестр вносятся сведения, указанные в подпунктах "а" - "г" пункта 4 и "а" - "д" пункта 5 настоящих Правил.

7. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение 3 рабочих дней со дня получения акта об ограничении доступа осуществляет:

а) внесение в реестр сведений, указанных в подпунктах "а", "в" пункта 4 и подпункте "а" пункта 5 настоящих Правил;

б) определение провайдера;

в) направление провайдеру на русском и английском языках в электронном виде уведомления о нарушении законодательства Российской Федерации в области персональных данных с информацией в отношении акта об ограничении доступа, доменном имени, сетевом адресе, а также с требованием принять меры по устранению нарушения законодательства Российской Федерации в области персональных данных, указанные в акте об ограничении доступа;

г) внесение в реестр сведений, указанных в подпунктах "б" - "г" пункта 5 настоящих Правил.

8. Основанием для включения в реестр сведений, указанных в подпунктах "з" и "и" пункта 5 настоящих Правил, является вступивший в законную силу акт об отмене акта об ограничении доступа или решение Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций об исключении доменного имени и сетевого адреса из реестра.

9. По истечении 3 рабочих дней со дня направления уведомления провайдеру Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций проверяет устранение нарушений, указанных в акте об ограничении доступа.

В случае отсутствия доступа к информации, обрабатываемой с нарушением законодательства, или устранения нарушения, указанного в акте об ограничении доступа, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций принимает решение об исключении доменного имени и сетевого адреса из реестра, а также вносит в реестр сведения, указанные в подпунктах "ж" и "з" пункта 5 настоящих Правил.

При наличии доступа к информации, обрабатываемой с нарушением законодательства, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций вносит в реестр сведения, указанные в подпункте "б" пункта 4 и подпункте "д" пункта 5 настоящих Правил, и направляет операторам связи доменное имя, сетевой адрес и сведения, указанные в подпункте "в" пункта 4 настоящих Правил, для принятия мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства.

10. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение 3 рабочих дней со дня получения акта об отмене акта об ограничении доступа осуществляет:

а) внесение в реестр сведений, указанных в подпунктах "е", "з" и "и" пункта 5 настоящих Правил;

б) уведомление провайдера и (или) операторов связи о внесении в реестр сведений об исключении доменного имени и сетевого адреса из реестра.

11. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение 3 рабочих дней со дня получения от владельца сайта, провайдера или оператора связи извещения об устранении нарушения законодательства Российской Федерации в области персональных данных проверяет изложенные в нем сведения, а также осуществляет следующие действия:

а) в случае устранения нарушения - принимает решение об исключении доменного имени и сетевого адреса из реестра, вносит в реестр сведения, указанные в подпунктах "ж" - "и" пункта 5 настоящих Правил, а также уведомляет владельца сайта, провайдера и операторов связи об исключении доменного имени и сетевого адреса из реестра;

б) в случае неустранения нарушения - принимает решение об отказе в исключении доменного имени и сетевого адреса из реестра, а также уведомляет владельца сайта, провайдера или оператора связи о принятом решении.

УТВЕРЖДЕНЫ
постановлением Правительства
Российской Федерации
от 19 августа 2015 г. № 857

КРИТЕРИИ
определения оператора автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных" - организации, зарегистрированной на территории Российской Федерации, в целях привлечения к формированию и ведению такого реестра

1. Наличие технической возможности для приема обращений субъектов персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных.

2. Наличие технических и организационных возможностей для ведения автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных", включая возможность взаимодействия с провайдерами хостинга и операторами связи, оказывающими услуги по предоставлению доступа к информационно-телекоммуникационной сети "Интернет".

На портале раскрытия информации о готовящихся нормативных актах опубликован проект Постановления Правительства РФ «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных ». Сейчас проект находится на обсуждении, которое должно закончиться 23 мая.

Казалось бы, Постановление должно конкретизировать нормы закона № 152-ФЗ «О персональных данных», но на деле определяет, как именно будет реализоваться другой федеральный закон - № 242-ФЗ, требующий создание реестра нарушителей № 152-ФЗ и переноса персональных данных россиян на территорию РФ. В проекте указано, что Реестр должен содержать адреса сайтов, которые данное требование игнорируют, и что доступ к ним должен блокироваться российскими провайдерами. Фактически, это - ещё один «чёрный список».

Александр Барышников, руководитель направления департамента консалтинга и аудита компании «Информзащита» , напоминает: «Операторы связи, оказывающие услуги доступа к Интернету, уже выполняют требования закона №149-ФЗ «Об информации, информационных технологиях и защите информации» по ограничению доступа к сведениям, распространяемым с нарушением закона. Как известно, такая информация обрабатывается с использованием единой автоматизированной информационной системы «Единый реестр доменных имен, указателей страниц сайтов в сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено» (далее - Единый реестр). Порядок работы с Реестром нарушителей прав субъектов персональных данных очень похож на порядок работы с Единым реестром, поэтому у операторов, оказывающих услуги доступа к Интернету, не должны вызвать каких-либо технических или организационных сложностей обсуждаемые требования Постановления ».

В свою очередь, Елена Республиканская, эксперт продукта «Контур. Персональные данные» СКБ «Контур» , заверяет: «В создаваемый Реестр нарушителей попадут компании, зарегистрированные на территории Российской Федерации, которые обрабатывают информацию в Интернете с нарушением законодательства о персональных данных. Важно, что компания может попасть в Реестр только на основании вступившего в законную силу судебного акта, а не решения Роскомнадзора. При устранении нарушений эти компании могут быть исключены из Реестра. Чаще всего обработка персональных данных сотрудников и клиентов осуществляется внутри предприятий, без размещения в Интернете, и такие компании в Реестр нарушителей не попадут. В группе риска оказываются Интернет-магазины, туристические агентства, гостиницы и другие предприятия, обрабатывающие персональные данные в Сети ».

Как отмечает в своём Алексей Лукацкий, бизнес-консультант Cisco по информационной безопасности , «не так страшен 242-ФЗ, как его малюют. Лишний раз подтверждается идея, высказанная на одном из совещаний на Старой площади, что бояться надо иностранным Интернет-компаниям, которые могут влиять на российское общественное мнение (таким как социальные сети и поисковые системы). В отношении остальных операторов ПДн применение этих норм представляется более чем непростым. А уж тем более это сложно при обработке во внутренних системах компаний, находящихся за пределами России, ПДн их сотрудников или клиентов. В Интернете такие данные обычно не публикуются и не обрабатываются, а следовательно, блокировать доступ не к чему и вносить в Реестр нечего ».

Правда, Лукацкий тут же оговаривается: «На закрытых встречах замглавы РКН г-жа Приезжева утверждала, что закон распространяется и на тех, кто представительств в России не имеет, но имеет русскоязычные разделы на своих сайтах ». Такой подход практиковался некоторыми американскими судьями, которые распространяли юрисдикцию США даже на те сайты, которые просто имели англоязычные разделы, поскольку доступ к ним, теоретически, могли получить и граждане США.

Евгений Чернышёв, руководитель Комитета по информационной политике партии «Правое дело» , считает, что подготовка Постановления связана с передачей полномочий, связанных с контролем над Интернетом, коммерческому предприятию при Роскомнадзоре. «Требования Постановления относятся исключительно к оператору этого списка; также описывается, что нужно хранить в Реестре, - отмечает он. - Сейчас Реестр запрещённых сайтов находится в ведении Роскомнадзора, который не прочь избавиться от столь тяжкого бремени. Как сообщают независимые источники, практически решено, что вести Реестр запрещённых сайтов (а с большой долей вероятности - и Реестр нарушителей 152-ФЗ) будет ФГУП «Главный радиочастотный центр», дочерняя организация Роскомнадзора. Поскольку РКН, Госдума и даже Президент проконтролировать исполнение 152-ФЗ операторами или владельцами Интернет-сервисов не может, полагаю, что это - документ из серии "нужно больше золота", хотя прямо указано, что дополнительное финансирование не потребуется. В этом году, возможно, и не потребуется. »

По мнению Наны Куликовой, управляющего партнёра агентства «Русинтернетком» , Реестр начнёт работать не сразу. «Как показывает практика, требования выполняться будут, но не всеми, не сразу и, возможно, не так, как нужно, - поясняет она. - Так всегда бывает. Сначала - медленно и с трудом, а потом - всё быстрее и привычнее. Для обеспечения более точного и оперативного выполнения конкретных требований стоит уделить внимание какому-либо показательному случаю, чтобы все понимали, почему, зачем и как. В этом плане можно воспользоваться опытом Запада. Такой метод покажется кому-то жестковатым, но, к сожалению, иначе новой инициативе не прижиться. »

А партнёр юридического бюро «Байбуз и партнёры» Вадим Байбуз поясняет: «Не знаю, готовы ли российские операторы выполнять требования данного Постановления, но, согласно ст. 315 УК Российской Федерации, неисполнение решения суда коммерческой организацией является уголовно наказуемым деянием, максимальное наказание за которое составляет два года лишения свободы. Поскольку включать нарушителей в Реестр предполагается на основе судебных решений, в случае неисполнения оператором такого судебного акта его должностные лица рискуют быть привлечёнными к уголовной ответственности ».

1 сентября 2015 года сучилось то, о чем мы уже давно предупреждали всех сайтовладельцев и веб-разработчиков: вступил в силу Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». Если Вы внимательно следите за обновлениями нашей новостной ленты, или посещали наш , то должны помнить, что данный закон внес изменения в порядок ограничения доступа в сети Интернет к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных.

В рамках реализации упомянутых изменений был создан «Реестр нарушителей прав субъектов персональных данных ». Как можно догадаться, основной задачей данного реестра является ограничение доступа к интернет-ресурсам, нарушающим российское законодательство о персональных данных. Таким образом, если какой-либо Интернет-ресурс допускает нарушения при обработке персональных данных и этот факт установлен вступившим в законную силу решением суда, то, согласно части 6 статьи 15.5. Федерального закона от 27.07.2006 № 149-ФЗ, пострадавший субъект персональных данных имеет право обратиться в Роскомнадзор с заявлением о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства РФ в области персональных данных.

Форма данного заявления утверждена приказом Роскомнадзора от 22 июля 2015 г. № 85 (зарегистрирован в Минюсте России 17 августа). Согласно данному приказу в заявлении должны быть указаны сведения о заявителе (Ф.И.О., паспортные данные, СНИЛС, адрес, телефон), а также сведения о судебном акте (номер дела, наименование суда, дата принятия судебного акта), реквизиты исполнительного листа, сведения об информационных ресурсах, содержащих информацию, обрабатываемую с нарушением законодательства в области персональных данных (доменное имя, сетевой адрес, указатели страниц интернет-сайта).

На приведенных ниже иллюстрациях можно ознакомиться с перечнем полей формы заявления о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, размещенной на официальном сайте Роскомнадзора:




Следует также отметить, что уже 9 сентября 2015 года на сайте Роскомнадзора появилась информация о внесении Интернет-ресурса abonenty-chast2.pw в реестр нарушителей прав субъектов персональных данных. Согласно представленной информации на страницах этого ресурса некорректно обрабатывались данные о ФИО, дате рождения, адресе, телефоне и месте работы более 1,5 млн. граждан России. Таким образом, можно констатировать, что запуск «Реестра нарушителей прав субъектов персональных данных» прошел вполне успешно.

В этой связи будет не лишним напомнить, что Центр «Эксперт» предоставляет специальную услугу - оптимизация обработки персональных данных на сайте , в рамках которой ведущие специалисты Центра «Эксперт» осуществляют аудит процессов обработки персональных данных на сайте и подготавливают пакет документов, включающий подробные инструкции по приведению сайта в соответствие с нормами действующего законодательства о персональных данных (а также сами тексты согласий, договоров и положений, регламентирующих порядок обработки персональных данных на сайте ).

Зарекся некоторое время назад комментировать проекты законов и прочих нормативных правовых актов, поскольку от окончательной редакции они порой отличаются радикально, если будут приняты вообще.

Но решил сделать исключение из правил. Уж очень удивительный акт готовится – законопроект № 553424-6 «О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях) ».

Про него уже отпостили Алексей Лукацкий и Сергей Борисов , но есть нюансы, которых я в их комментариях не увидел и на которые хотелось бы обратить внимание. Поскольку рожденное в недрах Госдумы не подлежит опубликованию на «Едином портале для размещения информации о разработке федеральными органами исполнительной власти проектов нормативных правовых актов и результатов их общественного обсуждения», приходится пользоваться личным блогом для этого самого общественного обсуждения.

О сути закона высказались уже многие, сводится она к двум принципиальным моментам – размещению баз с персональными данными россиян только на территории России (с некоторыми допустимыми исключениями) и созданию очередного реестра, теперь - нарушителей прав субъектов персональных данных. Все остальное – некая обвязка к реализации этих двух основных идей.

По поводу размещения баз персональных данных россиян в России . Удивительна не сама идея суверенности баз, об этом разговоры идут очень давно, а как раз эти самые исключения. Предполагается, что на территории России будет все, но кое-что можно хостить и за ее пределами, а именно – сайты госорганов (пункт 2 части 1 ст.6 152-ФЗ, отдельно выделю базы данных судебных приставов – п.3 части 1 ст.6 152-ФЗ), государственных внебюджетных фондов, любых органов власти и самоуправления, а также организаций, оказывающих государственные и муниципальные услуги (п.4 части 1 ст.6 152-ФЗ).

Мне почему-то казалось, что должно быть ровно наоборот – коммерсанты пусть разбираются с клиентами сами, где находятся их сервера баз данных, а вот госорганы, муниципалы и организации, специально созданные для реализации их полномочий, – за рубеж ни-ни. Сначала я не поверил своим глазам, перечитал статью 1 законопроекта раз десять – точно, им можно. Т.е. систему персонифицированного учета, созданную в соответствии с Федеральным законом «Об обязательном медицинском страховании», или сайт госуслуг или муниципальных услуг города Верхневольтовска захостить где-нибудь в Германии или Латвии – это, пожалуйста, а вот базу данных АБС и веб-сайт банка - стопроцентной дочки зарубежного, или booking .com , где россияне имели неосторожность забронировать гостиницу или арендовать машину – будьте добры перенести в Россию. Я про booking .com не шучу и не ошибаюсь – постоянные требования депутатов и сенаторов проверить на предмет исполнения российского законодательства Google , Twitter или Facebook говорят о том, что законодатели ставят вопрос именно так. Иначе – заблокировать, и точка. Интересен также вопрос, каким образом оператор должен определить, россиянин ему персональные данные прислал или нет. Для абсолютного большинства сайтов указывать гражданство или паспортные данные не нужно.

По поводу включения оператора в реестр нарушителей прав субъектов персональных данных и блокировки ресурса. Попадание в реестр, в соответствии с законопроектом, происходит на основании вступившего в законную силу судебного акта. А теперь – вопрос в студию. Какого именно акта? О чем? В соответствии со ст.2 законопроекта, реестр создается «в целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных» Т.е. речь идет о судебном акте, в котором определен виновный в нарушении такого законодательства? Или о судебном акте, прямо требующем блокировки сайта? Если об акте с указанием виновного – это только ст.13.11 КоАП в нынешней редакции, или вообще любое нарушение, связанное с этим законодательством? Могу навскидку предложить целый набор таки случаев:

· Статья 5.27 КоАП (Нарушение законодательства о труде и об охране труда) – если речь идет о нарушении требований главы 14 Трудового кодекса «Защита персональных данных», например, на сайте опубликованы персональные данные работников без их письменного согласия;

· Статья 5.39 КоАП (Отказ в предоставлении гражданину информации) – если оператор не ответил на запрос субъекта, поданный через сайт;

· Статья 13.12 КоАП (Нарушение правил защиты информации, часть 6) – если для защиты сайта используются несертифицированные средства защиты информации или межсетевой экран стоит не того класса защищенности, который указан в Приказе ФСТЭК № 21, а канал сайта не шифруется сертифицированным СКЗИ;

· Статья 13.13 КоАП (Незаконная деятельность в области защиты информации) – если оператор построил защиту своего сайта сам, а лицензии на ТЗКИ у него нет;

· Статья 19.7 КоАП (Непредставление сведений (информации)) – если оператор обрабатывает персональные данные на сайте, а Роскомнадзор об обработке не уведомил;

· Статья 137 УК РФ (Нарушение неприкосновенности частной жизни) – если на сайте собирается и выкладывается информация о частной жизни, а суд посчитал это незаконным;

· Статья 138 УК РФ (Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений) – если оператор, например, выложил на сайте частное письмо, SMS -сообщение или протокол телефонного соединения;

· И с некоторой натяжкой – статья 140 УК РФ (Отказ в предоставлении гражданину информации), если ст 5.39 КоАП показалось мало.

Еще одна проблема, заложенная в законопроекте – а как Роскомнадзор будет узнавать о вступлении в силу решения суда о нарушении законодательства? Обязанности судов это делать в законопроекте не заложено, как и прямого решения суда о блокировке. Предлагается несколько экзотический путь – право субъекта на обращение в Роскомнадзор с заявлением о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства в области персональных данных на основании вступившего в силу судебного акта по утвержденной Роскомнадзором форме. А если субъект не обратится, как надзорный орган будет выполнять возложенные на него законом функции? Одни вопросы без ответов…

И еще один маленький, но существенный момент. На ряд операторов законом возлагается обязанность раскрывать на своем официальном сайте в сети интернет определенные сведения . Например, Приказ ФСФР от 10.01.2006 № 06-117/пз-н «Об утверждении положения о раскрытии информации эмитентами эмиссионных ценных бумаг» подробно расписывает порядок раскрытия на сайте предусмотренной законом «О рынке ценных бумаг» информации, обязывая предоставить пользователям «свободный и необременительный доступ» к ней и обеспечить этот доступ «в течение сроков, установленных нормативными правовыми актами, на одной странице в сети Интернет». А за нарушение, между прочим, штраф от 700 тысяч до миллиона рублей. Или Указание Банка России от 16.01.2004 № 1379-У «Об оценке финансовой устойчивости банка в целях признания ее достаточной для участия в системе страхования вкладов» признает банк обеспечивающим доступность информации о лицах, оказывающих существенное (прямое или косвенное) влияние на решения, принимаемые органами управления банка, неограниченному кругу лиц, если на официальном сайте банка или на официальном сайте Банка России размещена информация о них. Отсутствие письменного подтверждения банка о раскрытии неограниченному кругу лиц этой информации – основание для отказа в выдаче лицензии на привлечение во вклады денежных средств физических лиц, не больше и не меньше.

А теперь представим себе – эмитент ценных бумаг или банк нарушил закон о персональных данных , не разместив, например, на сайте политику в отношении обработки персональных данных, и привлечен за это к ответственности. Ситуация вполне реальная, о таких случаях не так давно писал . Решение суда вступило в законную силу, сайт заблокировали, а тут совсем к другому регулятору пришла жалоба, что нельзя получить доступ к информации, подлежащей обязательному раскрытию. Немая сцена. Занавес.

И наконец. Законопроект написан с ошибками и неточностями. Как вам, например, фраза «оператор реестра исключает выгрузки для операторов связи доменное имя, указатель страницы сайта в сети «Интернет» или сетевой адрес, позволяющий идентифицировать сайт в сети «Интернет», на основании обращения владельца сайта в сети «Интернет», провайдера хостинга или оператора связи, оказывающего услуги по предоставлению доступа к информационно-телекоммуникационной сети «Интернет», не позднее чем в течение трех дней со дня такого обращения после принятия мер по устранению нарушения законодательства Российской Федерации в области персональных данных, либо на основании вступившего в законную силу решения суда об отмене ранее принятого акта суда». Я, как ни старался, так и не понял, кто и что должен сделать.

В общем, по моему скромному мнению, закон в таком виде принимать не только нельзя, но и очень вредно, поскольку последствия его принятия будут совершенно непредсказуемы, причем в тех областях, о которых авторы явно и не думали.


Рекомендуем также