Правильно ли я храню персональные данные?

PR-2582

Роскомнадзор поймал первых нарушителей закона о локализации данных. Глава ведомства Александр Жаров рассказал о четырёх компаниях, которые не выполнили требования закона о хранении персональных данных россиян. Закон действует почти год, но до сих пор не все пользователи понимают, что именно запрещено и как в связи с этим жить дальше. Рассказываем, кто освобожден от исполнения закона, как отреагировали на него крупнейшие мировые корпорации, что грозит нарушителям. Кроме этого, публикуем чек-лист на тему: «Как узнать, правильно ли хранятся мои данные».

Александр Жаров рассказал, что РКН проверил 600 компаний — четырём нарушителям дали еще полгода на то, чтобы они привели системы в соответствие с законодательством.

Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» вступил в силу с 1 сентября 2015 года. Планировалось, что закон начнет действовать на год позже, но депутаты перенесли срок. По словам представителя комитета по информполитике, эта мера — вынужденная: «Она призвана усилить информационную безопасность страны, граждан. Вызвана она усложнением международной ситуации».

В тексте говорится: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона» (ч. 5 ст. 18 ФЗ «О персональных данных»)«. Т.е., если оператор так или иначе имеет дело с персональными данными российских пользователей, он обязан хранить эти данные на территории РФ. Отметим, что закон не запрещает дублировать информацию — хранить данные одновременно и на российском сервере, и на зарубежном.

Россияне же получили право требовать удаления данных о себе, если они размещены с нарушением.

Министр связи Николай Никифоров объяснял, что «если те или иные виды деятельности регулируются международными соглашениями или профильным законодательством, они не попадают под действие этого закона». Минкомсвязи, например, освободило от исполнения закона зарубежные системы бронирования авиабилетов (иначе глобальные дистрибьюторские системы Amadeus, Galileo, KIU и подобные просто отключили бы российские авиакомпании).

Всего в РКН направили уведомления о локализации персональных данных россиян около 45 тыс. организаций.

Многие крупные иностранные организации согласились с российскими требованиями: данные перенесли Avito, Samsung, Lenovo, AliExpress, Ebay, PayPal, Uber, Booking.com, Apple, Google и многие другие компании. Непонятной остаётся ситуация с Facebook — по последней информации, представители соцсети отказались от «переезда», и по идее Роскомнадзор должен заблокировать ресурс.

Как объяснял директор по общественной политике Facebook в Скандинавии, Центральной и Восточной Европе и России Томас Мируп Кристенсен, Facebook счёл переезд экономически невыгодным, а информацию из аккаунтов пользователей компания не считает персональными данными.

Закон трактует термин «персональные данные» так: «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Можем предположить, что email — не персональные данные (его хозяин «не определен» и «не определяем»), а вот сочетание email и ФИО — вполне. Т.е. аккаунты пользователей Facebook (по крайней мере, большинство) точно подпадают под определение российского законодательства. 14 июня появилась информация, что Минкомсвязи предлагает сделать формулировку еще строже — относить к персональным любые личные данные (включая, например, историю поиска), но окончательного решения по этому поводу пока нет.

В сентябре же РКН создал реестр нарушителей закона «О персональных данных» — только за первые два месяца в него попали около 10 сайтов. Кроме блокировки сайта-нарушителя (по решению суда), его владельцам грозят штрафы от 500 рублей (для граждан) до 10 тыс. рублей (для юридических лиц) по ст. 13.11 КоАП. Нарушители закона «О персональных данных» кроме административной ответственности несут гражданскую, уголовную и дисциплинарную. В самых серьёзных случаях штрафы могут достигать 300 тыс. рублей.

На момент написания статьи на сайте РКН были сведения о 358 239 операторах персональных данных.

До конца текущего года РКН планирует проверить еще около 900 компаний. По информации «Газета.ру» всего за 2015 год ведомство выписало штрафов за нарушения в области хранения и обработки персональных данных россиян на 10,4 млн руб. Начальник Управления по защите прав субъектов персональных данных Юрий Контемиров сообщал о 1448 выявленных случаях нарушений.

Если вы не уверены в том, что ваш оператор правильно хранит личные данные, можете проверить это самостоятельно. Во-первых, убедитесь, что этот оператор внесен в реестр РКН (например, регистрационный номер Selectel — 78-16-003207). Второй шаг — сделать запрос своему оператору с просьбой предоставить информацию о локализации ваших персональных данных — закон обязывает оператора ответить на такой запрос (в Selectel хранение и обработка данных регулируется регламентом «Сбор и хранение персональных данных»).

Запрос должен быть письменным, с указанием паспортных данных, описанием правоотношений с оператором обработки данных и с конкретизированным вопросом/запросом. Вы имеете право запросить:

      • подтверждение факта обработки персональных данных оператором;
      • правовые основания и цели обработки персональных данных;
      • цели и применяемые оператором способы обработки персональных данных;
      • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
      • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
      • сроки обработки персональных данных, в том числе сроки их хранения;
      • порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
      • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
      • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.

Отметим ещё раз: запросить такую информацию — ваше законное право, и оператор не может в нём отказать. Будьте уверены, что не нарушаете закон, без дополнительных сторонних проверок.