Практические аспекты требования о «локализации персональных данных»

21 мая 2015Конференция компании IBM «Персональные данные – новые реалии»Санкт-Петербург

Владислав Архипов советник, кандидат юридических наук, член консультативного совета Роскомнадзора *

* Владислав Архипов – доцент юридического факультета Санкт-Петербургского государственного университета

2

Требование о «локализации персональных данных»

Федеральный закон от 21.07.2014 N 242-ФЗ с 1 сентября 2015 года -- статья 18 Закона о персональных данных будет дополнена частью 5 следующего содержания:

«5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».

21 мая 2015

3

Что ясно на сегодняшний день?

Основание выводов -- системная интерпретация действующего законодательства:

Юрисдикция. Требование о «локализации персональных данных» будет применяться к российским компаниям (в том числе, дочерним), а также к филиалам / представительствам иностранных компаний.

Любой формат сбора. Требование о «локализации персональных данных» распространяется на сбор персональных данных российских граждан как с использованием Интернета, так и без.

Трансграничная передача возможна. Трансграничная передача персональных данных, при соблюдении условий, установленных статьей 12 Закона о персональных данных, не запрещается.

Именно персональные данные. Требование о «локализации персональных данных» распространяется только на «персональные данные» как таковые, и не все данные пользователей могут оказаться персональными.

21 мая 2015

4

Практические ситуации: опыт Dentons (отдельные примеры)

Запросы клиентов Dentons -- характер бизнеса, направленность анализа (отдельные примеры):

Российская дочерняя компания американской IT-корпорации. Разработка политики персональных данных.

Филиал иностранной игровой компании в России. Разработка стратегии работы с

персональными данными и отдельных документов для отдельного локального проекта.

Иностранная игровая компания без филиалов / представительств в России. Оценка рисков и формирование стратегий снижения рисков в условиях относительной анонимности пользователей.

Российская дочерняя компания международной медицинской компании. Разработка бизнес-процессов работы с персональными данными в ходе FCPA-расследования, предполагающего передачу данных в США.

Иностранная компания – поставщик TV-решений, не имеющая филиалов / представительств в

России. Оценка рисков и формирование стратегий снижения рисков.

Российская дочерняя компания – поставщик решений в области интернет-рекламы. Оценка рисков и формирование стратегий снижения рисков.

21 мая 2015

5

Общий алгоритм работы по проектам

Общий алгоритм работы по проектам, связанным с персональными данными и требованием о «локализации»:

21 мая 2015

№ Предмет Основной вопрос Вариант решения

1.Правовая природа данных

Являются ли данные персональными?

Изменение состава данных (по возможности)

2.Виды операций с данными

Какие операции производятся с данными?

Изменение операций (пример – использование)

3.Маршрут «потоков данных»

Через какие юрисдикции проходят данные?

Изменение маршрута данных

4.Локальные акты («политики»)

Отражены ли прямые и косвенные требования?

Изменения положений / принятие новых актов

5.Документы [с] пользователями

Есть ли полнота по форме и по содержанию?

Изменение содержания и формы (в т.ч. способа)

6.Документы [с] контрагентами

Имеются ли гарантии в части данных?

Дополнение документов гарантиями

6

Критерий 1. Ограничительное толкование понятия «персональные данные»

Согласно п. 9 ст. 3 Закона о персональных данных, обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Если невозможно определить принадлежность персональных данных конкретному субъекту персональных данных (при буквальном толковании, используемом «по умолчанию» - как прямую, так и косвенную принадлежность), то такие данные уже не могут быть персональными.

Пример:

Набор данных А: Фамилия, имя и отчество + номер паспорта + «вымышленный» адрес электронной почты - это персональные данные.

Набор данных Б: Фамилия, имя и отчество + номер паспорта + «вымышленный» адрес электронной почты - это уже НЕ персональные данные.

Вывод:

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), позволяющая без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

21 мая 2015

7

Критерий 2. Возможность нарушения прав с использованием данных

Согласно ст. 2 Закона о персональных данных, цель данного закона - обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Если возможно недобросовестное использование данных, относящихся к конкретному субъекту, но не позволяющих его однозначно идентифицировать, при котором могут быть нарушены права такого субъекта, то такие данные находятся в «зоне риска» признания персональными.

Пример:

«Чувствительные» данные: номер мобильного телефона; данные банковской карты, не включая имя, фамилию и billing address (т.е. вид платежной системы, срок действия карты, номер карты и CVC).

Вывод:

Если данные позволяют идентифицировать субъекта без дополнительной информации – это персональные данные, в любом случае. Если данные не позволяют однозначно идентифицировать субъекта, но могут «легко» привести к нарушению его прав, то такие данные – в «зоне риска» признания персональными.

21 мая 2015

8

Персональные данные в судебной практике (2014)

21 мая 2015

• Паспортные данные (напр. Апелляционное определение Московского городского суда от 22.05.2014 г. по делу № 33-14709).

 • Данные технического паспорта на дом (напр. Определение Приморского краевого

суда от 28.04.2014 г. по делу № 33-3718). • Адреса места жительства индивидуальных предпринимателей, указанные в

общедоступном плане проверок (напр. Апелляционное определение Волгоградского областного суда от 24.04.2014 г. по делу № 33-4427/2014).

 • Сведения о пересечении государственной границы (напр. Апелляционное

определение Московского городского суда от 10.04.2014 г. по делу № 33-11688). • Адрес регистрации должностного лица, сведения о его доходах и собственности,

распространяемые в непредусмотренных для официальной процедуры форме (напр. Определение Санкт-Петербургского городского суда от 31.03.2014 г. № 33-4198/14).

 • Данные работника, указанные в трудовом договоре (напр. Апелляционное

определение Верховного суда Республики Саха (Якутия) от 23.10.2013 г. по делу № 33-4172/13).

9

Общая направленность юридических решений

21 мая 2015

В зависимости от особенностей бизнеса и «стартовых условий»:

• Изменение набора данных. Сокращение объема данных с учетом критериев отнесения данных к категории «персональных данных». Применимо не во всех областях.

• Делегирование функций, связанных с персональными данными. Функции могут быть делегированы внутри группы или сторонним провайдерам.

• Локализация «первичной базы данных» в России. Зарубежные базы данных могут «обновляться» после российской при соблюдении правил трансграничной передачи.

10

Изменения законодательства: ограничение доступа к сетевым ресурсам

Тем же законом в Федеральный закон от 27.07.2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» вводится новая ст. 15.5 «Порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных»

• Реестр. В целях ограничения доступа к информации в сети "Интернет", обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, создается автоматизированная информационная система "Реестр нарушителей прав субъектов персональных данных

• Судебный акт. Основанием для включения в данный реестр нарушителей информации является вступивший в законную силу судебный акт.

• Заявление субъекта. Субъект персональных данных вправе обратиться в федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, с заявлением о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, на основании вступившего в законную силу судебного акта. Форма указанного заявления утверждается федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи.

21 мая 2015

11

Проект нормативного акта: контроль и надзор за соблюдением требований

На публичное обсуждение вынесен проект Постановления Правительства Российской Федерации «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации».

• Государственный контроль и надзор – на территории Российской Федерации и «находящихся под юрисдикцией Российской Федерации территориях» (п. 1).

• Плановые и внеплановые проверки (п. 3).

• Документарные и выездные проверки (п. 4).

• Внеплановые проверки – на основании решения [заместителя] руководителя [территориального органа] Роскомнадзора по результатам широкого круга оснований / источников (п. 7).

• Доступ к IT-инфраструктуре, связанной с персональными данными, при проверке (п. 9).

• Предупреждение о плановой проверке и внеплановой документарной проверке – не позднее чем в течение 3 дней до проведения (п. 19).

• Предупреждение о внеплановой выездной проверке – не менее чем за 24 часа до проведения (п. 20).

21 мая 2015

12

Спасибо за внимание!

24 февраля 2015

Спасибо!

Владислав Архиповсоветникпрактика по ИС, ИТ и телекоммуникациямT: +7 812 325 84 44F: +7 812 325 84 54E: vladislav.arkhipov@dentons.com

Dentons

БЦ «Северная Столица»Наб. реки Мойки, д. 36191186, Санкт-ПетербургРоссийская Федерация

www.dentons.com

www.arkhipov.info

Key

Offices, associate officesx and facilities*Associate firms and special alliances*

Kansas City

Edmonton

Calgary Vancouver

San Francisco

Silicon ValleyLos Angeles

Phoenix Dallas

Toronto

Atlanta

MontrealOttawa

New YorkShort Hills

Washington, DCSt. Louis

Chicago

LondonMilton Keynes

MadridBarcelona

Paris

BrusselsBerlin

St. Petersburg

Moscow

Kiev

Warsaw

Istanbul

PragueBratislava

BudapestFrankfurt

BucharestZurich

Baku

AshgabatTashkent

Almaty

AlgiersCasablanca

Tripoli

Noukachott

Praia

Bissau

Accra

São Tomé

Luanda

Cape Town

JohannesburgMaputo

Port Louis

Lusaka

Dar es Salam

Nairobi

Kamapala

KigaliBujumbura

Beirut

Cairo

MuscatDubai

Doha

Abu Dhabi

Singapore

Hong Kong

Beijing

Shanghai

New OrleansMiami

Boston

Amman

Riyadh

Lagos

Tbilisi

KrasnodarRostov on Don

Astana

World mapCIS focus

St. Petersburg

Moscow

Kiev

KrasnodarRostov on Don

Baku

AshgabatTashkent

Almaty

Astana