3. 242-ФЗ от 21.07.2014 «О внесении изменений в отдельные законодательные акты РФ…».
Суть:
•Идея №1 (ст.15.5 149-ФЗ): «В целях ограничения доступа к информации в сети "Интернет", обрабатываемой с нарушением законодательства РФ в области ПДн, создается автоматизированная информационная система «Реестр нарушителей прав субъектов ПДн» …
•Идея №2 (в ст.18.п.5 152-ФЗ): «При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего ФЗ.» …
242-ФЗ
4. 1.Отсутствует требование о запрете хранения ПДн за пределами РФ
2.Отсутствует требование о хранении ПДн только на территории РФ
3.Отсутствуют требования и рекомендации по использованию «базы данных», упомянутой в законе
4.Отсутствуют требования по формату и сроку хранения ПДн
5.В 152-ФЗ остались положения про трансграничную передачу ПДн
«Трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.»
Что сейчас про ПДн?
5. Статья 12. Трансграничная передача ПДн
1. Трансграничная передача ПДн на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, осуществляется в соответствии с настоящим ФЗ и может быть запрещена или ограничена в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
2. Уполномоченный орган по защите прав субъектов ПДн утверждает перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн и обеспечивающих адекватную защиту прав субъектов ПДн. Государство, не являющееся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности ПДн.
3. Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача ПДн, обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления трансграничной передачи ПДн.
4. Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн;
2) предусмотренных международными договорами Российской Федерации;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
4) исполнения договора, стороной которого является субъект ПДн;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц при невозможности получения согласия в письменной форме субъекта ПДн.
152-ФЗ ст.12
6. Вариант 3. Ничего, формально и так используют базы данных, находящихся на территории
Вариант 1. Ничего, риски принимают Возможные штраф минимальны* (10 000 рублей), вероятность проверки минимальна (в 2013 году РКН провел 2418 проверок, из них 1801 плановых)
Вариант 2. Ничего, выжидают Законодательство по ПДн слишком часто меняется: 152-ФЗ 14 раз (существенно в 2011); подход по защите ПДн уже 3й (в 2012 утверждено ПП1119)
Вариант 4. Переделывают ИТ-инфраструктуру Строят/арендуют ЦОДы, закупают дополнительные системы хранения данных
* - хотя уже несколько лет ожидаем повышение штрафов…
$$$
Что делают операторы по 242-ФЗ?
7. И все было бы хорошо и безоблачно.
Но есть еще и 97-ФЗ, который на самом деле не «о блогерах»…
8. 97-ФЗ от 05.05.2014 (ред. от 21.07.2014) «О внесении изменений в 149-ФЗ…»
Суть:
•Идея №1 про обязанности организатора распространения информации в сети "Интернет"
«Организатором распространения информации в сети "Интернет" является лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет"». – довольно неконкретный термин, который можно очень гибко использовать …
•Идея №2 про блогеров
«Владелец сайта и (или) страницы сайта в сети "Интернет", на которых размещается общедоступная информация и доступ к которым в течение суток составляет более трех тысяч пользователей сети "Интернет"».
•Идея №3: Новые статьи (штрафы) в КоАП
97-ФЗ
9. •Ст.10.1 п.3. Организатор распространения информации в сети "Интернет" обязан хранить на территории РФ информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков или иных электронных сообщений пользователей сети "Интернет" и информацию об этих пользователях в течение шести месяцев с момента окончания осуществления таких действий, а также предоставлять указанную информацию уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, в случаях, установленных федеральными законами.
•…
+КоАП Статья 13.31 (новая). Неисполнение обязанностей организатором распространения информации в сети "Интернет: … Штраф до 500 000 рублей
Обязанности организатора распространения…
Вступил в силу с 1 августа 2014 года
10. Спасибо за внимание!
www.infowatch.ru
+7 495 22 900 22
Андрей Прозоров, CISM
Мой твиттер: twitter.com/3dwave
Мой блог: 80na20.blogspot.com