Меню Услуги и практики Кейсы Запрос
Клиенты и кейсы
Актуально

Для того, чтобы нивелировать финансовые риски и существенно повысить управляемость и прозрачность процесса выбора поставщика, эксперты практики Управленческого консалтинга предлагают провести аудит отдела закупок.

Оставить заявку
Отправьте сообщение и мы свяжемся с Вами в ближайшее время
Актуально

Отчетность по МСФО в последние годы становится все более востребованной не только со стороны компаний, которых обязует это делать законодательство, но и среди тех, кто стремится продемонстрировать прозрачность ведения деятельности. Эксперты практики Аудита и МСФО предлагают профессиональную поддержку по подготовке отчетности в соответствии с международными стандартами.

Оставить заявку
Отправьте сообщение и мы свяжемся с Вами в ближайшее время
Свяжитесь с нами
Отправьте сообщение и наши менеджеры свяжутся с вами в самое короткое время
Аудиторско-консалтинговая группа «ДЕЛОВОЙ ПРОФИЛЬ»
127015, г. Москва, ул. Вятская, д. 70
info@delprof.ru
+7 (495) 740-16-01
Клиенты и кейсы
Что вы ищете?
Главная Пресс-центр Публикации экспертов
Хранение и обработка персональных данных

Хранение и обработка персональных данных

Федеральный закон №152-ФЗ от 27.07.2006 «О персональных данных» (с изменениями, внесенными Федеральным законом №242-ФЗ от 22.07.2014)

Ч.5 ст.18 - При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

ч.1 ст.6 ФЗ №152 - Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

п.2 - обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

п.3 - обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

п.4 - обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

п.8 - обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

ВЫВОД ИЗ ЗАКОНА: если обработка персональных данных (в т.ч. сбор) осуществляется не в указанных выше целях, предусмотренных ч.1 ст.6 ФЗ №152, то на нее распространяется требование ч.5 ст.18 указанного ФЗ о нахождении баз данных с соответствующими персональными данными на территории РФ.

 

В отношении указанного вопроса существует ряд позиций государственных органов, которые противоречат друг другу:

Позиция Государственно-правового управления Президента РФ.

«Запрещено все, что прямо не разрешено законом», а именно:

  • Базы данных должны находиться только в РФ.

  • Дублирующие базы данных (имеются ввиду расположенные за рубежом) или актуальные копии данных в ФЗ №242 не упомянуты => запрещены.

  • Запреты из ФЗ №242 распространяются в т.ч. и на персональные данные, ранее находящиеся за пределами РФ (т.е. до вступления в силу ФЗ №242). 

Позиция Роскомнадзора

  • Формирование и актуализация баз данных с персональными данными российских граждан должны осуществляться на территории РФ. Требования Закона № 242-ФЗ не позволяют осуществлять отдельные процедуры, в том числе «хранение персональных данных» в базах данных на территории иностранного государства.

  • Каждый случай, в котором при сборе персональных данных будет осуществляться одновременное хранение баз данных на территории РФ и иностранного государства, будет являться нарушением Закона № 242-ФЗ, поскольку оператор при сборе персональных данных допустит их хранение в базах данных за пределами РФ. После сбора персональных данных, т.е. после формирования баз данных на территории РФ, недопустимо изменение условий ее хранения путем переноса баз данных на территорию иностранного государства.

  • Нормы Закона № 152-ФЗ не применяются за пределами территории РФ. Зарубежная обработка персональных данных регулируется нормативными правовыми актами тех стран, в которых она осуществляется.

ВАЖНО: Роскомнадзор не упоминает о наличии обратной силы Закона №242, однако, вследствие схожести позиций с ГПУ Президента РФ, можно предположить, что требования распространяются в т.ч. на базы данных за рубежом, существовавшие до вступления Закона в силу.

Кроме того, разъяснения Роскомнадзора не являются официальными разъяснениями.

Позиция Минкомсвязи

«Разрешено все, что не запрещено законом», а именно:

  • Субъект персональных данных имеет право дать согласие на обработку своих персональных данных и предоставить их любому юридическому или физическому лицу, находящемуся как на территории РФ, так и за ее пределами.

  • Информационная система персональных данных может обладать географически распределенной структурой. Часть ее элементов может находиться за пределами РФ.

  • Применение дублирующих баз данных, находящихся на территории РФ или за ее пределами, прямо не запрещено действующим законодательством РФ.

  • Закон № 242-ФЗ обратной силы не имеет. Следовательно, его положения не распространяются на правоотношения с иностранными лицами, ведущими базы данных с персональными данными, оформленные до 1 сентября 2015 г.

  • Обработка персональных данных для целей, не предусмотренных международным договором РФ или законом, может быть осуществлена оператором в рамках исполнения требований, предусмотренных ч. 5 ст. 18 Закона № 152-ФЗ, путем размещения в центрах обработки данных на территории РФ БД, содержащей персональные данные граждан РФ, большего размера или аналогичного объему персональных данных, передаваемому на территорию иностранного государства.

В данном контексте следует указать действия, которые могут быть совершены лицом, обладающим персональными данными:

  1. Перенос баз данных целиком на территорию РФ. Риск – минимальный, поскольку выполняется наиболее жесткое требование.

  2. Обезличивание персональных данных, передаваемых в зарубежные базы данных. Риск – высокий, поскольку требование об отсутствии зарубежных баз данных (поддерживаемое рядом государственных органов) не выполняется.

  3. Отказ от обработки персональных данных с помощью резидента РФ.  Сбор, систематизация и хранение персональных данных осуществляется с помощью организации за пределами РФ. Такая компания не подпадает под российскую юрисдикцию. Риск – средний. С одной стороны указанный способ соответствует позициям Роскомнадзора и Минкомсвязи, с другой стороны могут возникнуть сложности в части обоснования передачи персональных данных зарубежным операторам (в том числе от самих субъектов персональных данных).

  4. Промежуточная база данных в РФ. Данный способ подразумевает создание на территории РФ промежуточной информационной системы или базы данных с целью хранения, уточнения, удаления собираемых в России персональных данных и их последующей передачи для обработки другому оператору, в том числе за границу. Процессы в зарубежных системах, связанные с последующей обработкой персональных данных, сохраняются неизменными или адаптируются для автоматического использования данных из России. Риск – низкий.

Уведомление в Роскомнадзор

Ч.2 ст. 22 ФЗ №152

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

ВЫВОД: в указанной ситуации, если есть соответствие по указанным пунктам, уведомление в Роскомнадзор подавать не нужно. В остальных случаях уведомление подается в установленном порядке.



Источник: Пресс-центр Группы «ДЕЛОВОЙ ПРОФИЛЬ», ФСС «Финансовый директор»

Автор материала
Герман Ковешников
Консультант по правовым вопросам практики Налогов и права
Комментарий эксперта
Если вы – представитель СМИ и вам требуется комментарий эксперта, пожалуйста заполните форму.
Подпишитесь
на новости
Получайте самые актуальные публикации из новостной ленты

Вам может быть интересно

Комплексная экспертиза для агрокомпании
Цифровая модернизация производственной компании: как специалистам удалось повысить эффективность управления

Другие публикации экспертов

Александра Шнипова
Заместитель руководителя практики Управленческого консалтинга

На фоне глобального тренда на декарбонизацию и «озеленение» экономики развитие неэнергетического несырьевого экспорта названо одним из приоритетных направлений экономической политики РФ. О нынешнем соотношении сырьевого и несырьевого отечественного экспорта, а также о перспективах роста – в комментарии Заместителя руководителя практики Управленческого консалтинга Александры Шниповой для Российской газеты.

Олег Пахомов
Руководитель практики Управленческого консалтинга

Здравоохранение, по словам мэра Москвы Сергея Собянина, является крупнейшие статьей расходов столичного бюджета. Об успехах строительства медучреждений в Москве и о том, что было сделано для обеспечения жителей столицы качественными медуслугами – в комментарии Олега Пахомова, Руководителя практики Управленческого консалтинга, для Газеты.ру.

Александр Силаков
Партнер практики Налогов и права
Правительство увеличит базовые ставки НДПИ и введет акцизы на металлургическую продукцию. Некоторые пороговые значения налоговых ставок уже определены, а к расчету налога на добычу вовсе изменят подход. Каковы могут быть последствия и каким еще рискам подвергнется отрасль – на эти и другие вопросы газете «Деловой Петербург» ответил Александр Силаков, Партнер практики Налогов и права.
Запросить предложение
Задать вопрос
Запросить комментарий эксперта