12.05.2015

Как будет действовать реестр нарушителей закона... не о персональных данных?

В канун Дня Победы стал доступен проект Постановления Правительства "Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных", который разработан во исполнение в соответствии с частями 3, 4 статьи 15.5 Федерального закона... "Об информации, информационных технологиях и о защите информации", а не "О персональных данных", как часто ошибаются многие эксперты и журналисты. Согласно ФЗ-242 именно трехглавый закон у нас определяет, как будут наказывать нарушителей, нет, не всего закона о персональных данных, а тех, кто в нарушении закона публикует персональные данные в Интернет. Статья 15.5 четко про это говорит в самом начале: "В целях ограничения доступа к информации в сети "Интернет", обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, создается автоматизированная информационная система "Реестр нарушителей прав субъектов персональных данных".

Второе важное замечание относительно данного реестра, которое надо дать, - нарушение должно быть признано судом, а не Роскомнадзором. В части 5, статьи 15.5 четко сказано, что "основанием для включения в реестр нарушителей информации, указанной в части 2 настоящей статьи, является вступивший в законную силу судебный акт".

Иными словами, не так страшен ФЗ-242, как его малюют. Лишний раз подтверждается идея, высказанная на одном из совещаний на Старой площади, что бояться надо иностранным Интернет-компаниям, которые могут влиять на общественное мнение российских граждан (социальные сети и поисковые системы). В отношении остальных операторов ПДн применение данных норм представляется более чем непростым. А уж в случае обработки ПДн работников или клиентов компании во внутренних информационных системах компании, находящихся за пределами РФ, тем более. В Интернете эти данные обычно не публикуются и не обрабатываются, а следовательно блокировать доступ не к чему и вносить в реестр нечего.

Но есть парочка "но"... Первое касается ситуации с обработкой ПДн на Интернет-магазинах, гостиницах, форумах и т.п. Они в полной мере "попадают" под ст.15.5 ФЗ-149. Разумеется, если их владельцы имеют представительства на территории России. Это как минимум. На закрытых встречах замглавы РКН, г-жа Приезжева, утверждала также, что закон распространяется и на тех, кто представительств не имеет, но имеет русскоязычные разделы на своих сайтах. Комментировать не буду.

Второе "но" касается наказания. Если нельзя заблокировать доступ к базам данных, хранящим ПДн за пределами РФ (а это пока запрещено и РКН именно так трактует эту норму ФЗ-242), то это не значит, что у РКН нет рычагов воздействия на оператора-нарушителя. Не забываем, что они имеют право выдавать предписания об устранении выявленных нарушений и в случае его невыполнения существует наказание именно за отказ от выполнения этого предписания. Так что учитывайте.

2 коммент.:

Михаил Юрьевич Емельянников комментирует...
Этот комментарий был удален автором.
Михаил Юрьевич Емельянников комментирует...

Это не совсем так: "Если нельзя заблокировать доступ к базам данных, хранящим ПДн за пределами РФ (а это пока запрещено и РКН именно так трактует эту норму ФЗ-242)". Можно, уже вовсю применяется и без 242-ФЗ по решениям российских судов в отношении иностранных ресурсов (по нормам, связанным с размещением информации, запрещенной в РФ). И РКН трактует совсем не так. Вот, например. http://pravo.ru/news/view/107223/. Есть и другие примеры