The presentation includes some clarifications of the Federal Law No 242-FZ, dated 21 July 2014 and case studies from IP/IT practice which demonstrate experience of Dentons in resolving complex personal data and privacy issues in dynamic Russian environment. The presentation was first delivered at the Conference “Personal Data – New Realities” which was held at Hotel Four Seasons in St. Petersburg on 21 May 2015 and organized by IBM.
Russian Personal Data Legislation: Localization Requirement
1. Практические аспекты требования о
«локализации персональных данных»
21 мая 2015
Конференция компании IBM «Персональные данные – новые реалии»
Санкт-Петербург
Владислав Архипов
советник, кандидат юридических наук, член
консультативного совета Роскомнадзора *
* Владислав Архипов – доцент юридического
факультета Санкт-Петербургского
государственного университета
2. Требование о «локализации персональных данных»
2
Федеральный закон от 21.07.2014 N 242-ФЗ с 1 сентября 2015 года --
статья 18 Закона о персональных данных будет дополнена частью 5
следующего содержания:
«5. При сборе персональных данных, в том числе посредством
информационно-телекоммуникационной сети "Интернет", оператор
обязан обеспечить запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение персональных данных
граждан Российской Федерации с использованием баз данных,
находящихся на территории Российской Федерации, за исключением
случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего
Федерального закона».
21 мая 2015
3. Что ясно на сегодняшний день?
3
Основание выводов -- системная интерпретация действующего
законодательства:
Юрисдикция. Требование о «локализации персональных данных»
будет применяться к российским компаниям (в том числе, дочерним), а
также к филиалам / представительствам иностранных компаний.
Любой формат сбора. Требование о «локализации персональных
данных» распространяется на сбор персональных данных российских
граждан как с использованием Интернета, так и без.
Трансграничная передача возможна. Трансграничная передача
персональных данных, при соблюдении условий, установленных
статьей 12 Закона о персональных данных, не запрещается.
Именно персональные данные. Требование о «локализации
персональных данных» распространяется только на «персональные
данные» как таковые, и не все данные пользователей могут оказаться
персональными.
21 мая 2015
4. Практические ситуации: опыт Dentons (отдельные
примеры)
4
Запросы клиентов Dentons -- характер бизнеса, направленность анализа (отдельные
примеры):
Российская дочерняя компания американской IT-корпорации. Разработка политики
персональных данных.
Филиал иностранной игровой компании в России. Разработка стратегии работы с
персональными данными и отдельных документов для отдельного локального
проекта.
Иностранная игровая компания без филиалов / представительств в России. Оценка
рисков и формирование стратегий снижения рисков в условиях относительной
анонимности пользователей.
Российская дочерняя компания международной медицинской компании. Разработка
бизнес-процессов работы с персональными данными в ходе FCPA-расследования,
предполагающего передачу данных в США.
Иностранная компания – поставщик TV-решений, не имеющая филиалов /
представительств в России. Оценка рисков и формирование стратегий снижения
рисков.
Российская дочерняя компания – поставщик решений в области интернет-рекламы.
Оценка рисков и формирование стратегий снижения рисков.
21 мая 2015
5. Общий алгоритм работы по проектам
5
Общий алгоритм работы по проектам, связанным с персональными
данными и требованием о «локализации»:
21 мая 2015
№ Предмет Основной вопрос Вариант решения
1.
Правовая природа
данных
Являются ли данные
персональными?
Изменение состава
данных (по возможности)
2.
Виды операций с
данными
Какие операции
производятся с данными?
Изменение операций
(пример – использование)
3.
Маршрут «потоков
данных»
Через какие юрисдикции
проходят данные?
Изменение маршрута
данных
4.
Локальные акты
(«политики»)
Отражены ли прямые и
косвенные требования?
Изменения положений /
принятие новых актов
5.
Документы [с]
пользователями
Есть ли полнота по форме
и по содержанию?
Изменение содержания и
формы (в т.ч. способа)
6.
Документы [с]
контрагентами
Имеются ли гарантии в
части данных?
Дополнение документов
гарантиями
6. Критерий 1. Ограничительное толкование понятия
«персональные данные»
6
Согласно п. 9 ст. 3 Закона о персональных данных, обезличивание персональных
данных - действия, в результате которых становится невозможным без использования
дополнительной информации определить принадлежность персональных данных
конкретному субъекту персональных данных.
Если невозможно определить принадлежность персональных данных конкретному
субъекту персональных данных (при буквальном толковании, используемом «по
умолчанию» - как прямую, так и косвенную принадлежность), то такие данные уже не
могут быть персональными.
Пример:
Набор данных А: Фамилия, имя и отчество + номер паспорта + «вымышленный» адрес
электронной почты - это персональные данные.
Набор данных Б: Фамилия, имя и отчество + номер паспорта + «вымышленный» адрес
электронной почты - это уже НЕ персональные данные.
Вывод:
Персональные данные - любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных
данных), позволяющая без использования дополнительной информации определить
принадлежность персональных данных конкретному субъекту персональных данных.
21 мая 2015
7. Критерий 2. Возможность нарушения прав с
использованием данных
7
Согласно ст. 2 Закона о персональных данных, цель данного закона - обеспечение
защиты прав и свобод человека и гражданина при обработке его персональных данных,
в том числе защиты прав на неприкосновенность частной жизни, личную и семейную
тайну.
Если возможно недобросовестное использование данных, относящихся к конкретному
субъекту, но не позволяющих его однозначно идентифицировать, при котором могут
быть нарушены права такого субъекта, то такие данные находятся в «зоне риска»
признания персональными.
Пример:
«Чувствительные» данные: номер мобильного телефона; данные банковской карты,
не включая имя, фамилию и billing address (т.е. вид платежной системы, срок действия
карты, номер карты и CVC).
Вывод:
Если данные позволяют идентифицировать субъекта без дополнительной информации
– это персональные данные, в любом случае. Если данные не позволяют однозначно
идентифицировать субъекта, но могут «легко» привести к нарушению его прав, то такие
данные – в «зоне риска» признания персональными.
21 мая 2015
8. Персональные данные в судебной практике (2014)
21 мая 2015 8
• Паспортные данные (напр. Апелляционное определение Московского
городского суда от 22.05.2014 г. по делу № 33-14709).
• Данные технического паспорта на дом (напр. Определение Приморского
краевого суда от 28.04.2014 г. по делу № 33-3718).
• Адреса места жительства индивидуальных предпринимателей, указанные
в общедоступном плане проверок (напр. Апелляционное определение
Волгоградского областного суда от 24.04.2014 г. по делу № 33-4427/2014).
• Сведения о пересечении государственной границы (напр. Апелляционное
определение Московского городского суда от 10.04.2014 г. по делу № 33-
11688).
• Адрес регистрации должностного лица, сведения о его доходах и
собственности, распространяемые в непредусмотренных для
официальной процедуры форме (напр. Определение Санкт-
Петербургского городского суда от 31.03.2014 г. № 33-4198/14).
• Данные работника, указанные в трудовом договоре (напр. Апелляционное
определение Верховного суда Республики Саха (Якутия) от 23.10.2013 г. по
делу № 33-4172/13).
9. Общая направленность юридических решений
21 мая 2015 9
В зависимости от особенностей бизнеса и «стартовых условий»:
• Изменение набора данных. Сокращение объема данных с учетом
критериев отнесения данных к категории «персональных данных».
Применимо не во всех областях.
• Делегирование функций, связанных с персональными данными.
Функции могут быть делегированы внутри группы или сторонним
провайдерам.
• Локализация «первичной базы данных» в России. Зарубежные базы
данных могут «обновляться» после российской при соблюдении
правил трансграничной передачи.
10. Изменения законодательства: ограничение
доступа к сетевым ресурсам
10
Тем же законом в Федеральный закон от 27.07.2006 года № 149-ФЗ «Об информации,
информационных технологиях и о защите информации» вводится новая ст. 15.5
«Порядок ограничения доступа к информации, обрабатываемой с нарушением
законодательства Российской Федерации в области персональных данных»
• Реестр. В целях ограничения доступа к информации в сети "Интернет",
обрабатываемой с нарушением законодательства Российской Федерации в области
персональных данных, создается автоматизированная информационная система
"Реестр нарушителей прав субъектов персональных данных
• Судебный акт. Основанием для включения в данный реестр нарушителей
информации является вступивший в законную силу судебный акт.
• Заявление субъекта. Субъект персональных данных вправе обратиться в
федеральный орган исполнительной власти, осуществляющий функции по контролю
и надзору в сфере средств массовой информации, массовых коммуникаций,
информационных технологий и связи, с заявлением о принятии мер по ограничению
доступа к информации, обрабатываемой с нарушением законодательства
Российской Федерации в области персональных данных, на основании вступившего
в законную силу судебного акта. Форма указанного заявления утверждается
федеральным органом исполнительной власти, осуществляющим функции по
контролю и надзору в сфере средств массовой информации, массовых
коммуникаций, информационных технологий и связи.
21 мая 2015
11. Проект нормативного акта: контроль и надзор за
соблюдением требований
11
На публичное обсуждение вынесен проект Постановления Правительства Российской
Федерации «Об утверждении Положения о государственном контроле и надзоре за
соответствием обработки персональных данных требованиям законодательства
Российской Федерации».
• Государственный контроль и надзор – на территории Российской Федерации и
«находящихся под юрисдикцией Российской Федерации территориях» (п. 1).
• Плановые и внеплановые проверки (п. 3).
• Документарные и выездные проверки (п. 4).
• Внеплановые проверки – на основании решения [заместителя] руководителя
[территориального органа] Роскомнадзора по результатам широкого круга оснований
/ источников (п. 7).
• Доступ к IT-инфраструктуре, связанной с персональными данными, при проверке (п.
9).
• Предупреждение о плановой проверке и внеплановой документарной проверке – не
позднее чем в течение 3 дней до проведения (п. 19).
• Предупреждение о внеплановой выездной проверке – не менее чем за 24 часа до
проведения (п. 20).
21 мая 2015
13. Спасибо!
Владислав Архипов
советник
практика по ИС, ИТ и телекоммуникациям
T: +7 812 325 84 44
F: +7 812 325 84 54
E: vladislav.arkhipov@dentons.com
Dentons
БЦ «Северная Столица»
Наб. реки Мойки, д. 36
191186, Санкт-Петербург
Российская Федерация
www.dentons.com
www.arkhipov.info
14. Key
Offices, associate officesx
and facilities*
Associate firms and special alliances*
Kansas City
Edmonton
CalgaryVancouver
San Francisco
Silicon Valley
Los Angeles
Phoenix
Dallas
Toronto
Atlanta
Montreal
Ottawa
New York
Short Hills
Washington, DC
St. Louis
Chicago
London
Milton Keynes
Madrid
Barcelona
Paris
Brussels
Berlin
St. Petersburg
Moscow
Kiev
Warsaw
Istanbul
Prague
Bratislava
Budapest
Frankfurt
BucharestZurich
Baku
Ashgabat
Tashkent
Almaty
Algiers
Casablanca
Tripoli
Noukachott
Praia
Bissau
Accra
São Tomé
Luanda
Cape Town
Johannesburg
Maputo
Port Louis
Lusaka
Dar es Salam
Nairobi
Kamapala
Kigali
Bujumbura
Beirut
Cairo
Muscat
Dubai
Doha
Abu Dhabi
Singapore
Hong Kong
Beijing
Shanghai
New Orleans
Miami
Boston
Amman
Riyadh
Lagos
Tbilisi
Krasnodar
Rostov on Don
Astana
World map
CIS focus
St. Petersburg
Moscow
Kiev
Krasnodar
Rostov on Don
Baku
Ashgabat
Tashkent
Almaty
Astana