FZ 242 sobre la protecció de dades personals. Llei federal 242 (Llei federal de dades personals): canvis i comentaris

A Rússia hi ha una llei separada, segons la qual diverses organitzacions i persones estan obligades a realitzar transaccions amb dades personals - Llei Federal No. 152. El legislador canvia periòdicament l'acte jurídic pertinent. En concret, l'1 de setembre de 2015 van entrar en vigor les normes de la Llei Federal No. 242, després de la publicació de la qual es van presentar diverses normes fonamentalment noves en la Llei Federal No. 152. Què són? Qui està obligat a complir les disposicions pertinents de la llei?

Quina és la Llei federal de dades personals?

S'ha de prestar especial atenció a aquest punt fonamental: la Llei N ° 242-FZ, que va entrar en vigor l'1 de setembre de 2015, és un acte normatiu que va modificar una altra font fonamental de la llei: la Llei federal número 152, adoptada el juliol de 2006. Per tant, la redacció continguda en la Llei N ° 242 s'ha de considerar únicament en el context d'aquestes normes contingudes en la Llei Federal No. 152.

L'acte jurídic fonamental: la Llei federal número 152, establerta en la legislació de la Federació de Rússia, categories jurídiques com:

- dades personals;

- l'operador de la informació rellevant;

- processament de dades personals.

Sota la primera categoria legal, el legislador estableix que comprèn qualsevol informació que, directament o indirectament, es refereixi a un individu. Pot ser, per exemple, el seu nom complet, dades personals, informació de contacte.

La segona categoria legal de la llei s'entén com una autoritat estatal o municipal, una organització o una persona que, independentment o durant la interacció amb altres entitats, realitza el procediment de tractament de dades, així com determina la seva composició i operacions amb elles.

En la tercera categoria legal, el legislador estableix que comprèn qualsevol operació o seqüència que sigui rellevant per a les dades personals i que s'implementi mitjançant l'ús d'eines d'automatització o sense elles.

Les operacions bàsiques amb dades personals, definides per la Llei N ° 152: recollida, enregistrament, emmagatzematge, correcció, ús, transferència, bloqueig, supressió. Aquestes categories jurídiques, en principi, en el moment de l'adopció podrien considerar-se bastant noves per al règim jurídic de la Federació de Rússia. Abans d'això, la facturació de les dades personals estava regulada per la legislació russa de manera superficial.

Novetat de la Llei Federal № 152

La llei sobre dades personals adoptada a la Federació de Rússia es va dissenyar, per tant, per apropar l'ordenament jurídic intern als estàndards mundials per assegurar la confidencialitat de l'intercanvi d'informació: en primer lloc, presentat en forma electrònica i utilitzat en el marc de les comunicacions en línia. Però la Llei federal No. 152 també va crear l'entorn legal per garantir la protecció de diverses dades fora de línia.

D'acord amb aquest acte regulador, es van identificar diverses classes de dades personals que requerien l'ús de certs algorismes de protecció. A més, la Llei federal No. 152 va establir normes segons les quals la facturació de diverses dades es podia dur a terme en sistemes d'informació especialitzats, aquells que requereixen una alta qualificació d'administradors, a més d'obtenir llicències per dur a terme operacions amb dades personals.

Malgrat que la Llei Federal No. 152 es va emetre el 2006, en la pràctica, les seves principals disposicions per als operadors de dades personals es van fer obligatòries només a partir de l'1 de juliol de 2011. Des d'aquest moment, s'han realitzat diverses correccions periòdicament a la font de dret apropiada, tal com hem assenyalat anteriorment. En particular, aquells que van ser aprovats per les autoritats federals a través de la Llei 242-FZ. Considerem les seves característiques amb més detall.

Característiques de l'aplicació de l'acte legal

La Llei federal 242-FZ "Sobre dades personals" (més concretament, "Sobre les modificacions de les lleis relatives a l'especificació del processament de dades") va establir la disposició segons la qual els operadors estaven obligats a processar i emmagatzemar informació només als servidors que es troben al territori de Rússia . O si les dades personals són fora de línia, col·loqueu-les a les bases de dades que es troben a la RF. Tingueu en compte que a la llei 242-FZ hi ha una sèrie d'excepcions a aquesta regla -que, al seu torn, es reflecteixen en les disposicions de la Llei Federal No. 152.

Un altre matís de la llei és que a través del seu legislador també s'han realitzat canvis no només al principal acte jurídic que regula operacions amb dades personals, sinó també a altres fonts. És a dir, les lleis 149 "Sobre la informació", així com el 249 ("Sobre la protecció de les entitats legals i IPs sota control estatal i municipal").

Els mitjans de comunicació russos van replicar de manera activa la informació que Roskomnadzor, l'agència responsable de garantir el compliment dels operadors de dades amb les disposicions de la FZ-242 "Sobre la protecció de dades personals", el 2016 realitzarà inspeccions dels proveïdors més grans de solucions informàtiques que operen a la Federació de Rússia. En particular, es va dir que el propòsit de Roskomnadzor és esbrinar si els requisits de la llei en qüestió són complerts per marques com Microsoft, Vkontakte, HeadHunter, LaModa. Es va suposar que el departament durà a terme aproximadament 1 mil controls diferents.

Iniciat per les autoritats federals a través de la publicació de la Llei federal núm. 242-FZ, els canvis en les dades personals en la llei bàsica podrien predeterminar la necessitat que els principals operadors realitzin actualitzacions importants de maquinari i programari. Però aquesta tasca ha de ser resolta per marques, en cas contrari, si la infraestructura utilitzada per ells no compleix els requisits de la llei en qüestió, Roskomnadzor pot imposar una multa a l'empresa.

S'hauria de jugar un paper important en l'auditoria dels usuaris de diverses solucions informàtiques. Si comencen a sospitar que les seves dades no són completament segures, la informació sobre el servei que implica transaccions amb les dades rellevants pot ser transferida pels usuaris directament a Roskomnadzor. El que, al seu torn, haurà d'iniciar una verificació de servei pel compliment de les disposicions de la llei 242-FZ.

Seria útil considerar quina és l'abast de la font de la llei considerada.

Llei 242: l'abast de la font de la llei

El principal punt de discussió en aquest cas és si la jurisdicció FZ-242 "Sobre la protecció de dades de caràcter personal" s'estén a empreses estrangeres que, d'una banda, presten serveis a usuaris russos, de l'altra, es troben fora de la Federació Russa des del punt de vista legal, I en termes de la infraestructura involucrada.

Separar les disposicions de la llei en qüestió, que determinarien únicament la geografia del seu funcionament, el legislador no va aprovar. Per tant, per trobar la resposta a la pregunta que s'està examinant, cal aplicar-la a altres actes jurídics.

Així, d'acord amb la llei sobre informació vigent a la Federació de Rússia, l'ús de diversos tipus d'infraestructures de comunicació en el territori de Rússia hauria de tenir en compte les normes aprovades en la legislació de la Federació de Rússia. Per tant, si segueix aquesta norma, pot arribar a la conclusió que la Llei Federal No. 242-FZ s'aplica només a aquells serveis que utilitzen exclusivament la infraestructura que es troba a Rússia.

La definició de l'operador de dades personals a Rússia

El criteri més important per determinar la jurisdicció de la font de la llei considerada és el focus de l'activitat de la marca que posseeix un o altre servei. Si un lloc serveix principalment als usuaris russos, s'hauria de considerar un objecte de regulació pel que fa a l'aplicació de les disposicions de la llei núm. 242. El fet que el servei es dirigeixi a obtenir dades personals de ciutadans russos es pot establir sobre la base que:

- a l'estructura d'adreces del lloc, s'utilitza el domini .ru, .su, .ruff o, per exemple, Moscou;

- el contingut del lloc està en rus;

- Les pàgines del portal tenen la possibilitat d'establir relacions legals amb el servei mitjançant els formularis de contractes elaborats d'acord amb el Codi civil de la Federació de Rússia.

A la pràctica, els operadors de dades que es troben sota la jurisdicció de la Llei Federal No. 242, poden ser una varietat d'estructures, per exemple, serveis de personal d'empreses, bancs, centres de trucades. Tots ells estan obligats a garantir el compliment de les seves activitats amb els requisits de la llei en qüestió.

Llei N ° 242 pel que fa a la seva retroactivitat

La Llei No. 242-FZ que modifica la Llei Federal No. 152 es va emetre més tard que la pròpia Llei Federal No. 152, així com esmenes anteriors a ella, però va necessitar una nova interpretació de les disposicions de l'acte jurídic principal. En particular, entre els advocats es va discutir si la llei núm. 242 s'ha de considerar que té efectes retroactius.

El més popular és que, per avaluar l'efecte legal de l'acte jurídic en qüestió, cal aplicar els principis legals generals, segons els quals no s'hauria d'exercir l'adaptació d'aquestes lleis que empitjoren la posició de determinades persones o estableixin funcions addicionals per a ells. .

Es poden fer excepcions respecte d'actes jurídics en què es regeix el principi de retroactivitat. La llei de 242-FZ no conté aquestes disposicions. Per tant, només es requereix que els participants en les relacions jurídiques que comencin a processar les dades personals després de l'entrada en vigor de l'acte jurídic corresponent ho compleixin. És a dir, a partir de l'1 de setembre de 2015.

L'essència de la recopilació de dades

Un altre moment discutible que caracteritza l'acte jurídic considerat és la definició del concepte de "recopilació de dades" basat en el text que hi figura. Quina és la complexitat de les interpretacions en aquest cas? El fet és que, d'acord amb les disposicions de la Llei Federal No. 152, que es van modificar mitjançant la publicació de la Llei Federal No. 242-FZ, els canvis en les dades personals, els operadors han d'assegurar la localització dels fitxers en el procés de recollir la informació rellevant. Al seu torn, l'essència d'aquest procediment no està clarament definida en la llei, que, per descomptat, no contribueix a l'aplicació efectiva de les seves disposicions en diversos contextos.

En l'entorn d'experts, el punt de vista és molt estès que, sota la "col·lecció", és legítim comprendre el procés en què l'operador de dades els rep directament d'alguna entitat o de tercers autoritzats. Resulta que localitzar d'acord amb les regles de la Llei federal 242 hauria de ser només aquelles dades personals que l'operador va adquirir en el fet que va dur a terme una tasca intencionada per recollir les dades rellevants. I si, per exemple, l'operador els va rebre accidentalment, com a opció, en forma de carta per correu electrònic, no és necessari localitzar-lo, tal com ho estableix la llei 242-FZ. De la mateixa manera, és erroni considerar com un procés de recollida de dades el seu rebut per una empresa de l'altra, si representen telèfons i altres dades de contacte dels representants de les empreses.

Col·locació de dades a l'estranger segons la llei núm. 242

El següent matís més important que caracteritza la pràctica de l'aplicació de la llei a l'hora d'aplicar les disposicions de la llei núm. 242 és la possibilitat de fer les dades dels operadors a l'estranger en casos necessaris, per exemple, si es tracta de fer una còpia de seguretat de la informació rellevant sobre servidors arrendats a proveïdors estrangers. D'una banda, d'acord amb la llei núm. 242-FZ, les dades personals s'han de col·locar en servidors situats al territori de Rússia. D'altra banda, per descomptat, pot haver-hi una necessitat objectiva de la seva implementació en recursos estrangers.

Com a advocats, és possible la transferència transfronterera de dades sense violar les disposicions de la legislació reguladora, en principi. Segons quines disposicions de la legislació, aquesta posició es pot considerar legítima?

Quan una transferència transfronterera és legal

El fet és que la llei sobre la localització de les dades personals 242-FZ no inclou disposicions sobre ajustos a actes jurídics que regulen la transferència transfronterera de fitxers que continguin informació individualitzada sobre ciutadans de la Federació de Rússia i altres entitats que es troben sota la protecció de la Llei No. 152-FZ. Per tant, aquest procediment és legal, així com fins al moment en què es van adoptar les esmenes a la llei considerada.

Però, una vegada més, ens fixem en la transmissió de dades transfrontereres només per dur a terme els fitxers corresponents. Els seus originals, per tant, han de ser col · locats necessàriament en servidors de la Federació de Rússia. Al mateix temps, l'operador de dades és responsable de l'ús no autoritzat d'arxius en servidors estrangers per part d'aquestes o d'altres persones. A més, és probable que alinee els seus sistemes d'informació amb els requisits establerts per les normes de dret de l'estat en el territori on es troben els servidors.

Sancions per incompliment de la llei núm. 242

Així doncs, hem estudiat el que el legislador introduïa mitjançant l'emissió de la llei 242-FZ de l'esmena a la Llei federal número 152. També serà útil considerar quines operacions de dades de sancions podrien haver trobat que violaven les disposicions de la font de dret pertinent.

En primer lloc, es pot imposar una sanció administrativa a una empresa que està obligada a complir els requisits de la llei núm. 242. El seu valor és de 500 a 1000 rubles per als funcionaris, així com 10 vegades més grans - per a les persones jurídiques. Aquesta pena es defineix l'art. 13.11 del Codi administratiu de la Federació de Rússia.

En segon lloc, aquesta sanció es pot aplicar, com l'entrada de l'operador de les dades en el registre dels infractors. Es tracta d'una base de dades automatitzada que inclou noms de domini i adreces de pàgines de llocs on les dades personals es processen amb infraccions. Tingueu en compte que la inclusió de l'operador en el registre corresponent es realitza sobre la base d'una decisió judicial. Una excepció és després de la seva cancel·lació o després que l'empresa elimini violacions de la llei en qüestió.

En tercer lloc, es pot restringir l'accés a un lloc on es realitza el processament incorrecte de les dades personals. Aquest procediment es du a terme després que l'assumpte de dades personals enviï a Roskomnadzor una sol·licitud sobre la necessitat de prendre mesures per bloquejar el recurs corresponent.

A més, aquest document també s'ha de complementar amb un acte judicial, que va entrar en vigor. Després d'això, Roskomnadzor envia informació sobre les violacions per part del propietari del lloc de la Llei N ° 242 al proveïdor d'allotjament, i si el propietari del recurs no elimina la infracció, el lloc bloqueja.

El procediment per imposar sancions als infractors de les disposicions de l'acte legal en qüestió depèn en gran mesura de la pràctica de l'aplicació de la llei. Per als operadors de dades personals, té sentit estudiar-lo periòdicament, així com, per exemple, i diversos estudis analítics de les disposicions de la llei núm. 242-FZ, comentaris d'advocats. L'execució de les normes de la Llei Federal No. 152, tenint en compte les modificacions actuals, és la condició més important per al correcte funcionament dels serveis d'informació rellevants.