FZ 242 về bảo vệ dữ liệu cá nhân. Luật liên bang 242 (Luật liên bang về dữ liệu cá nhân): thay đổi và nhận xét

Tại Nga, có một luật riêng, theo đó các tổ chức và cá nhân khác nhau phải thực hiện các giao dịch với dữ liệu cá nhân - Luật Liên bang số 152. Nhà lập pháp định kỳ thay đổi hành vi pháp lý có liên quan. Đặc biệt, vào ngày 1 tháng 9 năm 2015, các định mức của Luật Liên bang số 242 có hiệu lực, sau khi xuất bản một số định luật mới cơ bản xuất hiện trong Luật Liên bang số 152. Họ là gì? Ai có nghĩa vụ tuân thủ các quy định có liên quan của pháp luật?

Luật Liên bang về Dữ liệu Cá nhân là gì?

Cần chú ý đặc biệt đến vấn đề cơ bản này: Luật số 242-FZ, có hiệu lực từ ngày 01 tháng 9 năm 2015, là một văn bản quy phạm sửa đổi một nguồn luật cơ bản khác - Luật liên bang số 152, được thông qua vào tháng 7 năm 2006. Do đó, các từ ngữ trong Luật số 242 chỉ nên được xem xét trong bối cảnh của những quy định có trong Luật Liên bang số 152.

Hành động pháp lý cơ bản - Luật liên bang số 152, được thành lập trong luật của Liên bang Nga có các loại hình pháp lý như:

- dữ liệu cá nhân;

- Người điều hành các thông tin liên quan;

- xử lý dữ liệu cá nhân.

Theo thể loại pháp luật đầu tiên, nhà lập pháp quy định hiểu bất kỳ thông tin nào trực tiếp hoặc gián tiếp nói đến cá nhân. Ví dụ: có thể là tên đầy đủ, thông tin cá nhân, thông tin liên lạc.

Thể loại pháp luật thứ hai trong luật được hiểu như là một cơ quan nhà nước hoặc thành phố, một tổ chức hoặc một cá nhân, độc lập hoặc trong quá trình tương tác với các thực thể khác, tiến hành thủ tục xử lý dữ liệu cũng như xác định thành phần và hoạt động của họ với họ.

Theo loại hình pháp lý thứ ba, nhà lập pháp quy định hiểu bất kỳ hoạt động hoặc trình tự nào có liên quan đến dữ liệu cá nhân và được thực hiện thông qua việc sử dụng các công cụ tự động hóa hoặc không có chúng.

Các hoạt động cơ bản với dữ liệu cá nhân, được xác định bởi Luật số 152: thu thập, ghi chép, lưu trữ, chỉnh sửa, sử dụng, chuyển, chặn, xóa. Về mặt nguyên tắc, tại thời điểm thông qua có thể được coi là khá mới đối với hệ thống pháp luật của Liên bang Nga. Trước đó, doanh thu của dữ liệu cá nhân được quy định bởi luật pháp Nga khá hời hợt.

Sự mới lạ của Luật liên bang № 152

Luật về dữ liệu cá nhân được thông qua tại Liên bang Nga được thiết kế để đưa hệ thống luật pháp trong nước gần hơn với các tiêu chuẩn thế giới nhằm đảm bảo tính bí mật của trao đổi thông tin - trước tiên được trình bày dưới dạng điện tử và được sử dụng trong khuôn khổ của truyền thông trực tuyến. Tuy nhiên, Luật liên bang số 152 đều tạo ra môi trường pháp lý cũng để đảm bảo bảo vệ các dữ liệu ngoại tuyến khác nhau.

Theo quy định này, một số lớp dữ liệu cá nhân đã được xác định yêu cầu sử dụng các thuật toán bảo vệ nhất định. Ngoài ra, luật số 152 của liên bang đã đưa ra các định mức phù hợp với doanh thu của nhiều dữ liệu khác nhau có thể được thực hiện trong các hệ thống thông tin chuyên biệt - những thứ đòi hỏi trình độ cao của các quản trị viên, cũng như có giấy phép để thực hiện giao dịch với dữ liệu cá nhân.

Mặc dù luật liên bang số 152 đã được ban hành trong năm 2006, trong thực tế các điều khoản chính của nó cho các nhà khai thác dữ liệu cá nhân trở thành bắt buộc chỉ từ ngày 1 tháng 7 năm 2011. Kể từ thời điểm đó, các sửa đổi khác nhau đã được thực hiện định kỳ với nguồn luật thích hợp, như chúng tôi đã nói ở trên. Đặc biệt là những điều đã được các cơ quan liên bang thông qua theo Luật 242-FZ. Hãy xem xét các tính năng của nó một cách chi tiết hơn.

Các đặc điểm của việc áp dụng các hành vi pháp lý

Luật liên bang 242-FZ "Về dữ liệu cá nhân" (cụ thể hơn, "Về sửa đổi các văn bản về các quy định về xử lý dữ liệu") đã thiết lập điều khoản theo đó nhà khai thác có nghĩa vụ phải xử lý và lưu trữ thông tin trên các máy chủ nằm trên lãnh thổ của Nga . Hoặc nếu nó offline dữ liệu cá nhân - đặt chúng trong cơ sở dữ liệu nằm trong RF. Lưu ý rằng trong luật 242-FZ, có một số trường hợp ngoại lệ đối với quy tắc này, và điều này lại được phản ánh trong các điều khoản của Luật liên bang số 152.

Một sắc thái khác của pháp luật là thông qua nhà lập pháp của nó cũng đã có những thay đổi không chỉ với hành động pháp lý chính điều chỉnh các hoạt động với dữ liệu cá nhân, mà còn cho các nguồn khác. Cụ thể, luật 149 "Về thông tin", cũng như 249 ("về bảo vệ các thực thể pháp lý và các khu công nghiệp dưới sự kiểm soát của Nhà nước và Thành phố").

Các phương tiện truyền thông Nga tích cực nhân rộng thông tin rằng Roskomnadzor, cơ quan chịu trách nhiệm bảo đảm sự tuân thủ của các nhà khai thác dữ liệu với các điều khoản của FZ-242 về Bảo vệ Dữ liệu Cá nhân vào năm 2016 sẽ tiến hành kiểm tra các nhà cung cấp lớn nhất các giải pháp CNTT đang hoạt động tại Liên bang Nga. Đặc biệt, người ta nói rằng mục đích của Roskomnadzor là tìm hiểu xem các yêu cầu của luật pháp đang được đề cập đến có được thực hiện bởi các nhãn hiệu như Microsoft, Vkontakte, HeadHunter, LaModa hay không. Người ta giả định rằng bộ sẽ thực hiện khoảng một nghìn lần kiểm tra khác nhau.

Được khởi xướng bởi chính quyền liên bang thông qua việc công bố Luật Liên bang số 242-FZ, những thay đổi đối với dữ liệu cá nhân trong luật cơ bản có thể xác định trước nhu cầu các nhà khai thác lớn phải thực hiện cập nhật phần cứng và phần mềm đáng kể. Tuy nhiên, nhiệm vụ này phải được giải quyết bằng thương hiệu, nếu không cơ sở hạ tầng do họ sử dụng không đáp ứng được yêu cầu của luật pháp, Roskomnadzor có thể phạt tiền cho công ty.

Một vai trò quan trọng trong kiểm toán được cho là được chơi bởi người sử dụng các giải pháp CNTT khác nhau. Nếu họ bắt đầu nghi ngờ rằng dữ liệu của họ không hoàn toàn an toàn thì thông tin về dịch vụ có liên quan đến các giao dịch với dữ liệu có liên quan có thể được người dùng chuyển trực tiếp đến Roskomnadzor. Do đó, sẽ phải bắt đầu kiểm tra dịch vụ để tuân thủ các quy định của pháp luật 242-FZ.

Sẽ rất hữu ích khi xem xét phạm vi của nguồn luật đang được xem xét.

Luật số 242: phạm vi của nguồn luật

Các điểm thảo luận chính trong trường hợp này là liệu các thẩm quyền FZ-242 "về bảo vệ dữ liệu cá nhân" mở rộng cho các công ty nước ngoài mà một mặt cung cấp dịch vụ cho người dùng Nga, ở bên kia, nằm bên ngoài Liên bang Nga cả hai từ một quan điểm pháp lý của xem, Và về cơ sở hạ tầng liên quan.

Các điều khoản riêng biệt trong luật pháp đang được đề cập, sẽ xác định một cách độc nhất địa lý hoạt động của nó, nhà lập pháp không chấp thuận. Do đó, để tìm câu trả lời cho câu hỏi đang được xem xét, cần phải áp dụng cho các hành vi pháp lý khác.

Do đó, theo luật về thông tin đang hoạt động tại Liên bang Nga, việc sử dụng các loại cơ sở hạ tầng truyền thông khác nhau trên lãnh thổ Nga phải được thực hiện có tính đến các tiêu chuẩn đã được chấp thuận trong luật của Liên bang Nga. Do đó, nếu bạn tuân thủ quy tắc này, bạn có thể đi đến kết luận rằng Luật liên bang số 242-FZ chỉ áp dụng cho những dịch vụ duy nhất sử dụng cơ sở hạ tầng đặt tại Nga.

Định nghĩa về người điều khiển dữ liệu cá nhân ở Nga

Tiêu chí quan trọng nhất để xác định thẩm quyền của nguồn pháp luật đang được xem xét là trọng tâm của hoạt động của thương hiệu sở hữu một hoặc một dịch vụ khác. Nếu một trang web chủ yếu phục vụ người dùng Nga, thì nó phải được coi là một đối tượng của quy định về việc áp dụng các điều khoản của luật số 242. Thực tế là dịch vụ nhằm thu thập dữ liệu cá nhân của công dân Nga có thể được thiết lập trên cơ sở:

- trong cấu trúc địa chỉ của trang web tên miền .ru, .su, .рф hoặc ví dụ: Moscow được sử dụng;

- nội dung của trang web bằng tiếng Nga;

- Các trang của cổng thông tin có cơ hội tham gia vào quan hệ pháp lý với dịch vụ bằng cách sử dụng các hình thức hợp đồng được soạn thảo theo Bộ luật dân sự của Liên bang Nga.

Trên thực tế, các nhà khai thác dữ liệu thuộc thẩm quyền của Luật liên bang số 242, có thể là một loạt các cấu trúc - ví dụ như dịch vụ nhân sự của doanh nghiệp, ngân hàng, trung tâm dịch vụ khách hàng. Tất cả đều có nghĩa vụ đảm bảo sự tuân thủ các hoạt động của họ với các yêu cầu của luật pháp đang được đề cập đến.

Luật số 242 về áp dụng hồi tố

Luật số 242-FZ sửa đổi luật liên bang số 152 đã được ban hành sau thời hạn luật lệ số 152 của Liên bang, cũng như các sửa đổi trước đó nhưng nó cần thiết phải giải thích thêm về các điều khoản của đạo luật chính. Đặc biệt, giữa các luật sư đã có một cuộc thảo luận về việc Luật số 242 nên được coi là có hiệu lực hồi tố.

Phổ biến nhất là quan điểm cho rằng để đánh giá hiệu lực pháp luật của hành vi pháp luật đang được đề cập đến, cần phải áp dụng các nguyên tắc pháp luật chung, theo đó không nên thực hiện việc bổ sung các luật này làm xấu đi tình hình của một số người hoặc thiết lập bổn phận cho họ .

Các ngoại lệ có thể được thực hiện đối với các hành vi pháp lý, trong đó nguyên tắc hiệu lực hồi tố được xác định trực tiếp. Luật 242-FZ không có quy định như vậy. Do đó, chỉ những người tham gia trong các mối quan hệ pháp lý bắt đầu xử lý dữ liệu cá nhân sau khi có hành vi pháp lý liên quan đã có hiệu lực pháp luật được yêu cầu phải tuân thủ. Đó là, từ ngày 1 tháng 9 năm 2015.

Bản chất của việc thu thập dữ liệu

Một điểm thảo luận khác đặc trưng của hành động pháp lý đang được xem xét là định nghĩa khái niệm "thu thập dữ liệu" dựa trên từ ngữ có trong đó. Sự phức tạp của các diễn giải trong trường hợp này là gì? Thực tế là theo các điều khoản của Luật liên bang số 152, đã được sửa đổi thông qua việc công bố Luật Liên bang số 242-FZ, những thay đổi đối với dữ liệu cá nhân, các nhà khai thác được yêu cầu phải đảm bảo nội địa hóa các tệp tin trong quá trình thu thập thông tin có liên quan. Ngược lại, bản chất của thủ tục này không được quy định rõ ràng trong luật, và dĩ nhiên, không góp phần thực hiện hiệu quả các quy định của nó trong một số bối cảnh.

Trong môi trường chuyên gia, quan điểm phổ biến rộng rãi là theo "bộ sưu tập", hợp pháp để hiểu quy trình mà người điều khiển dữ liệu nhận trực tiếp từ một số thực thể hoặc các bên thứ ba được uỷ quyền. Nó chỉ ra rằng bản địa hóa theo quy định của Luật Liên bang 242 chỉ là những dữ liệu cá nhân mà nhà khai thác thu được trong thực tế là ông đã tiến hành một công việc có mục đích để thu thập dữ liệu có liên quan. Và nếu, ví dụ, người vận hành đã vô tình nhận được chúng - như là một sự lựa chọn, dưới dạng một bức thư gửi đến e-mail, thì không cần phải bản địa hóa theo luật 242-FZ. Tương tự như vậy, coi như là một quy trình thu thập dữ liệu mà họ nhận được từ một công ty từ một công ty khác, nếu họ đại diện cho điện thoại và các chi tiết liên lạc khác của đại diện công ty.

Đặt dữ liệu ở nước ngoài theo Đạo luật số 242

Đặc điểm quan trọng nhất tiếp theo là thực thi pháp luật khi thực hiện các quy định của pháp luật số 242 là khả năng đưa dữ liệu của các nhà khai thác ra nước ngoài trong những trường hợp cần thiết, ví dụ, nếu đó là vấn đề sao lưu các thông tin liên quan trên các máy chủ thuê của các nhà cung cấp nước ngoài. Một mặt, theo luật số 242-FZ, dữ liệu cá nhân nên được đặt trên các máy chủ nằm trên lãnh thổ của Nga. Mặt khác, tất nhiên, có thể có nhu cầu khách quan về việc triển khai các nguồn lực nước ngoài.

Như các luật sư lưu ý, việc chuyển dữ liệu xuyên biên giới mà không vi phạm các quy định của pháp luật về quản lý, về nguyên tắc là có thể. Dựa vào những quy định của luật pháp, vị trí này có thể được coi là hợp pháp?

Khi chuyển giao qua biên giới là hợp pháp

Thực tế là luật về nội địa hoá dữ liệu cá nhân 242-FZ không bao gồm các điều khoản về điều chỉnh các hành vi pháp lý quy định việc chuyển giao các tập tin có chứa thông tin cá nhân về công dân Liên bang Nga và các đối tượng khác thuộc phạm vi luật số 152-FZ. Do đó, thủ tục này là hợp pháp, cũng như cho đến thời điểm sửa đổi luật được xem xét đã được thông qua.

Nhưng một lần nữa chúng ta chú ý - việc truyền dữ liệu xuyên biên giới có thể được thực hiện chỉ với mục đích sao lưu các tệp tin tương ứng. Do đó, bản gốc của chúng phải nhất thiết phải được đặt trên các máy chủ của Liên bang Nga. Đồng thời, nhà điều hành dữ liệu tự chịu trách nhiệm cho việc sử dụng trái phép các tập tin trên các máy chủ nước ngoài bởi những người hoặc những người khác. Ngoài ra, ông có khả năng sắp xếp hệ thống thông tin của mình với các yêu cầu được thiết lập theo các quy định của luật pháp của nhà nước trên lãnh thổ mà máy chủ được đặt.

Xử phạt vi phạm pháp luật số 242

Vì vậy, chúng tôi đã nghiên cứu những gì nhà lập pháp giới thiệu bằng cách ban hành luật 242-FZ về sửa đổi luật liên bang số 152. Sẽ rất hữu ích khi xem xét các nhà điều hành dữ liệu xử phạt có thể gặp phải những gì vi phạm các quy định của nguồn có liên quan của luật pháp.

Thứ nhất, một hình phạt hành chính có thể được áp dụng đối với công ty phải tuân theo các yêu cầu của luật số 242. Giá trị của nó là 500-1000 rúp cho các quan chức, cũng như 10 lần số tiền lớn hơn - cho các thực thể pháp lý. Hình phạt này được thiết lập nghệ thuật. 13.11 của Bộ luật Hành chính của Liên bang Nga.

Thứ hai, xử phạt như vậy có thể được áp dụng, như nhập của người điều khiển dữ liệu trong sổ đăng ký của người vi phạm. Đây là một cơ sở dữ liệu tự động bao gồm tên miền và địa chỉ của các trang của các trang web nơi dữ liệu cá nhân được xử lý vi phạm. Lưu ý rằng sự bao gồm của người điều hành trong sổ đăng ký có liên quan được thực hiện trên cơ sở một quyết định của tòa án. Ngoại lệ là sau khi hủy bỏ hoặc sau khi công ty loại bỏ các vi phạm pháp luật đang được đề cập.

Thứ ba, truy cập vào một trang web mà trên đó xử lý không đúng các dữ liệu cá nhân được thực hiện có thể bị hạn chế. Thủ tục này được thực hiện sau khi chủ thể của dữ liệu cá nhân gửi cho Roskomnadzor một ứng dụng về sự cần thiết phải có biện pháp để ngăn chặn các nguồn tài nguyên tương ứng.

Ngoài ra, tài liệu này cũng cần được bổ sung bằng một hành vi tư pháp, bắt đầu có hiệu lực. Sau đó, Roskomnadzor gửi thông tin về vi phạm của chủ sở hữu trang web của Luật số 242 cho nhà cung cấp dịch vụ lưu trữ và nếu chủ sở hữu tài nguyên không loại trừ vi phạm, trang web sẽ bị chặn.

Thủ tục áp dụng hình thức xử phạt đối với người vi phạm các quy định của hành vi pháp lý đang được đề cập nhiều phần tùy thuộc vào thực tiễn thực thi pháp luật. Đối với các nhà khai thác dữ liệu cá nhân, cần phải thường xuyên nghiên cứu nó, cũng như, và các nghiên cứu phân tích khác về các điều khoản của luật số 242-FZ, nhận xét của luật sư đối với ông. Thực hiện các tiêu chuẩn của Luật Liên bang số 152, có tính đến những sửa đổi hiện thời đối với nó, là điều kiện quan trọng nhất cho hoạt động chính xác của các dịch vụ thông tin có liên quan.