Реестр нарушителей прав субъектов персональных данных в действии. Реестр нарушителей прав субъектов персональных данных в действии Реестр нарушителей прав субъектов персональных данных

Постановление Правительства РФ от 19 августа 2015 г. N 857
"Об автоматизированной информационной системе "Реестр нарушителей прав субъектов персональных данных"

В соответствии с частями 3 и 4 статьи 15.5 Федерального закона "Об информации, информационных технологиях и о защите информации" Правительство Российской Федерации постановляет:

1. Утвердить прилагаемые:

Правила создания, формирования и ведения автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных";

критерии определения оператора автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных" - организации, зарегистрированной на территории Российской Федерации, в целях привлечения к формированию и ведению такого реестра.

Правила
создания, формирования и ведения автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных"
(утв. постановлением

С изменениями и дополнениями от:

1. Автоматизированная информационная система "Реестр нарушителей прав субъектов персональных данных" (далее - реестр) создается в целях ограничения доступа к информации в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных (далее - информация, обрабатываемая с нарушением законодательства).

2. Создание, формирование и ведение реестра осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций.

3. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций может привлечь к формированию и ведению реестра организацию, зарегистрированную на территории Российской Федерации, соответствующую критериям определения оператора автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных" - организации, зарегистрированной на территории Российской Федерации, в целях привлечения к формированию и ведению такого реестра, утвержденным постановлением Правительства Российской Федерации от 19 августа 2015 г. N 857 "Об автоматизированной информационной системе "Реестр нарушителей прав субъектов персональных данных".

4. Реестр включает в себя:

а) доменные имена и (или) указатели страниц сайтов в сети "Интернет", содержащих информацию, обрабатываемую с нарушением законодательства (далее - доменные имена);

б) сетевые адреса, позволяющие идентифицировать сайты в сети "Интернет", содержащие информацию, обрабатываемую с нарушением законодательства (далее соответственно - сайты, сетевые адреса);

в) указание на вступивший в законную силу судебный акт о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства (далее - акт об ограничении доступа), включая наименование суда, номер дела, содержание нарушения законодательства Российской Федерации в области персональных данных, изложенное в резолютивной части судебного акта, дату вынесения судебного акта и дату его вступления в законную силу;

г) дату и время направления Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций операторам связи сведений, указанных в подпунктах "а" - "в" настоящего пункта, для осуществления мероприятий, ограничивающих доступ к информации, обрабатываемой с нарушением законодательства;

5. Информация об устранении нарушения законодательства Российской Федерации в области персональных данных включает в себя:

а) дату и время получения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций акта об ограничении доступа;

б) сведения о провайдере хостинга или ином лице, обеспечивающих обработку информации в сети "Интернет" с нарушением законодательства Российской Федерации в области персональных данных (далее - провайдеры), включая их наименования и адреса электронной почты;

в) дату и время направления провайдеру уведомления о нарушении законодательства Российской Федерации в области персональных данных;

г) дату и время внесения доменного имени в реестр;

д) дату и время внесения сетевого адреса в реестр;

е) сведения о вступившем в законную силу судебном акте об отмене ранее принятого судебного акта об ограничении доступа (далее - акт об отмене акта об ограничении доступа), включая наименование суда, номер дела, дату вынесения судебного акта и дату вступления его в законную силу;

ж) сведения о решении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций об исключении доменного имени и сетевого адреса из реестра;

з) дату и время внесения в реестр сведений об исключении доменного имени из реестра;

и) дату и время внесения в реестр сведений об исключении сетевого адреса из реестра.

7. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение 3 рабочих дней со дня получения акта об ограничении доступа осуществляет:

б) определение провайдера;

в) направление провайдеру на русском и английском языках в электронном виде уведомления о нарушении законодательства Российской Федерации в области персональных данных с информацией в отношении акта об ограничении доступа, доменном имени, сетевом адресе, а также с требованием принять меры по устранению нарушения законодательства Российской Федерации в области персональных данных, указанные в акте об ограничении доступа;

8. Основанием для включения в реестр сведений, указанных в подпунктах "з" и "и" пункта 5 настоящих Правил, является вступивший в законную силу акт об отмене акта об ограничении доступа или решение Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций об исключении доменного имени и сетевого адреса из реестра.

9. По истечении 3 рабочих дней со дня направления уведомления провайдеру Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций проверяет устранение нарушений, указанных в акте об ограничении доступа.

В случае отсутствия доступа к информации, обрабатываемой с нарушением законодательства, или устранения нарушения, указанного в акте об ограничении доступа, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций принимает решение об исключении доменного имени и сетевого адреса из реестра, а также вносит в реестр сведения, указанные в подпунктах "ж" и "з" пункта 5 настоящих Правил.

При наличии доступа к информации, обрабатываемой с нарушением законодательства, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций вносит в реестр сведения, указанные в подпункте "б" пункта 4 и подпункте "д" пункта 5 настоящих Правил, и направляет операторам связи доменное имя, сетевой адрес и сведения, указанные в подпункте "в" пункта 4 настоящих Правил, для принятия мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства.

После получения информации, обрабатываемой с нарушением законодательства, оператор связи незамедлительно обязан ограничить доступ к информационному ресурсу, в том числе к сайту в сети "Интернет", на котором осуществляется обработка информации с нарушением законодательства Российской Федерации в области персональных данных, за исключением случая, предусмотренного абзацем третьим пункта 5.1 статьи 46 Федерального закона "О связи".

10. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение 3 рабочих дней со дня получения акта об отмене акта об ограничении доступа осуществляет:

б) уведомление провайдера и (или) операторов связи о внесении в реестр сведений об исключении доменного имени и сетевого адреса из реестра.

11. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение 3 рабочих дней со дня получения от владельца сайта, провайдера или оператора связи извещения об устранении нарушения законодательства Российской Федерации в области персональных данных проверяет изложенные в нем сведения, а также осуществляет следующие действия:

а) в случае устранения нарушения - принимает решение об исключении доменного имени и сетевого адреса из реестра, вносит в реестр сведения, указанные в подпунктах "ж" - "и" пункта 5 настоящих Правил, а также уведомляет владельца сайта, провайдера и операторов связи об исключении доменного имени и сетевого адреса из реестра;

б) в случае неустранения нарушения - принимает решение об отказе в исключении доменного имени и сетевого адреса из реестра, а также уведомляет владельца сайта, провайдера или оператора связи о принятом решении.

Критерии
определения оператора автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных" - организации, зарегистрированной на территории Российской Федерации, в целях привлечения к формированию и ведению такого реестра
(утв. постановлением Правительства РФ от 19 августа 2015 г. N 857)

1. Наличие технической возможности для приема обращений субъектов персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных.

2. Наличие технических и организационных возможностей для ведения автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных", включая возможность взаимодействия с провайдерами хостинга и операторами связи, оказывающими услуги по предоставлению доступа к информационно-телекоммуникационной сети "Интернет".

На портале раскрытия информации о готовящихся нормативных актах опубликован проект Постановления Правительства РФ «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных ». Сейчас проект находится на обсуждении, которое должно закончиться 23 мая.

Казалось бы, Постановление должно конкретизировать нормы закона № 152-ФЗ «О персональных данных», но на деле определяет, как именно будет реализоваться другой федеральный закон - № 242-ФЗ, требующий создание реестра нарушителей № 152-ФЗ и переноса персональных данных россиян на территорию РФ. В проекте указано, что Реестр должен содержать адреса сайтов, которые данное требование игнорируют, и что доступ к ним должен блокироваться российскими провайдерами. Фактически, это - ещё один «чёрный список».

Александр Барышников, руководитель направления департамента консалтинга и аудита компании «Информзащита» , напоминает: «Операторы связи, оказывающие услуги доступа к Интернету, уже выполняют требования закона №149-ФЗ «Об информации, информационных технологиях и защите информации» по ограничению доступа к сведениям, распространяемым с нарушением закона. Как известно, такая информация обрабатывается с использованием единой автоматизированной информационной системы «Единый реестр доменных имен, указателей страниц сайтов в сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено» (далее - Единый реестр). Порядок работы с Реестром нарушителей прав субъектов персональных данных очень похож на порядок работы с Единым реестром, поэтому у операторов, оказывающих услуги доступа к Интернету, не должны вызвать каких-либо технических или организационных сложностей обсуждаемые требования Постановления ».

В свою очередь, Елена Республиканская, эксперт продукта «Контур. Персональные данные» СКБ «Контур» , заверяет: «В создаваемый Реестр нарушителей попадут компании, зарегистрированные на территории Российской Федерации, которые обрабатывают информацию в Интернете с нарушением законодательства о персональных данных. Важно, что компания может попасть в Реестр только на основании вступившего в законную силу судебного акта, а не решения Роскомнадзора. При устранении нарушений эти компании могут быть исключены из Реестра. Чаще всего обработка персональных данных сотрудников и клиентов осуществляется внутри предприятий, без размещения в Интернете, и такие компании в Реестр нарушителей не попадут. В группе риска оказываются Интернет-магазины, туристические агентства, гостиницы и другие предприятия, обрабатывающие персональные данные в Сети ».

Как отмечает в своём Алексей Лукацкий, бизнес-консультант Cisco по информационной безопасности , «не так страшен 242-ФЗ, как его малюют. Лишний раз подтверждается идея, высказанная на одном из совещаний на Старой площади, что бояться надо иностранным Интернет-компаниям, которые могут влиять на российское общественное мнение (таким как социальные сети и поисковые системы). В отношении остальных операторов ПДн применение этих норм представляется более чем непростым. А уж тем более это сложно при обработке во внутренних системах компаний, находящихся за пределами России, ПДн их сотрудников или клиентов. В Интернете такие данные обычно не публикуются и не обрабатываются, а следовательно, блокировать доступ не к чему и вносить в Реестр нечего ».

Правда, Лукацкий тут же оговаривается: «На закрытых встречах замглавы РКН г-жа Приезжева утверждала, что закон распространяется и на тех, кто представительств в России не имеет, но имеет русскоязычные разделы на своих сайтах ». Такой подход практиковался некоторыми американскими судьями, которые распространяли юрисдикцию США даже на те сайты, которые просто имели англоязычные разделы, поскольку доступ к ним, теоретически, могли получить и граждане США.

Евгений Чернышёв, руководитель Комитета по информационной политике партии «Правое дело» , считает, что подготовка Постановления связана с передачей полномочий, связанных с контролем над Интернетом, коммерческому предприятию при Роскомнадзоре. «Требования Постановления относятся исключительно к оператору этого списка; также описывается, что нужно хранить в Реестре, - отмечает он. - Сейчас Реестр запрещённых сайтов находится в ведении Роскомнадзора, который не прочь избавиться от столь тяжкого бремени. Как сообщают независимые источники, практически решено, что вести Реестр запрещённых сайтов (а с большой долей вероятности - и Реестр нарушителей 152-ФЗ) будет ФГУП «Главный радиочастотный центр», дочерняя организация Роскомнадзора. Поскольку РКН, Госдума и даже Президент проконтролировать исполнение 152-ФЗ операторами или владельцами Интернет-сервисов не может, полагаю, что это - документ из серии "нужно больше золота", хотя прямо указано, что дополнительное финансирование не потребуется. В этом году, возможно, и не потребуется. »

По мнению Наны Куликовой, управляющего партнёра агентства «Русинтернетком» , Реестр начнёт работать не сразу. «Как показывает практика, требования выполняться будут, но не всеми, не сразу и, возможно, не так, как нужно, - поясняет она. - Так всегда бывает. Сначала - медленно и с трудом, а потом - всё быстрее и привычнее. Для обеспечения более точного и оперативного выполнения конкретных требований стоит уделить внимание какому-либо показательному случаю, чтобы все понимали, почему, зачем и как. В этом плане можно воспользоваться опытом Запада. Такой метод покажется кому-то жестковатым, но, к сожалению, иначе новой инициативе не прижиться. »

А партнёр юридического бюро «Байбуз и партнёры» Вадим Байбуз поясняет: «Не знаю, готовы ли российские операторы выполнять требования данного Постановления, но, согласно ст. 315 УК Российской Федерации, неисполнение решения суда коммерческой организацией является уголовно наказуемым деянием, максимальное наказание за которое составляет два года лишения свободы. Поскольку включать нарушителей в Реестр предполагается на основе судебных решений, в случае неисполнения оператором такого судебного акта его должностные лица рискуют быть привлечёнными к уголовной ответственности ».

В соответствии с частями 3 и 4 статьи 155 Федерального закона "Об информации, информационных технологиях и о защите информации" Правительство Российской Федерации постановляет:

1. Утвердить прилагаемые:

Председатель Правительства

Российской Федерации Д.Медведев

УТВЕРЖДЕНЫ
постановлением Правительства
Российской Федерации
от 19 августа 2015 г. № 857

ПРАВИЛА
создания, формирования и ведения автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных"

3. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций может привлечь к формированию и ведению реестра организацию, зарегистрированную на территории Российской Федерации, соответствующую критериям определения оператора автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных" - организации, зарегистрированной на территории Российской Федерации, в целях привлечения к формированию и ведению такого реестра, утвержденным постановлением Правительства Российской Федерации от 19 августа 2015 г. № 857 "Об автоматизированной информационной системе "Реестр нарушителей прав субъектов персональных данных".

4. Реестр включает в себя:

д) информацию об устранении нарушения законодательства Российской Федерации в области персональных данных.

г) дату и время внесения доменного имени в реестр;

д) дату и время внесения сетевого адреса в реестр;

з) дату и время внесения в реестр сведений об исключении доменного имени из реестра;

и) дату и время внесения в реестр сведений об исключении сетевого адреса из реестра.

6. Во исполнение акта об ограничении доступа в реестр вносятся сведения, указанные в подпунктах "а" - "г" пункта 4 и "а" - "д" пункта 5 настоящих Правил.

а) внесение в реестр сведений, указанных в подпунктах "а", "в" пункта 4 и подпункте "а" пункта 5 настоящих Правил;

б) определение провайдера;

г) внесение в реестр сведений, указанных в подпунктах "б" - "г" пункта 5 настоящих Правил.

а) внесение в реестр сведений, указанных в подпунктах "е", "з" и "и" пункта 5 настоящих Правил;

УТВЕРЖДЕНЫ
постановлением Правительства
Российской Федерации
от 19 августа 2015 г. № 857

КРИТЕРИИ
определения оператора автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных" - организации, зарегистрированной на территории Российской Федерации, в целях привлечения к формированию и ведению такого реестра

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОСТАНОВЛЕНИЕ

ОБ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ

"РЕЕСТР НАРУШИТЕЛЕЙ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ"

1. Утвердить прилагаемые:

Председатель Правительства

Российской Федерации

Д.МЕДВЕДЕВ

Утверждены

постановлением Правительства

Российской Федерации

СОЗДАНИЯ, ФОРМИРОВАНИЯ И ВЕДЕНИЯ АВТОМАТИЗИРОВАННОЙ