Для каких операторов персональных данных 1 сентября станет днем перемен

Есть не совсем корректное мнение, что изменения законодательства о персональных данных, вступающие в силу с 1 сентября, касаются только иностранных и международных компаний, работающих в России или предоставляющих сервисы россиянам. Это не то, чтобы не совсем так. Это совсем не так.   

На предстоящем 25 августа вебинаре, проводимом Учебным центром «Информзащита», мы подробно разберемся с этим вопросом, а пока некие предварительные оценки.

Всех операторов, на деятельности которых скажутся законодательные нововведения, можно разделить на несколько групп в зависимости от того, какие именно последствия для них имеют вступающие в силу нормы и какие действия им надо предпринять для обеспечения соответствия законодательству.

Первая группа включает абсолютно всех российских операторов персональных данных, как подавших уведомление и включенных в Реестр Роскомнадзора, так и не посчитавших для себя обязательным или целесообразным это сделать. Всех, потому что с 1 сентября 2015 года контроль за обработкой персональных данных выводится из-под регулирования Федеральным законом № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» и будет регламентироваться не законом, а специальным постановлением Правительства, принятие которого ожидается в ближайшее время, а также «Административным регламентом исполнения Роскомнадзором государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации», в который также, будут внесены изменения, но, видимо, несколько позже.

Ситуация с проверками меняется довольно серьезно. Об этом мы подробно поговорим на вебинаре, рассмотрев попутно и порядок ограничения доступа к сайтам нарушителей обработки персональных данных в интернете. И поговорить будет о чем. Отсутствие необходимости согласования большинства проверок с прокуратурой, систематическое наблюдение, привлечение экспертов и, самое важное, возможность выдвижения требования надзорным органом о прекращении обработки персональных данных до приведения ее в соответствие с законом ситуацию меняют кардинально. Ау, банки, страховые компании, операторы связи, медицинские и образовательные учреждения – как вы себе представляете прекращение для своих организаций обработки персональных данных и его последствия

Следующая группа операторов включает тех, кого коснутся изменения, требующие размещения баз персональных данных в период их сбора, а также с целью актуализации, на территории Российской Федерации. Их можно разделить на пять подгрупп:

1)   органы власти всех уровней, государственные и муниципальные учреждения и предприятия;

2)   российские компании, которые сегодня хостят свои системы в зарубежных дата-центрах или облачных инфраструктурах (таких, как Amazon EC2, Google Apps, Microsoft Azure и т.п.), по экономическим или иным соображениям, в том числе – из-за качества предоставляемых сервисов;

3)   российские компании, использующие приложения и базы данных зарубежных провайдеров по схеме SaaS, например, такие, как SalesForce, Microsoft Dynamics CRM, Oracle Database Cloud Service;

4)   зарубежные, международные, транснациональные компании, имеющие дочерние компании или представительства в России, использующие, как правило, централизованные информационные системы, такие, как ERP, CRM, кадрового и бухгалтерского учета и т.п., дислоцирующиеся где-то за рубежом;

5)   зарубежные компании, не присутствующие в России, но чьими услугами пользуются россияне – социальные сети (Facebook, Twitter и т.п.), крупнейшие интернет-магазины и аукционы (Alibaba, Amazon, eBay и др.), системы бронирования всего, чего угодно (Sabre, Amadeus, Galileo, Booking.com, Hotels.сом и др). Хотя они находятся вне российской юрисдикции, механизм блокирования доступа к ресурсам в сети интернет ставит их перед выбором – подчиниться закону и перенести часть ресурсов в Россию, или принять риск возможного прекращения бизнеса в нашей стране.

Возможные варианты поведения всех этих операторов мы рассмотрим в разделе вебинара, который называется «Организация обработки персональных данных после 1 сентября российскими, международными и иностранными компаниями, ведущими деятельность на территории России».

Теперь ответы на наиболее часто задаваемые вопросы в связи с проведением вебинара. Вебинар платный. Его продолжительность – 4 часа, программа - здесь. Проводить его буду я. Полчаса в конце отведу на вопросы-ответы. Количество мест ограничено (Учебный центр бронирует общее количество подключений к сервису вебинара). Зарегистрироваться можно здесь и лучше заранее. Когда и где будет проходить еще раз, и будет ли он – пока не знаю, работы много.

До встречи!