1 сентября 2015 года вступил в силу Федеральный закон от 21 июля 2014 года № 242-ФЗ1, предусматривающий обязанность оператора персональных данных обеспечить запись, систематизацию, хранение, изменение персональных данных граждан РФ с использованием баз данных и серверов, находящихся на территории России.

В этой связи необходимо напомнить о разъяснениях (ответах) Роскомнадзора по вопросам законодательства о защите персональных данных, размещенных на официальной странице регулятора в сети интернет (далее – «Ответы»).

В основном, в Ответах Роскомнадзор ссылается на конкретные статьи Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – «Закон»), однако встречаются разъяснения регулятора, в которых он толкует некоторые положения Закона и приводит конкретные практические примеры. Наиболее интересные из них приведены ниже.

• Согласие на обработку персональных данных не может быть получено по телефону или посредством СМС-сообщений.
• В Ответах разъясняются вопросы получения согласия на обработку персональных данных при совершении онлайн-покупок. В таком случае подтверждением получения согласия на обработку персональных данных является файл электронной цифровой подписи, сформированный в результате заполнения веб-формы покупателем. Если предложение о покупке является публичной офертой, согласие на обработку персональных данных может быть выражено в акцепте такой оферты.
• Разъяснятся ч. 3 ст. 12 Закона, согласно которой до осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных. В связи с отсутствием в российском законодательстве критериев адекватности защиты прав субъектов персональных данных, Роскомнадзор рекомендует руководствоваться законодательством РФ, законодательством страны, на территорию которой передаются персональные данные, а также международными нормативными актами. В частности, на статус страны, обеспечивающей адекватную защиту персональных данных, могут претендовать страны, ратифицировавшие Конвенцию о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года ETS № 108, а также страны, имеющие общенациональное нормативное регулирование в области защиты персональных данных.
• Уточняется порядок документальной фиксации уничтожения персональных данных операторами. Согласно Ответам, уничтожение персональных данных осуществляется комиссией либо должностным лицом оператора. Факт уничтожения может быть зафиксирован соответствующим актом о прекращении обработки персональных данных либо регистрацией данного факта в специальном журнале, формы которых разрабатываются операторами самостоятельно.
• Персональные данные, полученные при рассмотрении заявок на получение кредита, подлежат уничтожению не позднее 3-х дней с даты принятия отрицательного решения кредитной организацией по таким заявкам.

Резюмируя, хотелось бы отметить, что Ответы не являются нормативно-правовым актом, а лишь толкованием регуляторного органа отдельных положений Закона, касательно которых существуют неясности в правоприменении. Однако, рекомендуется учитывать позицию Роскомнадзора, выраженную в Ответах, при организации сбора, обработки и хранения персональных данных на территории РФ, равно как при трансграничной передаче данных, поскольку очевидно, что именно ее будет придерживаться регулятор при проведении проверок операторов по обработке персональных данных.   Сайт Роскомнадзора РФ ПЕРЕЙТИ