В сентябре 2014-го года российские депутаты, спустя всего месяц с момента принятия 242-ФЗ, который сразу же был окрещен законом о запрете хранения персональных данных россиян заграницей, одумались и решили перенесии срок, установленный первоначальное версией закона с 1-го сентября 2016-го года... на 1 января 2015-го. Быстро пройдя первое чтение, а за ним и второе, депутаты получили сигнал сверху охолониться и на время умерили свою прыть в части принятия законопроекта №596277-6 "О внесении изменения в статью 4 Федерального закона "О внесении изменений в отельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях" в 3-м чтении.
К этому моменту уже стал известен в широких кругах запрос Ассоциации европейского бизнеса, направленный сразу нескольким регуляторам, включая Роскомнадзор и Администрацию Президента. В своем запросе АЕБ спрашивала будет ли законной обработка ПДн россиян за границей, если в РФ будут находиться дублирующие БД, если эти данные направлены зарубеж самими субъектами или операторами ПДн на законных основаниях, или если эти данные передаются зарубеж на основании международных договоров? Ответ по существу был дан только Администрацией Президента и на все вопросы, если кратко сформулировать пространные ответы, был дан ответ "нет".
Опираясь на полученные ответы, приведенные в СМИ, я сформировал свои вопросы:
К этому моменту уже стал известен в широких кругах запрос Ассоциации европейского бизнеса, направленный сразу нескольким регуляторам, включая Роскомнадзор и Администрацию Президента. В своем запросе АЕБ спрашивала будет ли законной обработка ПДн россиян за границей, если в РФ будут находиться дублирующие БД, если эти данные направлены зарубеж самими субъектами или операторами ПДн на законных основаниях, или если эти данные передаются зарубеж на основании международных договоров? Ответ по существу был дан только Администрацией Президента и на все вопросы, если кратко сформулировать пространные ответы, был дан ответ "нет".
Опираясь на полученные ответы, приведенные в СМИ, я сформировал свои вопросы:
- Возможно ли хранить персональные данные граждан Российской Федерации за ее пределами при условии наличия дублирующей (копии) базы данных персональных данных на территории Российской Федерации, либо обработка персональных данных на территории другого государства в принципе запрещена?
- Возможна ли обработка персональных данных российских граждан на территории стран ЕвразЭС или стран, обеспечивающих адекватную защиту прав субъектов персональных данных в терминах 12-й статьи Закона?
- Применяется ли закон экстерриториально и должны ли те лица, в том числе и нерезиденты РФ, которым операторы или непосредственно сами субъекты персональных данных передают свои персональные данные на законных основаниях, также обрабатывать полученные персональные данные на территории Российской Федерации?
- Ратификация Российской Федерацией Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных (160-ФЗ от 19.12.2005) приводит к конфликту между Законом и Конвенцией, так как согласно последней сторона Конвенции не должна запрещать трансграничные потоки персональных данных, идущие на территорию другой стороны. Следует ли в данной ситуации следовать положениям Закона или положениям ратифицированной Конвенции, которая, согласно ст.4 Закона имеет бОльшую юридическую силу?
- Распространяется ли Закон на персональные данные российских граждан, которые были переданы за пределы Российской Федерации на законных основаниях, до вступления в силу Закона.
Памятуя ответ РКН и Администрации Президента, я не стал направлять свой вопрос им, сосредоточившись на других органах исполнительной власти. В частности я направил свой запрос в МИД России, Минобрнауки, Рособразование, Минюст, Минздравсоцразвития, Ростуризм, Росавиацию, Минтранс, Правительство России, Президенту России и Минкомсвязи.
В МИД, Минюст, Минкомсвязь, Правительство и Президенту я направил список вопросов выше, а остальным госорганам модифицированные вопросы, исходя из сферы их деятельности и с учетом особенностей обработки ПДн за границей:
- Использование авиационного, морского, железнодорожного и автомобильного транспорта (например, бронирование авиабилетов или аренда автомобиля)
- Образование (например, обучение в иностранном ВУЗе)
- Лечение (например, получение медицинской помощи в иностранном медицинском учреждении, в том числе и во время отдыха)
- Отдых (например, оформление путевок на отдых на иностранных курортах)
- Осуществление покупок (например, приобретение товаров в Интернет-магазинах)
- Бронирование гостиниц и транспорта
- Посещение мероприятий, включая официальные.
30 сентября мои запросы были направлены. А о том, какие ответы я получил, я напишу уже завтра...