FZ 242 sobre la protección de datos personales. Ley Federal 242 (Ley Federal de Datos Personales): cambios y comentarios

En Rusia existe una ley separada, según la cual se requiere que varias organizaciones e individuos realicen transacciones con datos personales – Ley Federal No. 152. El legislador cambia periódicamente el acto jurídico pertinente. En particular, el 1 de septiembre de 2015 entraron en vigencia las normas de la Ley Federal Nº 242, luego de la publicación de una serie de normas fundamentalmente nuevas en la Ley Federal No. 152. ¿Qué son? ¿Quién está obligado a cumplir las disposiciones pertinentes de la ley?

242 FZ

¿Qué es la Ley Federal de Datos Personales?

Debe prestarse especial atención a este punto fundamental: la Ley N ° 242-FZ, que entró en vigor el 1 de septiembre de 2015, es un acto normativo que enmendó otra fuente fundamental de derecho -La Ley Federal Nº 152, adoptada en julio de 2006. Por lo tanto, la redacción contenida en la Ley No. 242 debe considerarse únicamente en el contexto de las normas contenidas en la Ley Federal No. 152.

El acto jurídico fundamental – la Ley Federal Nº 152, establecida en la legislación de la Federación Rusa, incluye categorías jurídicas como:

– datos personales;

– el operador de la información pertinente;

– tratamiento de datos personales.

Bajo la primera categoría legal, el legislador prescribe comprender cualquier información que directa o indirectamente se refiere a un individuo. Puede ser, por ejemplo, su nombre completo, datos personales, información de contacto.

La segunda categoría legal en la ley se entiende como una autoridad estatal o municipal, una organización o un individuo que, independientemente o en el curso de la interacción con otras entidades, lleva a cabo el procedimiento de procesamiento de datos, así como determinar su composición y operaciones con ellos.

Bajo la tercera categoría legal, el legislador prescribe comprender cualquier operación o su secuencia que sean relevantes para los datos personales y se implementen mediante el uso de herramientas de automatización o sin ellas.

FZ 242 sobre la protección de datos personales

Las operaciones básicas con datos personales, definidas por la Ley N ° 152: recogida, registro, almacenamiento, corrección, uso, transferencia, bloqueo, supresión. Estas categorías jurídicas, en principio, en el momento de su adopción podrían considerarse muy nuevas para el sistema jurídico de la Federación de Rusia. Antes de eso, el volumen de negocios de datos personales estaba regulado superficialmente por la legislación rusa.

Novedad de la Ley Federal № 152

La ley sobre datos personales adoptada en la Federación de Rusia tenía por objeto acercar el ordenamiento jurídico interno a los estándares mundiales para garantizar la confidencialidad del intercambio de información, en primer lugar presentado en formato electrónico y utilizado en el marco de las comunicaciones en línea. Pero la Ley Federal Nº 152 también creó el entorno legal también para asegurar la protección de diversos datos fuera de línea.

De acuerdo con esta ley reguladora, se identificaron varias clases de datos personales que requerían el uso de ciertos algoritmos de protección. Además, la Ley Federal Nº 152 estableció normas según las cuales el volumen de negocios de diversos datos podía realizarse en sistemas de información especializada -los que requerían una alta cualificación de los administradores, así como la obtención de licencias para realizar operaciones con datos personales.

A pesar de que la Ley Federal No. 152 fue emitida en 2006, en la práctica sus principales disposiciones para los operadores de datos personales sólo son obligatorias a partir del 1 de julio de 2011. Desde ese momento, se han hecho varias correcciones periódicas a la fuente apropiada de la ley, como hemos señalado anteriormente. En particular, los que fueron aprobados por las autoridades federales a través de la Ley 242-FZ. Consideremos sus características con más detalle.

Características de la aplicación del acto jurídico

La Ley Federal 242-FZ "Sobre Datos Personales" (más concretamente, "Sobre Modificaciones a las Actas relativas a la Especificación del Proceso de Datos") estableció la disposición según la cual los operadores estaban obligados a procesar y almacenar información solamente en servidores ubicados en el territorio de Rusia . O si se trata de datos personales sin conexión, colóquelos en bases de datos que están en el RF. Nótese que en la ley 242-FZ hay una serie de excepciones a esta regla, las cuales, a su vez, se reflejan en las disposiciones de la Ley Federal No. 152.

Otro matiz de la ley es que a través de su legislador también ha hecho cambios no sólo al principal acto jurídico que regula las operaciones con datos personales, sino también a otras fuentes. Es decir, las leyes 149 "Sobre la Información", así como 249 ("Sobre la Protección de las Personas Jurídicas y los PI bajo Control Estatal y Municipal").

242 FZ Comentarios

Los medios de comunicación rusos replicaron activamente la información de que Roskomnadzor, el organismo encargado de garantizar el cumplimiento de los datos de las disposiciones de FZ-242 "En la protección de datos personales", en 2016 realizará inspecciones de los mayores proveedores de soluciones de TI que operan en la Federación de Rusia. En particular, se dijo que el objetivo de Roskomnadzor es averiguar si los requisitos de la ley en cuestión son cumplidos por marcas como Microsoft, Vkontakte, HeadHunter, LaModa. Se supone que el departamento realizará alrededor de mil cheques diferentes.

Iniciado por las autoridades federales a través de la publicación de la Ley Federal No. 242-FZ, los cambios en los datos personales en la ley básica podrían predeterminar la necesidad de que los principales operadores realicen actualizaciones de hardware y software importantes. Pero esta tarea debe ser resuelta por las marcas, de lo contrario, si la infraestructura utilizada por ellos no cumple con los requisitos de la ley en cuestión, Roskomnadzor puede imponer una multa a la empresa.

Un papel importante en la auditoría se supone que debe ser jugado por los usuarios de diversas soluciones de TI. Si empiezan a sospechar que sus datos no son completamente seguros, la información sobre el servicio que participa en las transacciones con los datos pertinentes puede ser transferida directamente por los usuarios a Roskomnadzor. Que, a su vez, tendrá que iniciar una verificación de servicio para el cumplimiento de las disposiciones de la ley 242-FZ.

Sería útil considerar cuál es el alcance de la fuente de derecho en cuestión.

Ley No. 242: el alcance de la fuente del derecho

El principal punto de discusión en este caso es si la jurisdicción FZ-242 "Sobre la protección de datos personales" se extiende a las empresas extranjeras que, por un lado, prestan servicios a los usuarios rusos, por otro, se encuentran fuera de la Federación de Rusia tanto desde el punto de vista legal Y en términos de la infraestructura involucrada.

Disposiciones separadas en la ley en cuestión, que determinarían de manera única la geografía de su funcionamiento, el legislador no aprobó. Por lo tanto, para encontrar la respuesta a la cuestión que se examina, es necesario aplicar a otros actos jurídicos.

Por lo tanto, de conformidad con la ley sobre información que opera en la Federación de Rusia, el uso de diversos tipos de infraestructura de comunicación en el territorio de Rusia debe llevarse a cabo teniendo en cuenta las normas aprobadas en la legislación de la Federación de Rusia. Por lo tanto, si usted sigue esta regla, puede llegar a la conclusión de que la Ley Federal No. 242-FZ se aplica sólo a los servicios que utilizan exclusivamente la infraestructura que se encuentra en Rusia.

La definición de operador de datos personales en Rusia

El criterio más importante para determinar la jurisdicción de la fuente de derecho considerada es el foco de la actividad de la marca que posee uno u otro servicio. Si un sitio sirve principalmente a los usuarios rusos, entonces debe considerarse un objeto de regulación en términos de aplicación de las disposiciones de la ley núm. 242. El hecho de que el servicio esté dirigido a obtener datos personales de ciudadanos rusos puede establecerse sobre la base de que:

– en la estructura de direcciones del sitio se utiliza el dominio .ru, .su, .рф o, por ejemplo, Moscú;

– el contenido del sitio está en ruso;

– las páginas del portal tienen la oportunidad de entrar en relaciones jurídicas con el servicio mediante las formas de los contratos elaborados de conformidad con el Código Civil de la Federación de Rusia.

FZ 242 FZ cambia de datos personales

En la práctica, los operadores de datos que están bajo la jurisdicción de la Ley Federal N ° 242, pueden ser una variedad de estructuras – por ejemplo, los servicios de personal de las empresas, bancos, centros de llamadas. Todos ellos están obligados a asegurar el cumplimiento de sus actividades con los requisitos de la ley en cuestión.

Ley Nº 242 en cuanto a la aplicación de su retroactividad

La Ley No. 242-FZ que modificó la Ley Federal No. 152 fue emitida después de la propia Ley Federal No. 152, así como las enmiendas anteriores, pero requirió una interpretación adicional de las disposiciones del acto jurídico principal. En particular, entre los abogados se debatió si la Ley Nº 242 debía considerarse retroactiva.

Lo más popular es la opinión de que para evaluar el efecto jurídico del acto jurídico en cuestión es necesario aplicar los principios jurídicos generales según los cuales no debe ejercerse la readaptación de aquellas leyes que empeoran la situación de determinadas personas o establecen derechos adicionales para ellas .

Se pueden hacer excepciones con respecto a los actos jurídicos en los que el principio de retroactividad se fija directamente. La ley de 242-FZ no contiene tales disposiciones. Por lo tanto, sólo los participantes en las relaciones jurídicas que comienzan a procesar los datos personales después de que el acto jurídico pertinente ha entrado en vigor legal están obligados a cumplir con ella. Es decir, a partir del 1 de septiembre de 2015.

La esencia de la recopilación de datos

Otro momento discutible que caracteriza el acto jurídico considerado es la definición del concepto de "recolección de datos" basado en la redacción que contiene. ¿Cuál es la complejidad de las interpretaciones en este caso? El hecho es que, de conformidad con las disposiciones de la Ley Federal No. 152, que fueron enmendadas mediante la publicación de la Ley Federal No. 242-FZ, los cambios en los datos personales, los operadores están obligados a garantizar la localización de los archivos en el proceso de recopilar la información pertinente. A su vez, la esencia de este procedimiento no está claramente definida en la ley, lo que, por supuesto, no contribuye a la aplicación efectiva de sus disposiciones en varios contextos.

Ley Federal 242 de la Ley Federal de Datos Personales

En el entorno experto, el punto de vista es generalizado que bajo la "colección" es legítimo entender el proceso en el que el operador de datos los recibe directamente de alguna entidad o terceros autorizados. Resulta que localizado de acuerdo con las reglas de la Ley Federal 242 debe ser sólo aquellos datos personales que fueron adquiridos por el operador en el hecho de que llevó a cabo un trabajo útil para recopilar los datos pertinentes. Y si, por ejemplo, el operador los recibió accidentalmente – como opción, en forma de una carta a correo electrónico, entonces no es necesario localizar, como prescribe la ley 242-FZ. Asimismo, es erróneo considerar como proceso de recolección de datos su recepción por una empresa de otra, si representan teléfonos y otros datos de contacto de los representantes de la empresa.

Colocación de datos en el extranjero en virtud de la Ley Nº 242

El siguiente matiz más importante que caracteriza la aplicación de la ley en la aplicación de las disposiciones de la ley núm. 242 es la posibilidad de colocar los datos de los operadores en el extranjero en casos necesarios, por ejemplo, si se trata de respaldar la información pertinente sobre los servidores arrendados a proveedores extranjeros. Por un lado, de acuerdo con la ley N ° 242-FZ, los datos personales deben ser colocados en servidores ubicados en el territorio de Rusia. Por otro lado, por supuesto, puede haber una necesidad objetiva de su despliegue en recursos externos.

Ley 242 FZ datos personales

Como señalan los abogados, es posible transferir datos transfronterizos sin violar las disposiciones de la legislación reguladora, en principio. Con base en qué disposiciones de la legislación, esta posición puede ser considerada legítima?

Cuando una transferencia transfronteriza es legal

El hecho es que la ley sobre la localización de datos personales 242-FZ no incluye disposiciones sobre la adaptación de los actos jurídicos que regulan la transferencia transfronteriza de archivos que contienen información individualizada sobre ciudadanos de la Federación de Rusia y otras entidades que se encuentran bajo la protección de la Ley N ° 152-FZ. Por lo tanto, este procedimiento es legal, así como hasta el momento en que se adoptaron las enmiendas a la ley en cuestión.

Pero una vez más prestamos la atención – la transmisión transfronteriza de datos puede ser llevada a cabo solamente con el propósito de respaldar los archivos correspondientes. Sus originales, por lo tanto, deben ser colocados necesariamente en servidores de la Federación Rusa. Al mismo tiempo, el propio operador de datos es responsable de la utilización no autorizada de archivos en servidores extranjeros por parte de esas personas u otras personas. Además, es probable que alinee sus sistemas de información con los requisitos establecidos por las normas legales del estado en el territorio del cual están ubicados los servidores.

Sanciones por violaciones de la ley núm. 242

Por lo tanto, estudiamos lo que el legislador introdujo mediante la emisión de la ley 242-FZ de la enmienda a la Ley Federal No. 152. También será útil considerar qué sanciones los operadores de datos pueden haber encontrado que violaron las disposiciones de la fuente pertinente de la ley.

En primer lugar, puede imponerse una sanción administrativa a una empresa que debe cumplir con los requisitos de la ley núm. 242. Su valor es de 500-1000 rublos para los funcionarios, así como 10 veces mayores cantidades – para las personas jurídicas. Esta pena se establece art. 13.11 del Código Administrativo de la Federación de Rusia.

En segundo lugar, tal sanción puede aplicarse, como la inscripción del titular de los datos en el registro de infractores. Se trata de una base de datos automatizada que incluye nombres de dominio y direcciones de páginas de sitios donde se procesan datos personales con violaciones. Tenga en cuenta que la inclusión del operador en el registro pertinente se lleva a cabo sobre la base de una decisión judicial. Una excepción es después de su cancelación o después de que la compañía elimina las violaciones de la ley en cuestión.

En tercer lugar, se puede restringir el acceso a un sitio en el que se realiza un tratamiento inadecuado de los datos personales. Este procedimiento se lleva a cabo después de que el sujeto de datos personales envíe a Roskomnadzor una aplicación sobre la necesidad de tomar medidas para bloquear el recurso correspondiente.

242 FZ sobre enmiendas

Además, este documento debería complementarse también con un acto judicial que entró en vigor. Después de eso, Roskomnadzor envía información sobre violaciones por parte del propietario del sitio de la Ley No. 242 al proveedor de alojamiento, y si el propietario del recurso no elimina la violación, el sitio bloquea.

El procedimiento para imponer sanciones a los infractores de las disposiciones del acto jurídico en cuestión depende en gran medida de las prácticas de aplicación de la ley. A los operadores de datos personales tiene sentido estudiarlo regularmente, así como, por ejemplo, y diversos estudios analíticos de las disposiciones de la ley N ° 242-FZ, comentarios de abogados. La ejecución de las normas de la Ley Federal N ° 152, teniendo en cuenta las modificaciones que se introduzcan en la misma, es la condición más importante para el correcto funcionamiento de los servicios de información relevantes.