Новая редакция закона «О персональных данных», и почему теперь оформлять сертификаты PADI незаконно
Сегодня 1 марта 2023 года вступили в действие поправки в Федеральный Закон № 152-ФЗ “О персональных данных”. Мы поговорили с юристами и выяснили, что именно изменилось для инструкторов по дайвингу в связи со вступлением данного закона в силу, и почему с сегодняшнего дня заказывать сертификаты в PADI, SSI, SDI/TDI, Molchanovs и других зарубежных ассоциациях является противозаконным и грозят миллионными штрафами инструкторам и дайвцентрам. Подробнее далее в нашей статье.
Что такое персональные данные?
Согласно статье 3 Федерального Закона №152-ФЗ “О персональных данных” (далее ФЗ № 152) персональным данными являются:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
То есть, согласно Закону, фамилия и имя человека и его фотография уже являются персональными данными гражданина. Если вы получили даже только имя и фото гражданина РФ, вы уже являетесь так называемым оператором персональных данных и несете ответственность за сохранность данных и законность ее обработки и хранения в соответствии с данным законом.
Согласие на обработку персональных данных
Итак, представим, что в дайвцентр или к инструктору по дайвингу пришел студент. Он отучился и теперь ему нужно заказать сертификат по дайвингу в какой-то из международных ассоциаций дайвинга. Для этого инструктор должен получить от студента ряд его персональных данных (как правило это, как минимум: Ф. И. О., дата рождения, фотография, его email, адрес, номер телефона).
В соответствии с 9 статьей Закона в этом случае инструктор должен получить от гражданина Согласие на обработку персональных данных. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Должна быть обозначена цель обработки персональных данных, перечень действий с персональными данными, на совершение которых дается согласие, наименование или Ф. И. О. и адрес оператора, получающего согласие субъекта персональных данных и другие необходимые данные в соответствии со статьей 9 ФЗ № 152.
Инструктор/школа дайвинга являются ответственными за то, что в дальнейшем с этими полученным от гражданина данными, будет происходить, а также за их сохранность и конфиденциальность.
В соответствии с частью 2 статьи 13.11 КОАП отсутствие подобного согласия влечет наложение административного штрафа на граждан в размере от шести тысяч до десяти тысяч рублей; на должностных лиц - от двадцати тысяч до сорока тысяч рублей; на юридических лиц - от тридцати тысяч до ста пятидесяти тысяч рублей.
Передача персональных данных третьим лицам
Для заказа сертификата инструктор передает персональные данные студента дайвинг-ассоциации (то есть третьему лицу). Как правило, это происходит через Интернет при заполнении специальной формы на сайте организации, и затем данные хранятся на серверах сайта.
В соответствии с Законом данные третьи лица также являются операторами персональных данных и должны:
Хранить персональные данные граждан РФ на серверах и компьютерах, находящихся на территории Российской Федерации (часть 5 статьи 18 ФЗ №152)
Быть зарегистрированы как оператор персональных данных в РосКомнадзоре (часть 3 статьи 18.1, ФЗ №152)
Трансграничная передача персональных данных
Итак, предположим, что инструктор планирует заказать студенту сертификат PADI. PADI является иностранной организаций. То есть регистрируя студентов на сайте данной организации инструктор выполняет Трансграничную передачу персональных данных (далее ТППД)
И вот здесь начинается самое интересное.
С 1 марта 2023 года ужесточаются требования по ТППД, и вводится строгий контроль за передачу данных за границу.
С 1 марта 2023 года начинает действовать новая редакция статьи 12 про ТППД в Законе № 152-ФЗ. Основным условием для передачи личной информации российских граждан в другую страну становится уведомление Роскомнадзора. Его нужно подать до начала осуществления такой деятельности.
То есть теперь инструктор обязан перед регистрацией каждого (!) студента:
Провести оценку соблюдения иностранным контрагентом (то есть зарубежной дайвинг ассоциацией), которому будут передаваться персональные данные (далее - ПД), обеспечения безопасности ПД и конфиденциальности ПД при их обработке. Cведения, которые оператор должен запросить у иностранной компании:
1) меры по защите передаваемой личной информации российских граждан и условия прекращения ее обработки;
2) правовое регулирование в области защиты персональных данных государства-адресата, если это «неадекватная страна»;
3) информация об иностранном лице, которому передаются ПД — наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса E-mail.
После этого необходимо будет заполнить форму уведомления на официальном Портале персональных данных по адресу: https://pd.rkn.gov.ru/cross-border-transmission/form2/.
По результатам рассмотрения уведомления Роскомнадзор может запретить или ограничить трансграничную передачу данных:
Во-первых, по результатам рассмотрения уведомления о намерении осуществлять ТППД (ч. 8 ст. 12 Закона № 152-ФЗ в редакции 266-ФЗ). На принятие такого решения у него есть 10 рабочих дней.
Роскомнадзор при проверке уведомлений может запросить все сведения об оценке соблюдения иностранным контрагентом, которому будут передаваться ПД, мер по защите ПД при их обработке.
То есть инструктор должен будет доказать, что данные граждан РФ действительно будут храниться за границей в соответствии с российским законодательством! Поэтому необходимо будет вести официальную переписку с головным офисом своей ассоциации, а также документировать и сохранять всю переписку с ними.
Общение с региональным российским представителем ассоциации не будет учитываться, так как он не является фактическим владельцем сайта и его серверов!
Оператор (инструктор) должен будет передать запрошенную Роскомнадзором информацию в ведомство в течение 10 рабочих дней. Срок можно продлить по уважительной причине не более чем на пять рабочих дней. Пока Роскомнадзор не получит от оператора всю запрашиваемую информацию, он приостанавливает проверку уведомления.
Во-вторых, Роскомнадзор может запретить или ограничить ТППД по представлению уполномоченных органов власти, например, МВД, Минобороны, ФСБ. Такое решение принимается в целях защиты интересов РФ, ее граждан, обеспечения суверенитета и государственной безопасности (ч. 12 ст. 12 Закона № 152-ФЗ в редакции 266-ФЗ).
Правила ввода запретов по представлению уполномоченных органов власти утверждены Постановлением Правительства РФ от 10.01.2023 № 6. Они начали действовать с 1 марта 2023 года.
И подобную процедуру инструктор по Закону обязан проходить каждый раз регистрируя каждого студента!
Но это еще не все. Даже если инструктор готов упорно выполнять данные требования, и уведомлять Роскомнадзор о передаче ТППД, то парадокс заключается в том, что инструктор в любом случае будет нарушать закон!
Как мы уже писали выше в соответствии с Законом инструктор обязан:
Провести оценку соблюдения иностранным контрагентом, которому будут передаваться ПД, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке.
В свою очередь выполнить данное требование невозможно, так как ни одна из зарубежных систем обучения не выполняет требования Федерального закона о локализации персональных данных граждан РФ, то есть не хранит персональные данные граждан РФ на серверах и компьютерах, находящихся на территории Российской Федерации (часть 5 статьи 18 ФЗ №152).
А это прямое нарушение закона.
Получается, что, занося данные студентов на сайте зарубежной системы обучения инструктор нарушает закон, так как инструктор должен был предварительно провести оценку зарубежного организации и убедиться в том, что организация хранит персональные данные в соответствии с требованием российского законодательства.
По нашей просьбе юристы и специалисты в области цифровых технологий провели проверку нижеуказанных дайверских и фридайверских ассоциаций, которые каким-либо образом представлены на территории России:
· PADI
· SSI
· SDI/TDI
· SNSI
· NAUI
· AIDA
· Molchanovs (да, и это тоже иностранная компания, зарегистрированная в Сингапуре)
Как выяснилось ни одна из них не выполняет требования российского законодательства в сфере защиты персональных данных и локализации баз данных на территории РФ.
Соответственно, заказывая сертификат студенту в любой из этих организаций, инструктор нарушает закон. И пока эти организации не выполнят требования российского законодательства и не разместят свои сервера в России, нет никакого законного пути продолжения работы с ними.
В текущей политической ситуации, учитывая, что все эти сертифицирующие агентства кроме Molchanovs зарегистрированы либо в США, либо в Европе, надежда на изменение ситуации и легализацию их деятельности в РФ в обозримом будущем не представляется возможным.
Зарегистрированная в Сингапуре компания Molchanovs (и лично сам Алексей Молчанов) осудили СВО и сделал заявление о прекращения какой-либо деятельности в России. Поэтому и здесь вероятность легализации их деятельности сводятся к нулю.
Ответственность инструктора и штрафы
Все бы ничего было для инструктора, если бы это касалось только самой ассоциации. Но с 1 марта инструктор становится обязан провести оценку соответствия требованиям российского законодательства сайта и иностранной организации, которым он передает персональные данные граждан РФ.
Как мы уже выяснили, ни одна из вышеперечисленных зарубежных организаций не исполняет требования закона.
Если инструктор все же решил в обход закона заказать сертификат в одной из зарубежных систем и передал данные граждан РФ за границу, то он нарушает закон и попадает под действие части 8 статьи 13.11 КОАП:
8) Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, -
влечет наложение административного штрафа на граждан в размере от тридцати тысяч до пятидесяти тысяч рублей; на должностных лиц - от ста тысяч до двухсот тысяч рублей; на юридических лиц - от одного миллиона до шести миллионов рублей.
9) Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи, -
влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц - от пятисот тысяч до восьмисот тысяч рублей; на юридических лиц - от шести миллионов до восемнадцати миллионов рублей.
Примечание. За административные правонарушения, предусмотренные частями 8 и 9 настоящей статьи, статьями 13.31, 13.35 - 13.37, 13.39, 13.40 и 13.46 настоящего Кодекса, лица, осуществляющие предпринимательскую деятельность без образования юридического лица, несут административную ответственность как юридические лица.
Де-факто инструктор, независимо от того работает он официально или нет, оказывает услуги по обучению, получая за это деньги (то есть ведет предпринимательскую деятельность). Поэтому в случае привлечения к ответственности размер штрафа будет составлять как минимум от 1 миллиона рублей по аналогии с юрлицом.
Попытка схитрить и зарегистрировать студента не самостоятельно, а с помощью посредников (например, российских представителей системы обучения) не спасет инструктора от ответственности по данной статье. Это приведет только к тому, что получат штраф они оба: и сам инструктор, и посредник, непосредственно регистрирующий студента в базе.
Не спасет от ответственности также и то, что инструктор может находиться за границей. Даже если инструктор постоянно работает, например в дайвцентре в Египте, это не освобождает его от выполнения требований российского законодательства в случае получения персональных данных российских граждан. Процедура уведомления Роскомнадзора и ответственность для них остается точно такой же, как и для тех, кто работает на территории России.
Инагент
Но и это еще не всё!
В соответствии с Федеральным законом "О контроле за деятельностью лиц, находящихся под иностранным влиянием" от 14.07.2022 N 255-ФЗ (то есть законом об инагентах) ФСБ составило Перечень сведений в области военной, военно-технической деятельности Российской Федерации, которые при их получении иностранными источниками могут быть использованы против безопасности Российской Федерации.
Помимо прочего в него входит пункт 16:
Персональные данные военнослужащих (сотрудников, работников) войск, воинских формирований и органов, членов их семей, в том числе сведения об адресах проживания, посещаемых образовательных и медицинских организациях, используемых транспортных средствах и личных средствах связи, сведения о контактах и переписке с использованием средств связи, за исключением сведений, содержащихся в открытом доступе.
В случае передачи подобных сведений за границу, лицо, передавшее данные сведения, может быть признано инагентом!
То есть инструктор иностранной системы обучения перед началом обучения должен всегда интересоваться у студента, не служит ли в армии или в спецслужбах кто-либо из членов его семьи? Но не каждый студент по каким-то личным причинам, а может быть и по соображениям секретности расскажет честно и прямо об этом инструктору.
В дальнейшем, регистрируя его как дайвера и передавая данные в базу PADI или другой зарубежной системы, инструктор не только нарушает закон о персональных данных, но и попадает по действия закона об инагентах. То есть инструктор рискует получить статус инагента и прочувствовать все “прелести” обладания данным юридическим статусом.
Отечественные системы обучения
А что же с российскими системами обучения?
На данный момент их условно две (а свой бренд развивает и вовсе всего одна): Национальная Дайв Лига и Федерация подводного спорта России (работающая под иностранным брендом CMAS).
У Национальной Дайв Лиги все хорошо. Она полностью соответствует российскому законодательству, официально зарегистрирована в Роскомнадзоре как оператор персональных данных под регистрационным номером 78-22-036850, а ее сайт и сервера находятся в России. Инструктор НДЛ может смело регистрировать студентов и выписывать им сертификаты, не боясь нарушить Федеральный закон и получить штраф.
В помощь инструкторам в НДЛ также разработана форма Согласия на обработку персональных данных, которую инструктор дает подписать своим студентам в соответствии с действующим законодательством.
А вот у ФПСР не так все гладко.
Во-первых, еще в прошлом году CMAS с инициативы его президента официально наложил запрет на сертификацию дайверов и фридайверов в России и Белоруссии, и данный запрет так и не снят. Вся деятельность по выписыванию сертификатов CMAS в России с точки зрения CMAS официально нелегальна.
Во-вторых, ФПСР не зарегистрирован в Роскомнадзоре в качестве оператора персональных данных. То есть ФПСР нарушает законодательство, так как сбор персональных данных они ведут, а Роскомнадзор об этом они не уведомили.
Соответственно и инструктор ФПСР, который ответственен за должное хранение и обработку персональных данных студентов, не может гарантировать сохранность ПД своих студентов при их передаче в ФПСР.
Итого
В итоге получается, что на момент публикации статьи 1 марта 2023 года только Национальная Дайв Лига выполнила все требования российского законодательства в сфере персональных данных. Инструктор НДЛ может выписывать сертификаты дайверов, не боясь нарушить закон и получить штраф.
Сертификация студентов в зарубежных системах обучения с 1 марта 2023 года незаконна, так как нарушает Федеральный закон “О персональных данных” и грозит инструктору миллионными штрафами. Кроме того, в довесок инструктор может получить статус инагента со всеми вытекающими юридическими последствиями.