Виджет RETAIL & LOYALTY - это возможность быстро получить актуальную информацию
Добавить виджет на страницу Яндекс
Закрыть

ChronoPay видит способы минимизировать расходы иностранных компаний для обеспечения соответствия новому закону о персональных данных

(Голосов: 1, Рейтинг: 5)
Количество просмотров 973 просмотра

АКТУАЛЬНЫЕ ВОПРОСЫ

1. Если компания, ведущая деятельность в Европе, Америке и других странах, реализует товары по всему миру, в том числе и в России, и не имеет статус оператора персональных данных, нарушает ли она при этом ФЗ №152?

В соответствии с ФЗ №152, если компания фактически обрабатывает персональные данные – она уже является оператором персональных данных. В отношении зарубежных компаний данное правило применимо только при обработке ими персональных данных граждан РФ. Соответственно, в случае если деятельность такой компании любыми способами направлена на привлечение и обслуживание покупателей из России (расчеты в рублях, сайт и реклама на русском языке), и при этом условии, получая персональные данные россиян, не хранит их на территории РФ – она нарушает требование законодательства.

2. Если компания, ведущая деятельность в Европе, Америке и других странах, нарушает Закон о персональных данных, каковы последствия?

В зависимости от ситуаций: есть официальное представительство компании в России или нет, Интернет-компания или ТСП; нарушение совершается посредством деятельности Интернет-ресурса или нет – возможны 1) наложение штрафных санкций, 2) применение мер прокурорского реагирования, 3) блокировка сайта или сервиса на территории России.

3. Если компания, ведущая деятельность в Европе, Америке и других странах, реализует товары по всему миру, в том числе и в России, и использует платежного оператора (PSP –Payment Service Provider, PSP-компания) как оператора персональных данных, который не соответствует требованиям, предъявляемым законодательством РФ?

В такой ситуации следует потребовать от своего оператора персональных данных соблюсти все требования, предъявляемые к оператору персональных данных, либо обратиться к иной компании, которая соответствует законодательным требованиям.

4. Компания, ведущая деятельность в Европе, Америке и других странах, самостоятельно осуществляет прием платежей. Можно ли просто перенести инфраструктуру в Россию?

Да, достаточно. Но осуществляя работу с персональными данными необходимо соответствовать требованиям, предъявляемым к статусу оператора персональных данных.

5. Может ли компания, ведущая деятельность в Европе, Америке и других странах, работать на российском рынке с использованием любой зарубежной PSP-компанией? Понадобится самой компании предпринимать какие-либо действия для этого?

Да, если такая PSP-компания соответствует требованиям законодательства, предъявляемым к оператору персональных данных в РФ. Самой компании, при этом, ничего предпринимать не требуется.

6. Когда изменения в ФЗ №152 вступили в силу?

С 1 сентября 2015 года.

7. Что является подтверждением наличия статуса оператора персональных данных, а также его соответствия законодательным требованиям?

Статус оператора персональных данных не приобретается по факту внесения данных в Реестр операторов персональных данных или прохождением иных официальных процедур, таких как лицензирование, сертификация и прочее. Закон не устанавливает обязанность наличия какого-либо подтверждающего документа.

8. Можно ли, продолжая принимать платежи в Европе, Америке и других странах, обрабатывать персональные данные россиян по месту приема платежей, а затем просто копировать данные на сервера в России?

Нет, любые действия с персональными данными россиян, начиная с получения и заканчивая уничтожением, должны совершаться исключительно на территории России. Такой порядок работы с персональными данными россиян установлен исключительно для облегчения процесса контролирования работы операторов персональных данных, а также для государственного обеспечения безопасности персональных данных. При этом трансграничная передача данных, с некоторыми ограничениями, возможна.

9. Если ТСП работает с персональными данными, привлекает при осуществлении расчётов PSP-компанию, соответствующую требованиям законодательства к операторам персональных данных, но хранит бόльший объем персональных данных, чем PSP-компания?

В этом случае и ТСП, и PSP-компания обязаны иметь статус оператора персональных данных. Также необходимо договориться о равном соотношении обрабатываемой информации, это не сложно.

10. Зачастую формулировки положений в ФЗ №152 очень расплывчаты. Возможна ли их дальнейшая конкретизация?

В соответствии с комментариями Министерства связи и массовых коммуникаций РФ, в существующих планах законопроектной деятельности не предусмотрена разработка проекта федерального закона, уточняющего принятые изменения.

11. Существуют ли ограничения для ТСП, которое осуществляет деятельность в области служб знакомств или является онлайн-аптекой?

Да, существуют. В соответствии п. 1 ст.10 ФЗ №152 обработка специальной категории персональных данных (о расовой и/или национальной принадлежности, о политических взглядах, о религиозных и/или философских убеждениях, о состоянии здоровья, об интимной жизни) требует получения письменного согласия субъекта персональных данных.

12. Если прием (сбор) данных производится в России, а непосредственное списание денежных средств осуществляется в Европе, Америке и других странах, нарушается ли ФЗ №152 в этом случае?

ЮРИДИЧЕСКИЙ АНАЛИЗ.

Что такое персональные данные?

Прежде всего, персональные данные, как таковые, представляют собой информацию, то есть сведения (сообщения, данные) независимо от формы их представления. В частности, п. 1 ст. 3 ФЗ №152 определяет персональные данные как любую информацию, которая прямо или косвенно относится к определенному или определяемому физическому лицу (субъекту персональных данных).

Однако, немаловажным является и то, что к сфере действия ФЗ №152 отнесены лишь данные зафиксированные на материальном носителе, содержащиеся в картотеках или иных систематизированных собраниях персональных данных (ст. 1 ч. 1 ФЗ №152). Более того, данная информация должна касаться конкретного лица или такого лица, которое может быть прямо или косвенно идентифицировано пользователем персональных данных.

Фамилия, имя и отчество являются персональными данными, поскольку являются неотъемлемой частью процесса идентификации физического лица. Данные, которые собираются и обрабатываются после того, как физическое лицо определено или становится понятно какое физическое лицо определяется, такие как номер паспорта, номер банковской карты и другие так же, по смыслу закона, являются персональными данными.

Таким образом, данные плательщика включающие в себя ФИО, адрес доставки продукции, другие данные плательщика личного характера и номер банковской карты являются персональными данными. В то же время даже обезличенные номера банковских карт являются персональными данными, так как косвенно указывают на номер банковского счета, который принадлежит конкретному физическому лицу.

Что такое «обработка персональных данных»?

П. 3 ст. 3 ФЗ №152 определяет процесс обработки персональных данных как любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Нет, если сбор персональных данных отвечает конечной, заранее определенной, цели обработки данных оператором персональных данных, а также если деятельность оператора персональных данных, осуществляющего обработку персональных данных, соответствует законодательным требованиям. При этом, в соответствии с российским законодательством, при трансграничной передаче персональных данных получатель персональных данных, находящийся за рубежом, обязан уничтожить полученные персональные данные по достижении цели их обработки.

В этом случае и ТСП, и PSP-компания обязаны иметь статус оператора персональных данных. Также необходимо договориться о равном соотношении обрабатываемой информации, это не сложно.

Особенности обработки персональных данных.

В соответствии с ч. 2 ст. 5 ФЗ №152 обработка персональных данных должна ограничиваться достижением конкретных заранее определённых целей. Обработка персональных данных, несовместимая с целями сбора персональных данных, не допускается. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

Немаловажной деталью является тот факт, что, если физическое или юридическое лицо осуществляет деятельность по обработке персональных данных, считается, что такое лицо обладает статусом оператора персональных данных (специальный субъект правоотношений, связанных с обработкой персональных данных). Законодатель определяет понятие оператора персональных данных как «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными» (п. 2 ст. 3 152-ФЗ).

Важно отметить, что Закон не содержит исключений в части осуществления физическим или юридическим лицом отдельных операций по обработке персональных данных.

Обработка персональных данных вне зависимости от того, имеется ли запись в Реестре операторов в отношении организации или нет, должна осуществляться лицом в соответствии с требованиями Закона № 152-ФЗ.

Согласие физического лица на обработку персональных данных является основанием обработки персональных данных оператором персональных данных. Такое согласие может быть дано самим непосредственно самим лицом или его представителем и выражается в любой, позволяющей подтвердить факт его получения, форме.

В установленных Законом случаях, согласие должно быть дано исключительно в письменной форме и должно включать в себя цель обработки персональных данных, а также подпись субъекта персональных данных (ч. 4 ст. 9 ФЗ №152).

Отдельно следует обратить внимание на получение согласия на обработку персональных данных посредством сети Интернет. Если технология заполнения размещенной на сайте формы запроса обеспечивает сохранность сведений о получении согласия (позволяет подтвердить его получение), а также избранный оператором способ доведения до сведения субъекта персональных данных запроса на получение согласия, с учетом информации о его назначении, позволяет физическому, исходя из обычного уровня понимания, определить способы и цели обработки его персональных данных и путем заполнения и отправки запроса в электронном виде дать осознанное согласие на обработку персональных данных – такое согласие получено в соответствии с требованиями законодательства.

Деятельность каких компаний подпадает под сферу действия ФЗ №152?

Закон распространяет свое действие на следующие субъекты деятельности:

- российские компании;

- иностранные компании, имеющие в РФ официальные представительства/филиалы;

- иностранные компании, не имеющие официального присутствия в РФ, но ведущие бизнес через Интернет, который направлен на территорию РФ (о чем может свидетельствовать использование доменных имен .ru, .рф; наличие русскоязычной версии сайта; возможность осуществлять расчеты в рублях; использование рекламы на русском языке и пр.).

Отметим, что Закон не имеет экстерриториального действия и не распространяется на нерезидентов, собирающих персональные данные россиян за границей, только в том случае, если они не ведут деятельность в Интернете, направленную на потребителей и пользователей в РФ.

Правовым основанием необходимости соблюдения иностранными компаниями требований к работе с персональными данными граждан РФ является положение ст. 1212 Гражданского кодекса РФ, в соответствии с которой правом, применимым к договору между физическим лицом-потребителем (имеющим намерение заказать или приобрести либо заказывающий, приобретающий или использующий товары (работы, услуги) исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности) и иностранным контрагентом (профессиональной стороной), является право страны – места жительства физического лица.

При этом контрагент должен осуществлять свою профессиональную деятельность в стране места жительства потребителя либо, как уже отмечалось выше, любыми способами направлять свою деятельность на территорию этой страны или территории нескольких стран, включая территорию страны места жительства потребителя, а также, что немаловажно, заключаемый договор должен быть связан с такой деятельностью профессиональной стороны.

Это правило не распространяется на договоры перевозки, договоры на выполнение работ или об оказании услуг, если работа должна быть выполнена или услуги должны быть оказаны исключительно в иной стране, чем страна места жительства потребителя, а также на договоры об оказании за общую цену услуг по перевозке и размещению (независимо от включения в общую цену стоимости других услуг), в частности, на договоры в сфере туристического обслуживания.

Специальная категория персональных данных.

К специальной категории данных относят сведения о национальной, расовой принадлежности, философских, политических и религиозных убеждениях, состоянии здоровья и интимной жизни (п.п. 1, 2 ст. 10 ФЗ №152). Эти данные выделяются в отдельную категорию, так как закон прямо запрещает их использовать. Однако, обработка этой категории персональных данных допускается, если субъект персональных данных дал на это свое письменное согласие.

Таким образом ряд популярных ТСП, ведущих свою деятельность в сети Интернет, на наш взгляд, должны будут существенно преобразовать порядок и принципы ведения бизнеса для приведения его в соответствие с Российским законодательством. В противном случае оно не сможет законным образом пользоваться услугами операторов персональных данных.

Многие службы знакомств собирают данные пользователей, которые могут подпадать под перечень данных, относящихся к специальной категории персональных данных (например, к подробностям об интимной жизни).

Что касается ТСП, ведущих свою деятельность в фармацевтическом онлайн-бизнесе - при осуществлении продаж они запрашивают ряд данных о состоянии здоровья субъекта персональных данных.

Контроль за соблюдением законодательства в сфере обработки и хранения персональных данных. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Также, помимо перечисленного, ведет реестр операторов персональных данных (любое физическое или юридическое лицо, осуществляющее деятельность по обработке персональных данных обязано быть внесено в такой реестр).

Глава 4 ФЗ №152 содержит требования, которым должен соответствовать оператор персональных данных при обработке персональных данных. В частности, оператор персональных данных обязан:

· уведомить контролирующий орган о факте осуществления обработки персональных данных;

· иметь документы, подтверждающие согласие субъектов персональных данных на обработку персональных данных;

· иметь локальные акты, определяющие политику оператора в отношении обработки персональных данных по вопросам обработки персональных данных, а также устанавливающие процедуры, направленные на предотвращение, а также выявление нарушений и устранение последствий нарушения обязательных требований в области персональных данных;

· документально подтвердить соблюдение обязательных требований в области персональных данных, в том числе при обработке специальных категорий и биометрических персональных данных;

· уничтожать персональные данные по достижении цели обработки;

· при возникновении необходимости, уполномоченный представитель оператора персональных данных обязан обеспечить возможность осуществления проверки соответствия своей деятельности по обработке персональных данных требованиям ФЗ №152, обеспечить доступ к оборудованию, на котором хранятся персональные данные, а также предоставить необходимую документацию;

· выполнять предписания по устранению выявленных уполномоченным органом нарушений, в случае наличия таковых.

В ст. 6 ФЗ №152-ФЗ изложен перечень условий, которые оператор персональных данных обязан соблюдать при работе с персональным данными.

Уточняющие положения требований, предъявляемых к оператору персональных данных, изложены в подзаконных нормативно- правовых актах: постановлениях Правительства РФ, приказах Минкомсвязи, в ряде случаев приказах Роскомнадзора. Например, ст. 22 ФЗ №152 устанавливает обязанность оператора персональных данных до начала осуществления обработки персональных данных уведомить об этом Роскомнадзор. При этом, в приказе Минкомсвязи России от 21.12.2011 г. № 346 содержатся положения, регламентирующие форму уведомления, его процедуру и сроки.

Роскомнадзор осуществляет контрольные полномочия в отношении оператора, то есть посредством проведения контрольно-надзорных мероприятия (выездные и документарные проверки, мониторинг сети Интернет) подтверждает наличие или отсутствие в деятельности организации нарушений законодательства в области персональных данных.

Возможна ли передача персональных данных заграницу?

Ст.12 ФЗ №152 допускает возможность трансграничной передачи персональных данных в страны – участницы Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных. Согласие физического лица на трансграничную передачу персональных данных в этом случае не требуется.

Государство, не являющееся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности персональных данных.

Но п. 4 вышеуказанной статьи допускает передачу персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, в случаях (но не ограничиваясь) наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и исполнения договора, стороной которого является субъект персональных данных.

Обязательным условием является тот факт, что трансграничная передача данных возможна только если она отвечает заявленным целям обработки персональных данных (ч. 2 ст. 5 ФЗ №152). Если трансграничная передача данных не будет соответствовать цели сбора данных, то даже при наличии согласия субъекта персональных данных, такая передача будет осуществляться с нарушением законодательства в области персональных данных.

Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15.03.2013 №274 в редакции Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций «О внесении изменений в Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15.03.2013 г. №274» от 29.10.2014 г. был утвержден перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных.

Соответственно, иностранными государствами, не обеспечивающими адекватную защиту прав субъектов персональных данных, являются следующие государства:

Абхазия, Алжир, Антигуа и Барбуда, Афганистан, Багамские Острова, Бангладеш, Барбадос, Бахрейн, Белиз, Белоруссия, Боливия, Ботсвана, Бразилия, Бруней, Буркина-Фасо, Бурунди, Бутан, Вануату, Ватикан, Венесуэла, Восточный Тимор, Вьетнам, Габон, Гаити, Гайана, Гамбия, Гана, Гватемала, Гвинея, Гвинея-Бисау, Гондурас, Государство Палестина, Гренада, Джибути, Доминика, Доминиканская Республика, Демократическая Республика Конго, Египет, Замбия, Зимбабве, Индия, Индонезия, Иордания, Ирак, Иран, Йемен, Казахстан, Камбоджа, Камерун, Катар, Кения, Киргизия, Кирибати, Китай, КНДР, Колумбия, Коморские Острова, Коста-Рика, Кот-дИвуар, Куба, Кувейт, Лаос, Лесото, Либерия, Ливан, Ливия, Маврикий, Мавритания, Мадагаскар, Малави, Мали, Мальдивские Острова, Маршалловы Острова, Мозамбик, Мьянма, Намибия, Науру, Непал, Нигер, Нигерия, Никарагуа, ОАЭ, Оман, Пакистан, Палау, Панама, Папуа-Новая Гвинея, Парагвай, Республика Конго, Руанда, Сальвадор, Самоа, Сан-Томе и Принсипи, Саудовская Аравия, Свазиленд, Сейшельские Острова, Сент-Винсент и Гренадины, Сент-Китс и Невис, Сент-Люсия, Сингапур, Сирия, Соломоновы Острова, Сомали, Специальный административный район Гонконг КНР, Судан, Суринам, США, Сьерра-Леоне, Таджикистан, Таиланд, Танзания, Того, Тонга, Тринидад и Тобаго, Тувалу, Туркмения, Уганда, Узбекистан, Уругвай, Федеративные Штаты Микронезии, Фиджи, Филиппины, Центральная Африканская Республика, Чад, Швейцарская Конфедерация, Шри-Ланка, Эквадор, Экваториальная Гвинея, Эритрея, Эфиопия, ЮАР, Южная Осетия, Южный Судан, Ямайка.

В том случае если платежный оператор персональных данных или ТСП находится в одной из вышеприведенных стран, то для работы с персональными данными им потребуется наличие письменного согласия субъекта персональных данных, размещение на Интернет-ресурсе Политики безопасности обработки персональных данных, а также соответствие требованиям российского законодательства, которые предъявляются к оператору персональных данных.

Какие последствия ожидают операторов персональных данных в случае нарушения требований Закона к процессу обработки персональных данных?

Нарушение оператором персональных данных требований, предъявляемых к порядку обработки персональных данных, влечет следующие, предусмотренные российским законодательством, последствия (ст. 24 ФЗ №152):

1. Предписание Роскомнадзора об устранении выявленного в процессе проведения проверки нарушения;

2. Административная ответственность (ст. 13.11 КоАП);

3. Меры прокурорского реагирования;

4. Блокировка сайта или сервиса на территории России (ФЗ «Об информации, информационных технологиях и о защите информации» №149-ФЗ, ст. 16, 17) – в этом случае субъект персональных данных, чьи права были нарушены, вправе самостоятельно обратиться суд с исковым заявлением о нарушении порядка обработки персональных данных, либо Роскомнадзор обращается в суд (в целях защиты интересов неопределенного круга лиц) с требованием о блокировке Интернет-ресурса;

5. Возмещение убытков и морального вреда субъекту пересданных по решению суда.

ТЕХНИЧЕСКИЙ АНАЛИЗ

Что такое процессинг банковских платежных карт в сети Интернет и как он относится к вопросу о персональных данных?

Процессинг – это деятельность по обработке информации, используемой при совершении платёжных операций. Так как наиболее широкое применение такая деятельность получила при опосредовании электронных расчетов и платежей, совершенных с использованием пластиковых карт.

Механизм обеспечения информационно-технологического взаимодействия (ИТВ) между участниками расчетов подразумевает приём сформированных покупателями через платёжные страницы компании электронных запросов на совершение платежа, содержащие имя плательщика и номер его карты (все это является персональным данным, исходя из законодательного определения), далее проверка введенных данных на достоверность и законность, и их последующая передача участнику платежного процесса – банку.

Важно отметить, что PSP-компания не является субъектом Федерального закона №161-ФЗ «О национальной платежной системе».

Представляя интересы своих клиентов, ChronoPay осуществляет агентскую деятельность, которая заключается не в переводе денежных средств по поручению своих клиентов – товаро-сервисных предприятий (ТСП) кому-либо (это невозможно), а в оказании услуг по подключению клиентов к услугам банка по процессингу, осуществлении деятельности по поддержании технической возможности для ТСП в получении сведений о совершённых в их пользу платежах, сверка расчётов и урегулирование претензий по спорным платежам и др. Все эти действия осуществляются ChronoPay от своего имени и за счёт клиентов, что соответствует понятию агентирования, предусмотренному в абз. 2 п. 1 ст. 1005 ГК РФ.

Как осуществляются интернет-платежи по банковским картам?

ТСП, которое планирует получить возможность принимать оплату своих товаров (услуги) с помощью банковских карт и других платежных средств, заключает договор с PSP-компанией (Payment Service Provider), которая обеспечивает информационно-технологическое взаимодействия между участниками платежных систем при осуществлении транзакции.

В настоящее время существует два принципиальных способа взаимодействия ТСП и PSP-компании.

В первом случае, после выбора товара, покупатель вводит номер банковской карты, а также другие персональные данные непосредственно на сайте ТСП, после чего эти данные в обработанном виде, по защищенному каналу передаются в PSP–компанию, осуществляющую дальнейшие технологические операции по передаче информации о платеже.

При этом, сбор и обработку персональных данных осуществляют как PSP-компания, так и само ТСП. Для соответствия действующему законодательству РФ каждая из них должна получить статус оператора персональных данных и располагать электронно-вычислительными мощностями на территории РФ.

Во втором случае, плательщик, после выбора товара перенаправляется на сайт PSP-компании, где и вводит персональные данные, требуемые для проведения платежа. Таким образом, доступ ТСП к персональным данным держателей банковских карт исключается. В этом случае только PSP-компании необходимо соответствовать требованиям, предъявляемым Российским законодательством к операторам персональных данных, а ТСП может избежать процедуры получения статуса оператора персональных данных, приобретения электронно-вычислительных мощностей на территории Российской Федерации, что значительно облегчает работу ТСП.

PSI DSS сертификация деятельности при работе с персональными данными.

PCI DSS (Payment Card Industry Data Security Standard, стандарт безопасности данных индустрии платежных карт) — это документ, в котором описаны правила обеспечения безопасности информации о владельцах платежных карт при ее обработке, передаче или хранении. Учреждён международными платёжными системами Visa, MasterCard, American Express, JCB и Discover.

Согласно правилам международных платежных систем, любая компания обрабатывающая карточные данные обязана выполнять общие для всех требования по безопасности. Требования изложены в стандарте PCI DSS, в основе которого лежат фундаментальные организационные, технические и операционные требования, разработанные для защиты данных держателей карт.

Стандарт применим ко всем участникам платежных систем: ТСП, сервис-провайдерам, процессинговым центрам, банкам-эквайерам, банкам-эмитентам. Каждый участнику платежных систем, обрабатывающий карточные данные обязан ежегодно проходить проверку сертифицированной компанией-аудитором и подтверждать соответствие стандарту PCI DSS. Любое значительное изменение технической инфраструктуры компании требует дополнительных процедур обеспечения безопасности, а также дополнительных проверок со стороны компании-аудитора.

Таким образом при переносе информационной системы и технологических мощностей компании, обрабатывающей карточные данные, на территорию РФ, ей потребуется пройти проверку и подтверждение соответствия стандарту PCI DSS.

СООТНОШЕНИЕ ПЛАТЕЖНОГО БИЗНЕСА И ФЗ №152

Являются ли данные платежной карты персональными данными?

В первую очередь, вся информация, расположенная на лицевой стороне пластиковой карты (реквизиты карты: имя, фамилия, номер), а также на оборотной стороне (CVV2/CVC2 код) и пароль доступа (ПИН-код) является конфиденциальной.

Как уже отмечалось, персональные данные представляют собой любую информацию, которая относится к прямо или косвенно определенному, или определяемому физическому лицу. Платежная карта – платежный инструмент, подтверждающий право обладания держателем карты денежными средствами на счете карты, и посредством данных платежной карты можно идентифицировать держателя карты, а значит, руководствуясь положением ФЗ №152, данные платежной карты следует относить к категории персональных данных.

Что происходит при обработке персональных данных в платежном бизнесе?

При получении данных от ТСП или с платежной страницы, PSP-компания передает ее банку-эквайеру. В ответ получает информацию об одобрении транзакции или об отказе от проведения транзакции.

Хранение данных о платеже требуется для различных технологических процедур, сверок с партнёрами, а также при опротестовании платежа плательщиком. Данные хранятся требуемый для бизнеса строго определенный срок. Затем, по истечении срока хранения, уничтожаются.

ФЗ №152 содержит понятие определяет понятие процесса обработки персональных данных, составной частью которого является сбор персональных данных. Ч. 5 ст. 18 устанавливает, что такие действия как запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ, производимые при сборе данных должны производиться только на территории РФ. Из этого следует, что если для достижения конечной цели, заявленной оператором обработки персональных данных, достаточно осуществить сбор информации, то такая деятельность прямо подпадает под регулирование ч. 5 ст. 18.

Если же для достижения конечной цели оператор совершает сбор данных с целью их последующей передачи, в частности на территорию иностранного государства, как это зачастую происходит в платежном бизнесе, то только запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение должны производиться на территории РФ с использованием технических мощностей, находящихся на территории РФ.

Национальная система платежных карт (НСПК), ее правила, особенности проведения расчетов, Федеральный закон №161-ФЗ «О национальной платежной системе».

НСПК – российская национальная платежная инфраструктура, позволяющая денежных средств от одного субъекта экономики другому. Создана 23 июля 2014 года в Российской Федерации на основании Федерального закона № 112-ФЗ с целью обеспечения бесперебойности, эффективности и доступности оказания услуг по переводу денежных средств.

Особенности ее функционирования определены в Федеральном законе №161-ФЗ «О национальной платежной системе» (глава 4.1).

В рамках НСПК осуществляются переводы денежных средств с использованием платежных карт и иных электронных средств платежа, предоставляемых клиентам участниками НСПК в соответствии с правилами НСПК, а также оказываются услуги платежной инфраструктуры по осуществляемым на территории Российской Федерации переводам денежных средств с использованием международных платежных карт (платежные карты, которые эмитируются кредитными организациями, расположенными в двух и более государствах, и на которых размещен единый товарный знак (знак обслуживания), принадлежащий иностранному юридическому лицу, личным законом которого считается право иностранного государства).

Что касается расчетов в комментируемой платежной системе – п. 4 ст. 30.6 ФЗ предусматривает, что кредитные организации при осуществлении переводов денежных средств с применением международных платежных карт, а также платежные системы, в рамках которых определяются правила эмиссии международных платежных карт и осуществляются на территории РФ переводы денежных средств с использованием международных платежных карт, обязаны организовать взаимодействие, получать операционные услуги от операционного центра НСПК и услуги платежного клиринга от платежного клирингового центра НСПК. PSP-компании в данном случае могут способствовать облегчению и ускорению процесса расчетов.

Финансовый аспект приема платежей по банковским картам в сети Интернет.

Денежный поток, возникающий при проведении транзакций, не связан с техническим аспектом проведения транзакций.

Для приема платежей в сети Интернет ТСП заключает соответствующий договор с кредитной организацией (банк-эквайрер), которая и осуществляет прием денежные переводы за предоставленные товары (выполненные услуги) от банков, выпустивших платежную карту (эмитентов).

ПРИВЕДЕНИЕ ДЕЯТЕЛЬНОСТИ ЗАРУБЕЖНЫХ КОМПАНИЙ В СООТВЕТСТВИЕ С ФЗ №152.

Что необходимо предпринять ТСП и/или PSP-компаниям для того чтобы соответствовать российскому законодательству в сфере обработки персональных данных?

1. Создать требуемую законодательством документацию;

2. Организовать возможность обработки персональных данных россиян на территории РФ (аренда серверов или строительство дата-центров на территории РФ);

3. Получить сертификат соответствия Стандарту PSI DSS;

4. Разместить на Интернет-ресурсе ТСП Политики безопасности обработки персональных данных;

5. Уведомить полномочный регулирующий орган (Роскомнадзор) о факте осуществления организацией деятельности по обработке персональных данных;

6. Соблюдать требования, предъявляемые российским законодательством к деятельности оператора персональных данных, а также к работе с персональными данными.

Способы приведения в соответствие деятельности зарубежных компаний требованиям российского законодательства о персональных данных.

- В случае если ТСП обрабатывает персональные данные на собственных информационных ресурсах требуется полный перенос необходимой технической и корпоративной инфраструктуры для организации обработки персональных данных на территории РФ и дальнейшая работа с PSP – оператором персональных данных.

Подобное решение может заинтересовать компании, принимающих карты на собственных сайтах/мобильных продуктах. Данное подход потребует значительных затрат на аренду/постройку дата-центра, открытие и содержание юридического лица, и далее пере-сертификацию бизнес-процессов и мощностей по стандарту PCI в случае проведения платежей внутри России. При этом в случае использования PSP-компании для маршрутизации трансакций в банки-эквайеры, технически возможна прямая интеграция российских платежных компаний в зарубежные банки эквайеры ТСП, однако на практике подключение российского платежного оператора потребует значительных трудовых ресурсов и временных затрат, исчисляющихся, как правило, месяцами.

В случае если ТСП воспользуется российской банковской системой и операторами для проведения платежей, данный платежный поток должен соответствовать российской налоговой системе, либо компания должна будет заключать трансграничные договоры с российскими банками и операторами, что в свою очередь попадает под требования валютного контролирования.

- В случае если ТСП не обрабатывает персональные данные и делегирует данную деятельность PSP-компании – оператору персональных данных.

В такой ситуации только PSP-компании необходимо соответствовать требованиям предъявляемым Российским законодательством к операторам персональных данных. Для ТСП достаточно заключить договор с PSP-компанией, в где будет предоставлено право обработки персональных данных (основанное на согласии субъектов персональных данных) и упомянуть этот факт на Интернет-ресурсе.

- Заключение договора на информационно-технологическое взаимодействие при осуществлении платежей (в том числе обработку и хранение персональных данных российских граждан) с PSP-компанией, являющейся оператором персональных данных, уже локализовавшим серверные мощности в России и при этом имеющим юридическое лицо вне России.

Ряд российских PSP-компаний операторов платежей имеет зарубежные представительства. В то же время ряд зарубежных компаний-операторов платежей создали техническую инфраструктуру в России.

Таким образом при проведении платежей используя данные компании, сразу обрабатывающие российские платежи в России, позволяет ТСП заключать договоры за рубежом без создания отдельной инфраструктуры в России. Такое решение позволит иностранным компаниям полностью сохранить существующие бизнес-процессы, избежать затрат на локализацию инфраструктуры и сертификацию процессов, и, что самое главное, соответствовать российскому закону «О персональных данных».

ВЫВОД

Основываясь на вышеизложенном, представляется экономически обоснованным использование компаний-операторов платежей имеющих техническую инфраструктуру в России и возможности заключения договоров на обслуживание за рубежом в случае, если компания, при получении персональных данных российских граждан, не преследует других целей кроме как проведение платежей.

Компания ChronoPay имеет как европейское, так и российское юридическое лицо, а также обладает всеми необходимыми сертификатами, подтверждающими обеспечение безопасности обработки, хранения и передачи данных о держателях платежных карт при работе с международными платежными системами Visa, MasterCard и другие.

У иностранных компаний есть возможность заключить договор информационно-технологического взаимодействия при совершении транзакций россиян как с голландским, так и с российским юридическим лицом, при этом, сам процессинг будет осуществлять российская компания.

Российское юридическое лицо компании ChronoPay является аккредитованной IT-компанией при Министерстве связи и массовых коммуникаций РФ (номер аккредитации №221 от 16.04.2009 г.), а также зарегистрирована как оператор персональных данных в Реестре операторов персональных данных на сайте Роскомнадзора (номер 11-0223843, Приказ №952 от 31.10.2011 г.).

В случае возникновения дополнительных вопросов, пожалуйста, обращайтесь в юридическую службу ChronoPay.





Наши видео

18-19 апреля 2017 г., г. Москва. Журнал «Retail & Loyalty» проводит 4-й Международный ПЛАС-Форум "Online & Offline Retail", посвященный анализу перспектив развития индустрии в России, странах СНГ и дальнего зарубежья

Анонс номера

Информационный портал Retail & Loyalty
ул. Кржижановского, д. 29, корп. 5
Москва, 117218 Россия
Work +7 495 961 1065