Rambler's Top100
 
Блоги Михаил ЕМЕЛЬЯННИКОВ

Закон о движении облаков строго над территорией России

  03 августа 2011 Страница персоны

Внимательно анализируя результаты весенней парламентской сессии, изменения, внесенные в законодательство и ревизуя свои авторские курсы в связи с этими изменениями (в сентябре предстоят премьеры всех четырех обновлений и подготовиться нужно серьезно), иногда прихожу к неожиданным для себя выводам.

Самыми интересными буду делиться здесь. Если есть желание поспорить или предложить иную трактовку – милости прошу. Поскольку выводы иногда получаются не самыми оптимистичными.

Начнем с облачных вычислений.

Похоже, новая редакция закона «О персональных данных» категорически исключает возможность простого и радикального решения вопроса соответствия закону – переноса обработки персданных за территорию Российской Федерации или в облако с нечеткими границами.

Итак, логика рассуждений. ФЗ-152 позволяет оператору поручить обработку персданных другому лицу, уже получившему в Интернете элегантное имя ЛООПДППО (лицо, организующее обработку персональных данных по поручению оператора) на основании договора, заключаемого с этим самым ЛООПДППО (ч.3 ст.6). Согласие должно быть доказываемое, конкретное, информированное (кто бы сказал, что это?) и сознательное. Допустим, эта проблема решена в договоре между оператором и субъектом. Идем дальше.

ЛООПДППО обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152, а в поручении оператора должны быть указаны требования (!) к защите обрабатываемых персональных данных (теперь внимание!) в соответствии со статьей 19.

Не вдаваясь пока глубоко в содержание ст.19, выделю лишь горячо обсуждаемое требование о применении средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.

В ч.5 ст.6  определено, что оператор несет ответственность перед субъектом персональных данных за действия ЛООПДППО.

Определяя роль оператора, передающего обработку на аутсорсинг, ч.1 ст.19  закона в новой редакции устанавливает, что оператор обязан обеспечивать принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Мне кажется, все однозначно. Обработка персданных с использованием облачных технологий стороннего провайдера возможна при выполнении следующих условий:

на это есть доказываемое конкретное, информированное и сознательное согласие каждого субъекта, чьи данные обрабатываются; в договоре оператора с провайдером оговорено выполнение требований ФЗ-152; провайдер создал подсистему ИБ, соответствующую ФЗ-152, с использованием СЗИ, сертифицированных ФСБ и ФСТЭК.

Кроме того, в соответствии с ч.2 ст.18 прим, оператор обо всем этом должен честно и подробно рассказать в опубликованной им политике в отношении обработки персональных данных.

Даже если найдется безумный провайдер за рубежом, готовый пойти под юрисдикцию ФЗ-152 (интересно, что думают об этом власти страны, где он зарегистрирован?) и поставить у себя всякие там экраны, сканеры и прочие с российскими сертификатами, придется решать нерешаемую проблему передачи данных через Интернет, т.е. получать разрешение (в России) на ввоз (по месту нахождения ЦОД) российских криптографических средств.

Таким образом, на CRM, ERP и прочих системах, получаемых по запросу (SaaS) из-за рубежа, похоже, надо будет поставить крест.

А теперь вопросы на засыпку:

1. Что делать с системами бронирования авиабилетов российских авиакомпаний, полностью лежащих в облаках Sabre и Gabriel?

2. Что делать банкам, отелям, страховым компаниям и прочим, формально являющимся резидентами РФ, но входящим в международные компании, которые требуют все данные (в том числе персональные) передавать им и строить их обработку по их же правилам (часто в их же ЦОДах)?

3. Что делать Интернет-магазинам, хостящимся где-то там, за облаками?

Выводы неутешительные. Может, я где-то перегнул?  

Поделиться:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

4.08 11:21 Alex Scherbin :
Теперь все ЦОДы будут строиться в России. Может этому хоть научимся, наконец? :)
8.08 1:22 М.Емельянников:
Это вряд ли ((с) - товарищ Сухов). Никогда административное принуждение не было источником инноваций. И не будет. Все уйдут в облачный офф-шор. А нам - регуляторы, проверки и штрафы.