Rambler's Top100
Блоги Михаил ЕМЕЛЬЯННИКОВ

Персональные данные россиян после 1 сентября, теперь - в зарубежных облачных сервисах

  28 августа 2015 Страница персоны

До 1 сентября, после которого большое количество операторов оказывается в совершенно новых условиях работы с персональными данными, осталось совсем немного. Несмотря на то, что на эту тему я уже писал неоднократно (например, здесь и здесь), мы завалены вопросами по телефону, почте, скайпу, фейсбуку на эту тему. Поэтому остановлюсь на тех нововведениях закона, которые волнуют наибольшее количество компаний.

Начну с понятий, что же такое персональные данные, и кто является оператором этих данных. Пункт 1 статьи 3 Закона о персональных данных определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Данное определение является весьма неопределенным и допускает сколь угодно широкое его толкование. При таком определении к персональным данным могут быть отнесены практически любые сведения о физическом лице, независимо от того, возможна ли его однозначная идентификация (установление личности) с использованием указанных сведений или нет. Эта проблема определения основных понятий достаточно глубоко анализируется в вышедшем в этом году Научно-практическом комментарии к закону «О персональных данных» под редакцией заместителя руководителя Роскомнадзора А.А.Приезжевой.

Оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Ключевыми в этом определении являются слова об определении целей обработки, состава обрабатываемых данных и действий, совершаемых с ними.

Хотелось бы акцентировать внимание на поправках в закон «О персональных данных», касающихся размещения баз персональных данных российских граждан в период их сбора на территории Российской Федерации:

·   ограничения на размещение баз персональных данных вводятся на период сбора персональных данных и не затрагивают их последующей обработки после завершения сбора, кроме ряда конкретных способов обработки;

·    ограничения касаются только персональных данных граждан Российской Федерации и не касаются персональных данных граждан других государств и лиц без гражданства;

·         ограничения вводятся только на 9 из 18 способов обработки, установленных частью 3 статьи 3 закона «О персональных данных» (сбор, запись, систематизация, накопление, хранение, уточнение, обновление, изменение, извлечение) и не ограничивают расположением баз данных на территории России такие действия с персональными данными как использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение.

Последний вывод означает, что после завершения сбора персональных данных они должны находиться (храниться) в базах данных на территории Российской Федерации, при этом изменения в данные (в том числе, уточнения и обновления) должны вноситься также в базы данных на территории Российской Федерации.

При этом указанное требование не накладывает никаких ограничений на передачу персональных данных после их сбора и записи в базу данных на территории России, в том числе – на трансграничную передачу, предоставление к ним доступа с территории иных государств, а также на использование персональных данных граждан Российской Федерации после их трансграничной передачи, в том числе – на использование данных из информационных систем, находящихся за пределами Российской Федерации. Закон в новой редакции не устанавливает новых, дополнительных ограничений на трансграничную передачу персональных данных, не вводит запрет на обработку персональных данных в дата-центрах и облачных инфраструктурах, находящихся вне территории Российской Федерации, за исключением периода их сбора.

Российская Федерация законом от 19.12.2005 № 160-ФЗ ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108). Ратификационная грамота принята Советом Европы 15.05.2013, и с 01.09.2013 вступили в силу обязательства Российской Федерации, обусловленные данной конвенцией. В соответствии с частью 2 статьи 12 «Передача персональных данных через границы и национальное право» Европейской конвенции, сторона конвенции не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой Стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы.

Часть 1 статьи 12 закона «О персональных данных» устанавливает, что трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Европейской конвенции, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена лишь в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

Иностранными государствами, обеспечивающими адекватную защиту прав субъектов персональных данных, в соответствии с частями 1 и 2 статьи 12 закона «О персональных данных», помимо государств-сторон Европейской конвенции, являются страны, включенные в утверждаемый Роскомнадзором перечень иностранных государств, не являющихся сторонами Европейской конвенции.

Вместе с тем, надо отметить, что актуализация всех ранее собранных персональных данных (их обновление, изменение, уточнение) первоначально также должна производиться в базах данных на территории Российской Федерации, и эти базы на территории России всегда должны содержать все актуальные персональные данные, используемые оператором и полученные или актуализированные им в период времени, начиная с 1 сентября 2015 года. Таким образом, после 1 сентября 2015 года российский оператор для использования при обработке персональных данных облачных сервисов, серверы которых расположены за пределами Российской Федерации, должен принять дополнительные меры, в частности, базу персональных данных, предназначенную для их первичного сбора, записи и накопления, а также последующей актуализации (уточнения, обновления, изменения) разместить на территории Российской Федерации и постоянно хранить обрабатываемые персональные данные в такой базе. При этом возможным является последующее копирование (перенос) этих данных на сервера за пределами Российской Федерации.

База данных – пока категория не определенная. Согласно разъяснениям на сайте Минкомсвязи, можно предположить, что в качестве базы данных надзорные органы готовы рассматривать, в том числе хранилища бумажных документов, не говоря уже о файлах офисного формата и сканах документов.

Если принятие указанных выше дополнительных мер не может быть реализовано соответствующим российским оператором, то в качестве возможных сценариев организации обработки персональных данных, размещенных в дата-центрах и облачных инфраструктурах, находящихся вне территории Российской Федерации, могут быть рассмотрены следующие:

1.   Размещение данных, предварительно прошедших процедуру обезличивания, при условии, что их де-обезличивание реализуется только на территории Российской Федерации. При выполнении процедуры обезличивания целесообразно руководствоваться требованиями приказа Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных», обязательного к исполнению для операторов, являющихся государственными или муниципальными органами. В этом случае операторы, не являющиеся государственными или муниципальными органами, при обосновании правомерности, разумности и достаточности выбранного способа обезличивания, могут ссылаться на требования, установленные в нормативном акте уполномоченного федерального органа исполнительной власти.

2.   Размещение персональных данных в зашифрованном виде при условии, что их расшифрование осуществляется только на территории Российской Федерации. Для шифрования должны использоваться сертифицированные средства криптографической защиты, поскольку в данном случае шифрование выполняется с целью нейтрализации актуальной угрозы безопасности персональным данным, связанной с возможностью несанкционированного доступа к ним неавторизованного персонала дата-центра или облачного провайдера.

Такие варианты не должны рассматриваться как размещение персональных данных за рубежом, поскольку они не соотносятся с определяемым в такой системе субъектом и, собственно, персональными данными не являются.

После 1 сентября 2015 года оператор, осуществляющий сбор персональных данных российских граждан с использованием баз данных, находящихся не на территории Российской Федерации, может быть привлечен к административной ответственности по основаниям, предусмотренным статьей 13.11 КоАП (размер штрафа для юридических лиц составляет от 5 до 10 тысяч рублей), поскольку невыполнение требования о месте нахождения баз персональных данных при их сборе является прямым нарушением вступающей в силу нормы закона «О персональных данных», которая определяет новый порядок сбора персональных данных с 1 сентября 2015 года.

Кроме того, после 1 сентября 2015 года, в соответствии с изменениями в закон «Об информации, информационных технологиях и о защите информации», может быть ограничен (фактически – заблокирован) доступ пользователей с территории Российской Федерации к сайту (странице сайта) в сети интернет, на котором персональные данные обрабатываются с нарушениями требований российского законодательства. Данная мера может быть принята, в том числе и в отношении сайтов, размещенных за пределами Российской Федерации, и сайтов, владельцы которых находятся вне юрисдикции Российской Федерации.

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.