Пользователь
–3,9
рейтинг
17 ноября 2015 в 10:51

Разработка → Перенос данных в Россию. Краткий FAQ по заблуждениям

Фраза «уж сколько раз твердили миру» наверно идеально подходит под описание ситуации с защитой персональных данных и их переноса в Россию. За прошедшее с начала обсуждений проблем в этой области время казалось бы обсуждено все. И тем более юристы должны уметь читать законы.

Увы. Посещение очередной конференции развеяло для меня этот миф, в связи с чем я предлагаю в копилку Хабражителям ответы на типовые вопросы в области переноса данных.

Как передать ответственность за обработку персональных данных?

Почему-то забывают, что Федеральный закон от 21.07.2014 № 242-ФЗ не является законом сам по себе. Он лишь вносит изменения в:

  • Федеральный закон от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации»
  • Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных»
  • Федеральный закон от 26 декабря 2008 года N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей

Поэтому, говоря от защите персональных данных, нужно оперировать положениями 152-ФЗ. В соответствии с 152-ФЗ:

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Таким образом ответственность перед субъектом в любом случае остается на операторе — компании, получившей согласие субъекта персональных данных на их обработку. В общем даже выделение части сотрудников в иное юрлицо не спасет ситуацию, поскольку данные все равно продолжат обрабатываться в компании — ведь с этими сотрудниками сохранятся деловые взаимодействия.

… Роскомнадзор… защищенный канал/шифрование

Очень много вопросов касается мер защиты. И это естественно. Но почему-то единственной точкой приложения считается Роскомнадзор. Опять-же согласно 152-ФЗ имеется три регулятора, каждый из которых имеет свою зону ответственности.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

А это у нас ФСТЭК РФ и ФСБ РФ, где последняя отвечает за шифрование.

Как нам выполнить требование о переносе серверов?

В текущей редакции 149-ФЗ гласит:

7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

И соответственно 152-ФЗ:

5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети „Интернет“, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона

Здесь важно, что в определении используется формулировка „с использованием“. Вариантов толкования много. В принципе под него попадет даже параллельно работающий сервер. Но обычно определение толкуют в смысле. что:

  1. Сбор и хранение данных должны осуществляться на территории РФ, а вот обработка может быть где угодно
  2. За рубежом же можно хранить и копии данных — к которым и будут идти обращения при обработке




Здесь и далее иллюстрации брались из материалов конференции.



Минимизировать риск нарушения закона позволяет внимательное его чтение

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

Ответственность перед субъектом в любом случае останется на операторе, но вот меры защиты (вместе ответственностью за их исполнение) могут быть перенесены на третью сторону. В соответствующем договоре должны быть прописаны цели обработки данных, требования по их защите и тд



Отдельный вопрос — необходимость уведомления Роскомнадзора компанией, которой передают данные на обработку вместе с ответственностью за их защиту. Теоретически такой компанией может быть некая специализированная компания, предоставляющая выполнение требований закона как услугу. Но она в общем случае не может знать, что от нее потребует следующий клиент — а уведомлять Роскомнадзор до начала обработки в случае каждого договора… Наиболее интересный вариант из 152-ФЗ гласит, что

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

Этот вариант возможен только в случае трехстороннего договора, одной из сторон которого является субъект персональных данных.
@teecat
карма
23,0
рейтинг –3,9
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (11)

  • +2
    Ну то есть я правильно понял, что всем пофиг где еще хранятся данные, главное чтобы была не шифрованная копия в России?
    То есть как бы сложив два и два можно получить что кто там что и куда это все равно, главное чтобы можно было изъять данные при необходимости без лишних запросов?
    • +1
      У меня еще на этапе обсуждения законопроекта именно такое впечатление и сложилось
    • +1
      Честно говоря думаю, что законопроект сделали просто в политическую струю, что все данные должны быть недоступны для Запада. Но как всегда на декларировании желания все и закончилось — никаких мер по развитию внутреннего хостинга не замечается. Чиновникам и образованию тупо запрещают пользоваться международными сервисами в ожидании появления локальных и завоевания ими мира (да, такая цель тоже прописана)

      Естественно закон неисполним — просто потому, что может крупные компании типа Гугла и международного бизнеса и перенесут хранение и сбор в Россию. Но для тысяч мелких сервисов это даже теоретически невозможно.
    • 0
      Было обсуждение в похожем посте. Если верить комментариям на сайте Минкомсвязи, нельзя, так как (далее цитаты с фака Минкомсвязи):
      законодательно не имеется разделений на «основную» базу персональных данных и ее «копию»

      Закон не предусматривает понятия «первичный сбор», а устанавливает требования к обработке персональных данных при любом сборе информации
      • +1
        Вся проблема в том, что:
        • как всегда закон содержит крайне уклончивые формулировки, которые могут толковаться как угодно
        • если для крупнейших компаний толкование закона будет произведено кулуарно, то для большинства компаний определяющим станет мнение местного представителя Роскомнадзора. «Вы конечно можете протестовать, но пока мы блокируем...»

        Зацитирую из emeliyannikov.blogspot.ru/2015/09/blog-post.html:
        Необходимо отметить, что в законе, устанавливающем требование об обязанности оператора при сборе персональных данных, в том числе посредством сети Интернет, обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, слова «только» нет.

        Не вносятся изменения и в порядок трансграничной передачи данных. Многочисленные и противоречивые комментарии законодателей, регуляторов (Минкомсвязи) и органов надзора (Роскомнадзор) говорят о том, что нет ясности и у них. О степени растерянности говорит и комментарий Минкомсвязи, в котором обосновывается допустимость прямого использования зарубежных систем бронирования авиабилетов без их локализации, со ссылками на конвенции 1929, 1944 и 1961 годов, в которых нет ни слова о бронировании, интернете и персональных данных. Допустимость бронирования билета Москва–Новосибирск на зарубежном ресурсе выглядит более чем странно, но вполне объяснима – иначе придется останавливать все перелеты, глобальной российской системы бронирования попросту нет.

        У меня четкое впечатление от общения с нашими заказчиками – все затаились и ждут первых последствий правоприменения. В зависимости от того, как будет развиваться ситуация, будут приниматься решения, в том числе и о локализации обработки персональных данных или закрытии бизнеса в России. Отмечу лишь, что несмотря на все громкие заявления, проверить находящиеся вне российской юрисдикции Facebook и Twitter невозможно. А вот заблокировать доступ к ним на территории России можно. Но это будет уже совсем другая история.
  • 0
    Картинки без пояснения не очень понятны.
    • 0
      Это скриншоты из презентаций двух компаний, участвовавших в конференции. Не уверен, что могу выкладывать чужие презентации полностью, поэтому привел их них лишь несколько интересных слайдов, указав источник. Лично рекомендую посмотреть презентацию от Stack Group — там много схем возможных реализаций. Если есть заинтересованность, могу попытаться связаться с автором и получить его разрешение на полную выкладку материала.
      • 0
        А где её посмотреть?
        • 0
          Как я понимаю — нужно зарегистрироваться на www.ccifr.ru/ru/index.php?pid=130&id=291&type=1. Раньше презентации были открыты, но сейчас в открытом доступе их нет
  • +1
    Смутила фраза: Средства криптографической защиты должны быть сертифицированы российскими властями и должны находится на территории РФ.
    Я многое опущу, но есть несколько тезисов:
    Требование «оценки соответствия» есть и от него никуда не деться
    – Не все регуляторы одинаково читают и трактуют ФЗ-184
    Однозначного ответа по обязательности сертификации нет
    – При условии, что на ПП-330 и дальше будет висеть гриф «ДСП»
    Оценка соответствия может быть в различных формах
    – От сертификации и государственного контроля и надзора до приемки и ввода в эксплуатацию
    Источник: http://www.slideshare.net/lukatsky/ss-14591225, Лукацкий Алексей, консультант по безопасности.

    То есть, как я понял, остается открытый вопрос: чем и как требование по сертификации для частных компаний регламентируется?
    • +1
      О! Тема знатного холивара. По сути можно спорить бесконечно, поскольку точного ответа нет, есть только общепринятое мнение.

      habrahabr.ru/post/256147 — разбор 152-ФЗ и подзаконных актов к нему на эту тему
      habrahabr.ru/post/260833 — мнение ФСБ
      habrahabr.ru/post/256735 — небольшой ФАК

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.