Хранение персональных данных на сервере за границей

SergeyNivens / Depositphotos.com

С предложением дополнить ст. 13.11 КоАП об ответственности за нарушение требований Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее – закон о персональных данных) новыми составами правонарушений выступила Минкомсвязь России. Проект соответствующего федерального закона опубликован на Федеральном портале проектов нормативных правовых актов.

Так, наказывать операторов предлагается за нарушение предусмотренной ч. 5 ст. 18 закона о персональных данных обязанности обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан России с использованием баз данных, находящихся на территории РФ. Разработанным министерством документом за это правонарушение предусматривается ответственность в виде наложения административного штрафа на граждан в размере от 3 тыс. руб. до 5 тыс. руб.; на должностных лиц – от 10 тыс. руб. до 20 тыс. руб.; на юрлиц – от 15 тыс. до 75 тыс. руб 1 .

Также операторов и иных лиц могут начать наказывать за нарушение конфиденциальности персональных данных, обязанности по нераскрытию третьим лицам и нераспространению персональных данных без согласия субъекта персональных данных. Эта обязанность оператора установлена ст. 7 закона о персональных данных. За такое нарушение предполагается установить ответственность в виде предупреждения или наложения штрафа на граждан в размере от 1 тыс. до 2 тыс. руб.; на должностных лиц – от 4 тыс. до 6 тыс. руб.; на ИП – от 10 тыс. до 15 тыс. руб.; на юрлиц – от 20 тыс. до 40 тыс. руб.

Об особых условиях обработки специальных категорий персональных данных читайте в "Энциклопедии решений. Персональные данные " интернет-версии системы ГАРАНТ. Получите бесплатный доступ на 3 дня!

Разработчики законопроекта полагают, что установление новых составов административных правонарушений станет эффективным средством воздействия на нарушителей установленных обязанностей оператора, и позволит обеспечить соблюдение гарантий защиты прав субъектов персональных данных. Отмечается, что это даст возможность контролирующим органам оперативно приостанавливать противоправную деятельность, связанную с незаконной обработкой персональных данных, повысить эффективность государственного контроля в этой сфере, а также предотвращать правонарушения, которые могут причинить значительный ущерб субъектам персональных данных.

В случае принятия указанных поправок к КоАП РФ, они начнут действовать со дня официального опубликования закона.

1 С паспортом проекта федерального закона "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части уточнения административной ответственности за нарушение требований Федерального закона "О персональных данных" можно ознакомиться на Федеральном портале проектов нормативных правовых актов (ID проекта: 02/04/04-18/00080328).

После изменения российского законодательства, регулирующего хранение и обработку персональных данных, следом за введением принципа локализации баз персональных данных и блокировкой LinkedIn среди ИТ-специалистов все чаще возникают вопросы о том, какую информацию можно держать на зарубежных серверах.

Поспешим успокоить наших свободолюбивых читателей: хранить персональные данные за пределами России все еще разрешено, но с оговорками. И если вы хотите соблюдать российское законодательство и, вместе с тем, обезопасить данные от возможных административных атак недоброжелателей — этот пост для вас. Мы сформулировали основные «правила игры», в соответствии с которыми сегодня осуществляется хранение и трансфер персональных данных граждан Российской Федерации за границу.

Персонализируй это: что подразумевается под термином «персональные данные»

Понять, чего именно требует российское законодательство, нелегко. Минкомсвязи, правда, подготовило памятку по основным вопросам обработки персональных данных, но ясной и доходчивой ее не назовешь (обращаем ваше внимание, что по данной ссылке любой желающий может задать уточняющий вопрос экспертам министерства, не стоит пренебрегать этой возможностью). Начнем хотя бы с вопроса о том, что такое «персональные данные». Как люди культурные мы должны сперва определить предмет разговора.

В российском законе о персональных данных сказано следующее:

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»

Это калька со статьи 2 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. Но, в отличие от соответствующей бумаги, данная формулировка не прозрачна. И столь же не современна, как калька. О какой именно информации идет речь?

Минкомсвязи и Роскомнадзор избегают уточнять понятие «персональные данные», ссылаясь на отсутствие полномочий. Позиция ведомственных теоретиков от юриспруденции в этом случае сводится к известной шутке: «два юриста — три мнения». Так что желающим разобраться в вопросе на практике приходится самостоятельно изучать юридическую практику и принимать решения на свой страх и риск.

Первое, что бросается в глаза, — закон «О персональных данных» защищает только физических лиц. При этом информация о них (с точки зрения закона) становится «персональными данными» только в случае, если ее можно с уверенностью соотнести с конкретным человеком.

Читать еще:  Проверить запрет на регистрационные действия по вин

Как много и какие именно сведения необходимо собрать, чтобы они стали персональными данными, вопрос спорный. В странах Евросоюза персональными данными может стать практически любая информация, если она позволяет как-либо выделить человека, например, из массы пользователей сайта.

Хорошей аналогией тут будет детективная работа. Как только информации становится достаточно, чтобы указать на преступника, она превращается в персональные данные, даже если сыщик не знает настоящего имени того высокого джентльмена, что единственный из подозреваемых курит трубку.

Показателен в этом плане и вступающий в силу с 25 мая 2018 года регламент N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС».
В нем под термином «персональные данные» также понимается любая информация, относящаяся к идентифицированному физическому лицу, но этот термин подробно раскрывается:

«Идентифицируемое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица».

Таким образом, в Европе в качестве персональных могут рассматриваться и большие данные, если их достаточно, чтобы выделить человека из толпы. Отметим, что Евгений Черешнев, руководитель компании Biolink Technologies, ввел в отечественный оборот термин «Цифровая ДНК», которым описывает совокупность «больших данных», позволяющую безошибочно определить данного конкретного пользователя. Я, как исследователь новых медиа, использую для того же явления термин «цифровой след».

Российская Федерация разделяет с европейскими странами базовое определение персональных данных, но подход к составлению их перечня в стране долгое время был формальным и от того более узким.

Персональными данными признавались фамилия, имя, отчество и номер телефона, дата рождения, дата регистрации, номер паспорта, ИНН, данные трудового договора в различных комбинациях, но не по отдельности.

Кроме того, персональными данными признаются специфические сведения вроде информации об отпечатках пальцев, о геноме человека или о его здоровье.

Но это не все. Олег Ефимов, управляющий партнер правового партнерства "Ефимов и партнеры", к которому мы обратились за консультацией по практической стороне вопроса, уточняет, что ранее суды этим и ограничивались, но с изменением позиции Роскомнадзора произошел переход к расширительному толкованию термина. Так, например, Роскомнадзор однозначно расценивает в качестве персональных данных сочетание имени и адреса электронной почты.

В обновленном европейском законодательстве предусмотрены также ограничения на обработку персональных данных, «раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, и обработку данных, касающихся состояния здоровья или половой жизни». Для операций с такой информацией необходимо получить отдельное согласие субъекта персональных данных.

«Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается».

Эти данные можно обрабатывать с письменного согласия лица, которому они принадлежат, а также если они являются общедоступными или обезличенными.

Передача за рубеж: что ограничено, то не запрещено

Россия входит в число стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 года, — и значит, может обмениваться данными с другими участниками конвенции без дополнительных формальностей.
Передача данных в страну, не охваченную конвенцией, требует согласия их владельца. Его можно получить в письменном виде или запросить через форму на сайте.

Дополнительно в юридическом поле появляется термин трансграничной передачи данных.

«Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу».

Однако это определение может поменяться. Наш эксперт Олег Ефимов подсказывает, что на данный момент существует проект Федерального закона, где эта формулировка заметно упрощается: «трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства». Т.е. изменилась привязка с местоположения лица, которому принадлежат сервера, на географическое положение сервера. Сейчас этот проект проходит процедуру оценки регулирующего воздействия.

Сохранность данных

Согласно разъяснениям Минкомсвязи, при трансграничной передаче персональных данных ответственность за их сохранность несет принимающая сторона. Так, например, два дата-центра, с которыми мы плотно сотрудничаем, находятся в Чехии, подписавшей Конвенцию 1981 года, и принадлежат чешскому юрлицу. И в нашем случае охрана информации будет осуществляться по чешским законам, обеспечивающим более надежную защиту от потенциальных рисков, включая, например, риски изъятия оборудования.

При этом передавать персональные данные можно без дополнительного согласия их обладателей. Но юристы тут добавляют, что в соответствии со статьей 22 Федерального закона «О персональных данных» оператор персональных данных обязан уведомить Роскомнадзор о наличии трансграничной передачи персональных данных, а их субъект имеет право получить от оператора информацию об осуществленной или о предполагаемой трансграничной передаче данных.

Читать еще:  Молодая семья проживающая с родителями жены называется

Что подразумевается под локализацией

Вернемся к законам. В чем же заключается требование о локализации баз с персональными данными на территории Российской Федерации?

Прежде чем ответить на этот вопрос, уточним, что законодательно данными российских граждан признается вся информация, собранная на территории Российской Федерации, если оператор персональных данных специально не уточнял вопрос гражданства.

Оператор «обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».

Олег Ефимов сразу добавляет, что под «обработкой персональных данных» также понимают сбор, использование, обезличивание, блокирование, удаление, уничтожение персональных данных, на которые требования о локализации баз данных не распространяются.

При этом для целей профессиональных журналистов, СМИ, научной, литературной или иной творческой деятельности Федеральный закон «О персональных данных» предусматривает исключение из правила.

В остальных случаях оператор обязуется создавать базы, содержащие персональные данные российских граждан, и совершать с ними различные операции на территории России.

Изображение: NewWay.biz

Эту правовую норму придется учитывать при проектировании ИТ-инфраструктуры компании, но она не запрещает передавать базы персональных данных на сервера в других странах.

Комментарий экспертов тут таков:

Для соблюдения закона важно, чтобы на территории России оставалась основная, наиболее полная и актуальная база персональных данных. На прочих серверах можно размещать ее копии или части. Причем в таких дочерних базах персональные данные можно не только хранить, но и обрабатывать, но при условии, что данные будут использоваться в тех же целях, что и в основной базе данных.

Поскольку в российском законодательстве нет узких определений баз данных и точных требований к тому, как именно с технической точки зрения должны храниться персональные данные, у компании, работающей с ними, остается возможность выбора.

Ни гражданский кодекс, ни ГОСТ Р 20886-85, ни Модельный закон о персональных данных никак не ограничивают форму хранения данных и позволяют называть локализованной базой данных все: от полноценного цифрового хранилища любой архитектуры до таблиц в Excel или бумажной картотеки.

В сухом остатке

Изъятие оборудование, длительные отключения, незаконные блокировки — этим списком не исчерпываются проблемы, с которыми сталкиваются пользователи российских хостингов. В этом контексте решением проблемы видится зарубежный сервер.

Как с точки зрения субъекта персональных данных, так и с позиции компании, оперирующей его данными, то же чешское законодательство как нельзя лучше подходит для размещения баз данных с такой важной информацией, как персональные данные. Например, доступ к любой информации или инфраструктуре клиента, размещенной в этой стране, возможен исключительно по решению чешского суда.

Кроме того, местное законодательство позволяет использовать шифрование, которое в Российской Федерации потребовало бы дополнительной сертификации.

Действующие в ЕС международные стандарты обеспечивают безопасность баз данных и беспрепятственную работу с ними с территории Российской Федерации, что также не противоречит требованиям российского закона о локализации персональных данных, который направлен на то, чтобы обеспечить присутствие иностранных компаний в России.

Выполнение требований закона для отечественных организаций не столь обременительно и, при грамотном подходе, не мешает использовать иностранные хостинги так, как этого требуют бизнес-процессы и элементарные соображения безопасности бизнеса.

В начале июля с небывалой скоростью (3 чтения за 10 дней) Госдумой были приняты очередные поправки в ФЗ «О персональных данных» (№152-ФЗ) и ФЗ «Об информации, информационных технологиях и о защите информации» (№ 149-ФЗ), которые вступают в силу с 1 сентября 2016 года и обязывают компании обеспечить хранение (а также запись, систематизацию, накопление, уточнение и извлечение) персональных данных граждан РФ с использованием только баз данных, находящихся на территории РФ.

Эти изменения активно уже несколько дней обсуждаются в деловой прессе (см., например, http://www.vedomosti.ru/newspaper/article/711561/printer-protiv-servera), озвучиваются мнения, что теперь Facebook и Google, чтобы продолжать работать с персональными данными россиян, должны будут переместить свои сервера в Россию, а также высказываются серьезные опасения, что после вступления закона в силу может быть фактически опущен железный занавес, так как россияне не смогут пользоваться международными сервисами бронирования гостиниц, не смогут подавать документы на визу и т.д., поскольку маловероятно, что все иностранные компании поспешат исполнять требования российского закона и размещать свои сервера в РФ.

Давайте попробуем безэмоционально (по возможности) разобраться в том, что же все-таки значат эти нововведения, кого они коснутся и как к ним относиться.

На кого распространяется новое требование?

Обязанность обеспечить обработку персональных данных россиян на территории РФ с 1 сентября 2016 г. будет вменена так называемым «операторам персональных данных», под которыми ФЗ «О персональных данных» и сам Роскомнадзор (контролирующий орган в сфере защиты персональных данных) понимают российские компании и представительства/филиалы иностранных компаний, которые совершают любые действия с персональными данными на территории РФ (http://pd.rkn.gov.ru/faq/faq17.htm). Из этого следует важный вывод: ни о каком экстерриториальном действии данного требования закона (то есть, о тотальном «запрете поголовно всем иностранным компаниям собирать персональные данные россиян») речи не может идти, и иностранные компании (в том числе Facebook, Booking.com), если они не имеют представительств в РФ, формально под действия данного закона не подпадают.

Читать еще:  Сколько зарабатывает инструктор по вождению в автошколе

А теперь самое интересное. Депутаты, которые внесли законопроект в Госдуму, похоже, добивались как раз обратного. Как указывает в различных интервью один из авторов законопроекта, депутат Вадим Деньгин: «Инициатива заключается в том, чтобы все личные данные граждан Российской Федерации, которые они оставляют в социальные сетях: и паспортные, и личные данные о себе, и фотографии – хранились в серверах, находящихся на территории Российской Федерации»; «попадают под нее [новую норму закона «О персональных данных» – Н.Б.] все сайты, обрабатывающие персональные данные: к примеру, социальные сети, почтовые службы, сервисы по продаже авиабилетов и т.д.».

Амбициозная цель авторов законопроекта понятна, но, очевидно, что внесенных правок недостаточно для того, чтобы обеспечить экстерриториальность действия новых норм и обязать все иностранные интернет-компании, даже не присутствующие на рынке в РФ, размещать сервера в России только потому, что они обрабатывают персональные данные россиян. Таким образом, до внесения каких-либо дополнительных изменений в законодательство таким иностранным компаниям (не имеющим представительств в РФ) теоретически можно спать спокойно.

Что именно должны обеспечить операторы?

Согласно новой редакции закона компании, которые подпадают под действие ФЗ «О персональных данных», должны обеспечить осуществление любых операций с персональными данными граждан РФ только с использованием баз данных, находящихся на территории России. Основной проблемой данного требования является его абсолютная неисполнимость и неработоспособность. Буквально это требование означает запрет любой передачи персональных данных за границу (ведь переданные за границу данные будут обрабатываться уже в базах данных, расположенных за пределами РФ). Но в этом случае возникает множество глобальных вопросов. Почему тогда не была исключена из ФЗ «О персональных данных» статья 12, которая прямо предусматривает возможность трансграничной передачи данных? Как можно передавать данные за границу, не нарушая требования о нахождении этих данных только на серверах в РФ? Как быть компаниям, которые имеют филиалы в разных странах и используют общие для всех офисов системы типа CRM (customer relationship management), позволяющие, например, сотруднику из офиса в Париже парой кликов мышкой получить доступ к персональным данным, занесенным в систему в Москве? Ведь фактически при этом эти данные могут загружаться на сервер, расположенный за пределами РФ. Как турагентствам из России бронировать гостиницы за границей? Как авиакомпаниям продавать билеты на многосегментные перелеты, обслуживаемые в том числе иностранными авиакомпаниями?

Пожалуй, не будет преувеличением сказать, что нет в данный момент ни одного человека в России (включая авторов законопроекта), который бы ответил внятно на все эти вопросы и пояснил что именно означает это требование и как его нужно исполнять.

Что дальше?

Вероятнее всего, в недалеком будущем нас ждет волна новых правок в закон, которые либо достаточным образом конкретизируют требования и создадут какой-то логичный механизм их исполнения, либо окончательно закрутят гайки и будут реализовывать первоначальную цель авторов законопроекта – создать рычаг давления на крупные иностранные интернет-компании, что, к сожалению, в первую очередь ударит не по этим компаниям, а по рядовым гражданам, которые могут быть лишены не только возможности выложить фотографию своего обеда в Instagram (что, честно сказать, было бы скорее плюсом), но и возможности пользоваться любыми услугами иностранных компаний и совершать платежи банковской картой за границей. Очень хочется надеяться, что до этого не дойдет.

Можно ожидать также в недалеком будущем внесения правок в КоАП РФ и существенного увеличения ответственности за нарушение законодательства о персональных данных (сейчас для юридических лиц предусмотрен штраф в размере до 10 000 рублей, что сводит на нет все попытки ужесточить требования в области защиты персональных данных). Соответствующий законопроект обсуждается уже несколько лет и в свете комментируемых правок можно предположить, что и его принятие уже не за горами. В этом случае компаниям нужно будет в срочном порядке убеждаться в том, что и все остальные требования ФЗ «О персональных данных» ими соблюдаются. А это тоже задача не для слабонервных, но это уже совсем другая история.

Найти нужное отделение Бинбанка на карте:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *