пятница, 11 марта 2016 г.

Запрет на хранение Персональных данных за рубежом - есть ли выход?

Поправки в закон о персональных данных требуют с 1 сентября 2015г. хранить и обрабатывать персональные данные россиян только в России. Федеральный закон считает персональными все данные российских граждан, которые они используют в том числе при регистрации на зарубежных сайтах, заказе билетов, бронировании гостиниц, совершении покупок в сети и т.д. В случае же нарушения любой оператор ПДн, обрабатывающий данные не в России, может попасть под блокировку. Как же быть теперь бизнесу и простым пользователям интернета? Оказывается не все так страшно. Об этих нововведениях мы и поговорим в сегодняшней статье.

В качестве вступления несколько слов о само проблеме.

Вступили в силу поправки к закону "О персональных данных", которые требуют локализации персональных данных на территории России. Любая российская или зарубежная компания, ориентированная на работу с российскими пользователями, должна обеспечивать запись, систематизацию, накопление, хранение, уточнение персональных данных россиян с использованием баз данных, находящихся на территории РФ. 

Та же в обновленном законе пересмотрено само понятие персональных данных. Теперь это не только ФИО и, например, адрес и год рождения, а любая информация, относящаяся к определяемому ею физическом лицу. 

За соблюдением этих норм будет следить Роскомнадзор, которому поручено создание реестра нарушителей законодательства о персональных данных, а также дано право блокировать сайты тех компаний или организаций, которые включены в этот реестр. Решение о включении компании в реестр нарушителей принимает суд. Помимо этого суд может оштрафовать компанию-нарушителя на сумму до 300 тыс. рублей. 

Разблокирование интернет-ресурса осуществляется Роскомнадзором также по решению суда или по сообщению хостинг-провайдера или владельца ресурса об устранении нарушения. 

Однако, нужно сказать, что в ряде случаев обновленный закон разрешает обработку персональных данных россиян на территории других государств: в целях исполнения правосудия, исполнения полномочий органов госвласти и местного самоуправления, а также для достижения целей, предусмотренных международным договором. 

Многих мог озаботить вопрос использования зарубежных интернет-сервисов, в частности сервисов бронирования гостиниц, заказа авиабилетов и т.д. Роскомнадзор по этому поводу дал свои разъяснения. Закон не будет распространяться на выдачу виз, продажу авиабилетов, деятельность СМИ и судов - заявлял руководитель Роскомнадзора Александр Жаров

Трансграничная передача данных россиян законом разрешена, однако храниться они должны на территории РФ, говорил он. Вместе с тем, возможно временное хранение дубликата данных за рубежом, но только на срок, необходимый для выполнения действий, для которых они передавались за границу. Например, данные гражданина РФ могут быть переданы в заграничный отель или клинику, но после того, как отдых или лечение закончится, данные клиента на зарубежных серверах должны быть аннулированы, объяснял Жаров.

Интернет-бизнес, прежде всего конечно российский, активно критиковал нововведения в законодательство. Спектр причин, которые ударят по бизнесу компаний, указывался довольно широкий. Здесь прежде всего и незапланированные финансовые затраты, и нехватка мощностей центров обработки данных (ЦОД), и малые сроки на подготовку к локализации персональных данных. Но прежде всего - неточность формулировок закона и отсутствие подзаконных актов, которые и должны определять правила применения новых норм.

Намного интересней оказалась реакция зарубежных компаний. В СМИ появлялись сообщения, что к переносу данных в РФ уже приступили Samsung, Lenovo, Aliexpress, Ebay, PayPal, Uber, Booking.com. В свою очередь источник на рынке рассказывали "Интерфаксу", что некоторые из названных компаний не определились ни со сроками локализации персональных данных, ни с объемом переносимых данных и даже не выделили соответствующие бюджеты.

Единственное исключение было сделано для иностранных систем бронирования авиабилетов, которые все же могут хранить персональные данные россиян за рубежом. Ведь иностранные системы бронирования используют все российские продавцы авиабилетов. Хотя данные россиян должны физически находиться на серверах, которые расположены в дата-центрах на территории России, они могут копироваться за границу.

Как же теперь соответствовать новым требования закона? Выход есть - локализация (перенос) баз данных ПДн на территорию России.

И здесь есть несколько вариантов: 
  • Первый — перенести все имеющиеся БД с ПДн в российский ЦОД и аттестовать конечное ИТ-решене по нормам ФСТЭК. Это классический collocation.
  • Второй -  перейти на схему взаимодействия "российское юридическое лицо" - "иностранное юридическое лицо на территории иностранного государства". В итоге, вы можете собрать, систематизировать, сохранить персональные данные в своей базе данных, извлечь их оттуда и, заручившись согласием субъекта или договором (ст. 12 152-ФЗ), осуществить их трансграничную передачу (п. 11 ст. 3 152-ФЗ).
  • Трети - обезличивание ПДн. Специалисты считают, что при условии унификации персональных данных с «обезличиванием» (то есть обработкой данных таким образом, что связать их с какими-то конкретными пользователями будет невозможно) данные россиян можно будет хранить и обрабатывать за пределами РФ. 

Есть и еще мнения, одно из которых говорит о необходимости хранения данных пользователей в пределах страны, а вот дублирование и распространение информации в таком случае не попадает под действие закона. Вообще, как мы видим, все довольно не однозначно. Определяющим здесь будет либо издание подзаконных актов конкретизирущих статьи закона либо официальные письма самого Росконадзора.


В заключение приведем ссылку на официальный сайт Минкомсвязи с разъяснениями по поводу нововведений 1 сентября 2015 года. 

Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...

Примечание. Отправлять комментарии могут только участники этого блога.