Методы работы с персональными данными в облаках

Федеральный закон от 21.07.2014 №242-ФЗ внес изменения в законы №149-ФЗ, №152-ФЗ, №294-ФЗ. С 01.09.2015 года вопросы работы с персональными данными вошли в число ключевых требований к российским компаниям. Согласно закона №242-ФЗ необходимо:

• Обеспечить размещение баз данных, в которые собираются персональные данные граждан России на территории РФ.
• Обеспечить уточнение, обновление, изменение, извлечение, персональных данных в этих базах сначала на территории России и лишь затем передавать их за рубеж при необходимости.
• Применять те же правила в отношении персональных данных граждан, чье гражданство оператору неизвестно или установить нельзя.

На территории России всегда должна быть актуальная база персональных данных, используемых российским оператором в своей деятельности.

Заказчики i-Sys задают множество вопросов о том, какие юридические ограничения имеются при использовании облачных сервисов, возможно ли применение решений ведущих мировых производителей для решения задач бизнеса. К счастью, возможно. Многие провайдеры облачных услуг уделяют юридическому аспекту использования облаков огромное внимание, ведь это являет главным возражением Заказчика при обсуждении облачных сценариев реализации решений.

На партнерском форуме Microsoft этой теме было посвящено отдельное выступление. По его результатам можно сделать выводы, что для обеспечения соответствия закону №242-ФЗ следует:

• Хранить данные за рубежом в обезличенном виде, а базы идентификаторов — на территории России (при этом собирать данные в виде приложения, находящегося на территории России).
• Хранить данные за рубежом в зашифрованном виде, а расшифровывать — только в приложении, находящемся на территории России. Зашифрованные данные без ключа у провайдера — не персональные данные.
• Согласно приказа Роскомнадзора и методических пособий данные, связанные не с ФИО человека, а с его идентификатором, находящимся в России, считаются обезличенными. Обезличивание — это действие, в результате которого нельзя соотнести данные с субъектов, оно приравнивается к уничтожению.

По мнению М.Ю. Емельянникова, управляющего партнера консалтингового агентства "Емельянников, Попова и партнеры", озвученному на Партнерском форуме, нельзя:

• Ставить сервера на хостинг за рубежом и хранить там персональные данные российских граждан без принятия дополнительных мер (без локализации персональных данных на территории России).
• Напрямую использовать SaaS приложения, обрабатывающие персональные данные и находящиеся за пределами РФ, без принятия дополнительных мер.
• Предоставлять прямой доступ с территории России в зарубежные информационные системы, если персональные данные предварительно не зафиксированы в базе на территории России.

Мы считаем своим долгом предупредить заказчиков, что, согласно статьи 13.11 КОАП, максимальная ответственность для юридических лиц составляет 10 000 рублей. Но, если Роскомнадзор найдет нарушения, будет выдано предписание и проверки будет проходить многократно, до устранения.

Намного более сложная проблема возникает с сайтами. Если Роскомнадзор, при просмотре вашего сайта, обнаружит нарушение закона №242-ФЗ, то он обратится в суд. Согласно решению суда по постановлению правительства №857, Роскомнадзор выносит предупреждение провайдеру об удалении вредоносного контента или блокировании доступа. Если в течение 3 дней решение не выполнено — провайдеры автоматически блокируют сайт.

Исходя из итогов исследований экспертами в области персональных данных, выявлены некоторые специфические моменты:

• Ограничения вводятся только на период сбора персональных данных и не затрагивают их последующей обработки после завершения сбора, кроме ряда конкретных способов.
• Ограничения касаются только персональных данных граждан РФ.
• Ограничения вводятся только на 9 из 18 способов обработки: сбор, запись, систематизация, накопление, хранение, уточнение, обновление, изменение, извлечение — и не ограничивают такие действия, как использование, передача, доступ, обезличивание, блокирование, удаление, уничтожение.
• После завершения сбора персональных данных они должны всегда находиться в актуальном состоянии на территории РФ, при этом изменения должны вноситься тоже на территории РФ.
• Не накладывается никаких ограничений на трансграничную передачу после сбора и записи, предоставление доступа с территории других государств, использование данных из информационных систем за пределами РФ.
• Закон не вводит запрет на обработку персональных данных в дата-центрах и облачных инфраструктурах вне территории РФ за исключением периода их сбора.

По данным Роскомнадзора США, Япония, Канада относятся к странам, не обеспечивающим адекватную защиту персональных данных. Но, что удивительно, такие страны, как Буркина-Фасо и Монголия, признаны обеспечивающими защиту. На передачу персональных данных на территории, не обеспечивающей адекватной защиты, необходимо согласие гражданина в письменной форме, тогда как в другие не требуется.

Мы​, команда i-Sys, согласны с мнением экспертов, которые не опасаются связанных с новым законом проблем. Это не запрет, а наведение порядка в трансграничных потоках информации. Да, появилось множество тонких моментов. Но данный факт не должен останавливать развитие ИТ как основы современного бизнеса. Работа с устаревшими приложениями с локального сервиса ничуть не менее опасна как с точки зрения постепенного завершения поддержки вендора, так и в отношении устаревания системы, приводящего к утрате конкурентных преимуществ бизнеса.

Только постоянное инновационное развитие компаний, включающее создание новых предложений для клиентов и модернизацию ИТ, способно поддержать высокие позиции бизнеса на рынке. Как показывает практика, отстающая на десятки лет бизнес-логика, в том числе и заложенная в ИТ-систему, приводит к многократным потерям, вплоть до полного банкротства. Поэтому, несмотря ни на что, облачные технологии также, как и IoT, Big Data и другие инновации — это основа процветания современного бизнеса.

По материалам выступления М.Ю. Емельянникова, управляющего партнера консалтингового агентства "Емельянников, Попова и партнеры", на Партнерском форуме Microsoft.