Штрафы за разные нарушения суммируются.
242-ФЗ подсказывает нам, что оператор обязан обеспечить запись, хранение, изменение и извлечение персональных данных граждан Российской Федерации (это всё, что прямо или косвенно относится к субъекту ПДн. И номер телефона, и даже уровень защищенности его данных можно отнести сюда согласно 152-ФЗ) с использованием баз данных, находящихся на территории Российской Федерации. С 1 сентября 2015 года. За использование первичной базы за пределами РФ вам светит относительно небольшой штраф и, что куда хуже, блокировка ресурсов в течение 3 рабочих дней с даты судебного решения. При этом разблокировать доступ и «выйти» из реестра можно будет только по решению суда.
Кто переносится
Точной статистики, какой объём персональных данных россиян хранится за пределами РФ, конечно, нет. Достаточно много ПД хранится в США, Германии, Англии, Франции и других европейских странах, поскольку там наиболее развита индустрия хостинг-провайдеров. Логично, что российские регуляторы усмотрели ряд рисков в этом. Прежде всего речь идет о рисках, связанных с соблюдением прав субъектов персональных данных, а также вероятности потери связи с внешними центрами обработки данных по причине введения санкций. Поэтому держите новый закон.
Под действие 242-ФЗ подпадают все зарубежные компании, которые имеют отделения в нашей стране, международные сервисы, туристические фирмы — представители иностранных компаний, «дочки» зарубежных банков и т. д. Но под новые требования не подпадают правоотношения, которые регулируются международными договорами или конвенциями (авиакомпании, журналистская деятельность и ряд других областей). Остальные должны переехать. Те же eBay, Google, PayPal и многие другие уже заявили о готовности продолжать бизнес в России. Тяжелее всего процесс даётся, пожалуй, банкам — исключений для них нет, а архитектура ИТ-инфраструктуры у них обычно такова, что перенос даётся довольно тяжело.
Вот иностранные компании, работающие на нашем рынке. Обратите внимание, что у отечественной компании базы данных могут быть за пределами РФ (например, на «Амазоне»), поэтому фактический процент тех, кому нужно переходить, выше.
У крупных международных компаний обычная архитектура — «колесо и спицы», где в роли основного информационного центра выступает головной офис или ЦОД (например, в США). В РФ таким компаниям придётся поднимать ещё одну площадку — либо свой региональный дата-центр, либо вставать на колокацию к кому-то ещё. Собственно, многие встают к нам в КРОК благодаря наличию уже сертифицированных ФСТЭК и ФСБ решений в TIER-III TIA+UI (по facility) дата-центре.
Как выглядит обычный перенос крупной системы
Это достаточно продолжительный и мучительный процесс:
- Оценка необходимых ресурсов — 2 недели;
- Процесс выбора поставщика — 2 недели;
- Анализ систем — 1 неделя;
- Тестирование миграции — 1 неделя;
- Ожидание оборудования — 6–8 недель;
- Перенос данных — 2–4 недели;
- Проверка перенесенных данных — 1 неделя.
Итого более 4 месяцев. Мой опыт переносов — от 2 недель для относительно простой инфраструктуры до 3 месяцев. Проблема обычно не только в том, что база данных тащит за собой ещё множество компонентов инфраструктуры, но и в том, что для многих (например, банков) важна непрерывность бизнеса. Поддерживается работоспособность систем заказчика на любом из этапов «переезда».
Переносить чаще всего нужно:
- Онлайн-сервисы: интернет-магазин; портал для клиентов.
- Бизнес-приложения: CRM; HRMS.
- Инфраструктурные приложения: почту; корпоративный форум.
На стороне РФ нужны:
- дата-центры (или серверные, лучше 2 штуки, основная и резервная, хотя в некоторых случаях юристы утверждают, что бекап можно хранить за пределами РФ; закон говорит о том, что при сборе переданных компаниям данных нужно обеспечить первоначальное накопление, хранение и обработку их на территории России. После чего уже можно передавать эти данные за рубеж);
- Вычислительные ресурсы – собственно, сами сервера и СХД;
- Инфраструктурное ПО – это новые лицензии для площадки в РФ;
- Каналы связи;
- Инженерные ресурсы;
- Поддержка + SLA;
- Разработка механизмов миграции, синхронизации и консолидации данных.
Вот почему процедура достаточно сложная, и многие не строят свой ЦОД, а встают в уже предназначенные для этого. У нас, например, многих радует наше защищённое облако, где есть:
- Сертифицированный ФСТЭК гипервизор VMWare;
- Межсетевое экранирование (FW) — сертификация ФСТЭК; криптографическая защита каналов связи (IPSec VPN) — сертификация ФСБ;
- Предотвращение вторжение (IPS) — сертификация ФСТЭК;
- Глубокая фильтрация web-трафика (WAF);
- Антивирусная защита сетевого трафика;
- И любые другие средства защиты, способные работать в виртуальной среде VMware.
При переносе базы данных мы всегда отделяем инфраструктуру одного заказчика от всех остальных.
Информационная безопасность
Новое законодательство требует:
1. Перенести ПД в РФ.
2. И при этом также защитить данные в достаточно хорошей степени.
Надо отметить, что законодательная инициатива напрямую связана с программой импортозамещения в ИТ. Регуляторы стимулируют по максимуму использовать имеющиеся отечественные технические ресурсы, программное обеспечение и другие разработки. Однако полного импортозамещения в ИТ-сфере достичь сегодня сложно.
По системам ИБ есть пара интересных особенностей. У нас довольно много хороших производителей, прошедших отечественную сертификацию и делающих то, что подпадёт под определение «отечественного ПО», то есть получит приоритет для использования в госорганах (идёт обсуждение возможного расширения на госкомпании и госкорпорации).
Проверки
Проверки будут проводиться, плюс за вами будут наблюдать без прямого взаимодействия.
Условия для проведения внеплановых проверок:
1. Истечение срока исполнения предписания.
2. Обращения граждан (требует согласования с органами прокуратуры).
3. Информация от органов государственной власти (ОГВ), органов местного самоуправления (ОМСУ) и СМИ о фактах нарушения законодательства.
4. Поручения Президента и Правительства РФ.
5. Нарушения по итогам систематического наблюдения.
6. Несоответствие сведений, содержащихся в уведомлении, фактической деятельности.
7. Неисполнение требований Роскомнадзора (РКН) об устранении нарушения.
8. На основании требования прокуратуры.
Критерии включения в план проверок:
1. Трёхлетний период с момента окончания проведения последней плановой проверки.
2. Информация от ОГВ, ОМСУ и СМИ о фактах нарушения законодательства и результаты систематического наблюдения.
3. Обработка ПДн значительного числа субъектов ПДн/биометрии/специальных категорий ПДн.
4. Непредставление информации, в том числе уведомительного характера, в соответствии с ФЗ-152.
Итого
• появился чёрный список нарушителей прав субъектов ПДн;
• появились систематические наблюдения за операторами;
• увеличились штрафы за нарушения обработки ПДн;
• участились проверки РКН и расширились основания.
Если вы собираете ПДн граждан РФ в любых объёмах, то вот что надо делать:
- Реорганизовываем бизнес-процессы, ИТ-инфраструктуру;
- Сохраняем/изменяем ПДн в БД на территории РФ;
- Обеспечиваем «правильную» защиту этой БД (ИСПДн);
- Передаём ПДн из этой БД трансгранично (при необходимости);
- Не забываем про сбор согласий, если они необходимы (это необходимо в случае передачи персональных данных в страну, не входящую в список стран, обеспечивающих адекватную защиту прав субъектов ПДн, либо стран, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн. В этом случае нужно убедиться, что организация не попадает под исключения нового закона и организовать сбор согласий субъектов на трансграничную передачу данных);
- Вносим изменения в уведомление на сайте Роскомнадзора.
Ссылки
- Вот здесь, в прошлом посте, есть детальнее по документам. Если совсем коротко — да, переносить нужно, чтобы не остаться заблокированным на территории РФ. С момента этого поста данные немного обновились, плюс наша команда сделала ещё несколько крупных переносов и пару десятков поменьше — появилось понимание ещё ряда инфраструктурных особенностей.
- Страница «про персональные данные»
- Семинар с деталями и видео
