Comments 20
Поясните мне вот такой момент. Я обязан хранить персональные данный на серверах в пределах РФ, а запрещено ли мне хранить копии этих данных на серверах вне РФ?
Интересный вопрос! Закон, скорее всего, будет дополнен в ближайшие годы. Но пока вердикт такой: в рамках одной организации бывают много баз данных с персданными, нередко данные собираются и в бумажном виде с последующим занесением в электронную базу. Как следует из текста ч. 5 ст. 18 ФЗ «О персональных данных», обязанность оператора обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, считается исполненной, когда указанные действия были совершены при сборе персональных данных с использованием базы данных, находящейся на территории Российской Федерации. При этом, статья не содержит указания на то, что такие действия должны совершаться исключительно с использованием баз данных, размещенных на территории России. В связи с этим, если в отношении определенного набора персональных данных уже были ранее выполнены требования ФЗ-242, повторная локализация таких персональных данных не требуется, поскольку цели закона уже достигнуты. Соответственно, если персональные данные были при сборе записаны в базу данных, расположенную на территории Российской Федерации, то впоследствии такие персональные данные могут вноситься работником (представителем) оператора в принадлежащую ему электронную базу данных, находящуюся за пределами РФ.
Вот линк для самостоятельного изучения: http://www.minsvyaz.ru/ru/personaldata/#1438548218895
Вот линк для самостоятельного изучения: http://www.minsvyaz.ru/ru/personaldata/#1438548218895
Сам интересовался этим вопросом. Верно отметил ziart. В законе не сказано про исключительное хранение в РФ. Но есть один пункт о том, что пользователь обязан дать согласие на хранение данных за рубежом. То есть «по умолчанию» — в РФ, хотите еще где-то — пропишите в Соглашении. Я вышел из ситуации дополнив Пользовательское Соглашение двумя абзацами, продолжаю хранить и систематизировать как раньше, но добавил ежедневный бэкап на Российский хост. А с этим хостом заключил бумажный договор, чтоб показывать его в случае проверки проверяющим.
demimurych, shevgeny, запрещено (со звездочкой, которая с вероятностью в 99% к вам не применима).
См. пояснения на сайте Минкомсвязи.
В качестве бонуса похожий вопрос оттуда же:
См. пояснения на сайте Минкомсвязи.
— Возможно ли хранить персональные данные (ПД) граждан РФ за ее пределами при условии наличия дублирующей (копии) базы ПД граждан РФ на территории РФ (и наоборот, когда база ПД за пределами РФ является копией (или частью) базы данных, сформированной и находящейся на территории России?), либо обработка ПД на территории другого государства в принципе запрещена?
Следует также учитывать, что законодательно не имеется разделений на «основную» базу персональных данных и ее «копию». В обоих случаях речь идет о базе данных, с помощью которой обрабатываются персональные данные.
…может осуществляться с использованием баз данных, не находящихся на территории Российской Федерации, в следующих случаях:
если такая деятельность подпадает под случаи, предусмотренные пунктами 2–4, 8 части 1 статьи 6 152-ФЗ;
если такая деятельность не подпадает под случаи, предусмотренные пунктами 2–4, 8 части 1 статьи 6 152-ФЗ, и на территории Российской Федерации находятся используемые для такой обработки персональных данных базы данных, в которых содержится больший объем персональных данных или равный находящемуся за пределами территории Российской Федерации (в этом случае недопустимо нахождение за пределами территории Российской Федерации персональных данных, которые одновременно не находятся в пределах территории Российской Федерации).
В качестве бонуса похожий вопрос оттуда же:
— Накладывает ли Закон запрет на последующую обработку (после сбора, например, составление отчетности, анализ данных и т.д.) персональных данных в базах данных, расположенных за пределами Российской Федерации?
Закон не предусматривает понятия «первичный сбор», а устанавливает требования к обработке персональных данных при любом сборе информации, при этом выделяя такие операции с ПД, как уточнение (обновление, изменение) информации, содержащей персональные данные. В целях закона в процесс сбора информации включены также процедуры хранения и накопления информации, что само по себе не позволяет использовать такое понятие, как «первичный сбор». Таким образом, закон налагает на оператора обязанность при осуществлении обработки собранных персональных данных путем систематизации, накопления, хранения, уточнения, извлечения, использовать базы данных, находящиеся на территории Российской Федерации. Таким образом, если для составления отчетности, либо анализа информации, содержащей персональные данные, оператору требуется осуществить упомянутые формы обработки персональных данных, то такие действия должны осуществляться с использованием баз данных, находящихся на территории Российской Федерации.кой Федерации.
Так вы сами цитируете то, о чем говорил ziart и я:
…может осуществляться с использованием баз данных, не находящихся на территории Российской Федерации…
если такая деятельность не подпадает под случаи, предусмотренные пунктами 2–4, 8 части 1 статьи 6 152-ФЗ, и на территории Российской Федерации находятся используемые для такой обработки персональных данных базы данных, в которых содержится больший объем персональных данных или равный находящемуся за пределами территории Российской Федерации (в этом случае недопустимо нахождение за пределами территории Российской Федерации персональных данных, которые одновременно не находятся в пределах территории Российской Федерации).
Не совсем так (см. все ответы на том сайте). Если общими словами, то, например, когда русский Вася выехал в отпуск в Амстердам, вы, для скорости работы приложения (или по каким-то другим причинам), можете обслужить его сервером с базой в Амстердаме (при том, что основная масса русских по-прежнему обслуживается в России).
Ежедевный бекап в Россию, при том, что, по сути, вся работа с базой идет не в России не подходят (как минимум, потому что пока бекап не прошел объем вашей «иностранной» базы с данным россиян будет больше ее «русской») и является прямым нарушением. Не говоря уже о том, что, в принципе, без надлежащих на то оснований, нельзя Васю, который сейчас в Самаре обслуживать веб-сервисом (с базой) в Ирландии. Если Вася в отпуске в Ирландии, то пока он там находится — без проблем (про то и трансграничность и т. д.).
Вы писали:
См., опять же, фак Минкомсвязи:
Ежедевный бекап в Россию, при том, что, по сути, вся работа с базой идет не в России не подходят (как минимум, потому что пока бекап не прошел объем вашей «иностранной» базы с данным россиян будет больше ее «русской») и является прямым нарушением. Не говоря уже о том, что, в принципе, без надлежащих на то оснований, нельзя Васю, который сейчас в Самаре обслуживать веб-сервисом (с базой) в Ирландии. Если Вася в отпуске в Ирландии, то пока он там находится — без проблем (про то и трансграничность и т. д.).
Вы писали:
Но есть один пункт о том, что пользователь обязан дать согласие на хранение данных за рубежом
См., опять же, фак Минкомсвязи:
— Если субъект персональных данных дал свое согласие оператору на обработку его ПД в базах ПД за пределами РФ, позволяет ли это оператору на основании такого волеизъявления субъекта ПД вести обработку ПД в базах за пределами РФ?
Само по себе это не является основанием для осуществления указанных действий.
Минкомсвязь — хорошо, но их слова частично противоречат тексту самого документа. Поэтому, пожалуй, буду опираться на сам закон, а не на комментарии представителей различных структур.
Не знаю, противоречит ли обсуждаемый фак ФЗ (я противоречий пока не нашел — буду признателен, если найдете и укажете; сам фак висит уже довольно давно — думаю, если бы что-то было, его бы исправили), но тут вопрос в другом: если, не дай бог, наябедничают на вас «добрые люди», какую сторону с большей вероятностью примет суд: вашу трактовку закона или «официальное» разъяснение Минкомсвязи? :-).
С разрешением от пользователя на хранение имхо все просто: закон выше любого разрешения (если прописать в договоре, что соглашаетесь есть младенцев, это не обязывает вас их есть — УК выше любого частного договора).
Плюс, это мы с вами только БД обсуждаем, а ничего не говорим про обязательную сертификацию компаний обработчиков ПД (я участвовал в этом вопросе со своим текущим продуктом): при определенном количестве пользователей и наборе персональных данных, вы не то что обычными веб-сервисами (не БД, а просто веб-сервис обработчик чего-нибудь) зарубежем пользоваться не имеете права, но обязаны выполнять кучу требований по инфраструктуре (например, нельзя пользоваться виртуалками, деля сервер с другими и т. д.).
С разрешением от пользователя на хранение имхо все просто: закон выше любого разрешения (если прописать в договоре, что соглашаетесь есть младенцев, это не обязывает вас их есть — УК выше любого частного договора).
Плюс, это мы с вами только БД обсуждаем, а ничего не говорим про обязательную сертификацию компаний обработчиков ПД (я участвовал в этом вопросе со своим текущим продуктом): при определенном количестве пользователей и наборе персональных данных, вы не то что обычными веб-сервисами (не БД, а просто веб-сервис обработчик чего-нибудь) зарубежем пользоваться не имеете права, но обязаны выполнять кучу требований по инфраструктуре (например, нельзя пользоваться виртуалками, деля сервер с другими и т. д.).
Мы действительно обсуждаем только БД ПД. В моем случае этого достаточно согласно пункту 2 части 2 статьи 22 :)
Да, кстати, вы говорите
при определенном количестве пользователей и наборе персональных данныхбыло бы здорово, если бы предоставили ссылку на документ, регламентирующий рамки количества пользователей и их ПД
Но так как тема всё же интересна, решил досконально изучить комментарии. И не нашел подтверждения ваших слов про Васю в Ирландии и того, что хранение за рубежом запрещено. Также не нашел подтверждения тому, что база данных в РФ должна быть больше или равной зарубежной базе. В законе об этом ни слова.
Более того, в одном из ответов Минсвязи четко сказано:
И это действительно так. В законе нет никаких запретов на хранение баз ПД за рубежом. В нем лишь говорится о том, что они должны быть в РФ. Но не говорится в законе о том, что только в РФ. Я, пожалуй, останусь при своём мнении.
Более того, в одном из ответов Минсвязи четко сказано:
… Федеральный закон не содержит указаний на общий запрет обработки персональных данных граждан Российской Федерации с использованием баз данных, не находящихся на территории Российской Федерации.
И это действительно так. В законе нет никаких запретов на хранение баз ПД за рубежом. В нем лишь говорится о том, что они должны быть в РФ. Но не говорится в законе о том, что только в РФ. Я, пожалуй, останусь при своём мнении.
То есть, выходит что, если существует две страны с таким законодательством — я не смогу проводить какие-либо операции требующие участия данных обоих участников. Поскольку ни там ни там я не имею права производить манипуляции за пределами этих субьектов.
Верно?
Верно?
Это немного другое (если я вас правильно понял): трансграничную передачу данных, необходимую для совершения операции, никто не запрещал. Тут нужно уточнять детальнее «какие-либо операции», т. к.
— Смогут ли граждане РФ размещать свои ПД в удобном для них формате и пользоваться услугами, предлагаемыми на мировом рынке товаров, работ, услуг (например: туризм (бронирование), заказ товаров, банковские услуги и т.п.)?
Считаем, что, изменения, вносимые в законодательство Российской Федерации Федеральным законом №242-ФЗ, не препятствуют гражданам Российской Федерации получать за пределами Российской Федерации услуги, в случае, если в их рамках обрабатываются персональные данные граждан Российской Федерации за пределами территории Российской Федерации, в соответствии с международным договором или в соответствии с федеральным законом, либо в рамках иных исключений, на которые не распространяется норма части 5 статьи 18 152-ФЗ.
То есть фактически, данный закон существует только для того чтобы на территории РФ были точные копии тех данных, что я решил оставить где-то. Напрашивается вопрос — каким образом, факт наличия копии моих данных на территории РФ, может их (данные) защитить?
Нет, не так. Если упростить, смысл в том, что всё — веб-сервисы, базы и пр. — должно быть в России, и точка входа для большинства русских (см. комментарий про отпуск) тоже здесь же. «Наружу» данные должны уходить только при прямой необходимости (если иначе никак). В большинстве случаев, это означает, что за пределами России будет минимум данных — в этом и «защита».
Если бы можно было оставить всю инфраструктуру зарубежем и копировать файлик базы раз в сутки на домашний комп админа (примерно то, что вы пишите), это как раз было бы абсурдно с точки зрения «защиты» (и, разумеется, запрещено).
Если бы можно было оставить всю инфраструктуру зарубежем и копировать файлик базы раз в сутки на домашний комп админа (примерно то, что вы пишите), это как раз было бы абсурдно с точки зрения «защиты» (и, разумеется, запрещено).
Опять не понимаю. Ситуация — я владелец фейсбука. Мне нужно делать аналитику со всеми данными из всех стран, что фактически означает что я каждый день увожу данные к себе и там делаю аналитику.
Следуя Вашему комментарию, я обязан это делать(аналитику с данными которые в себя включают в том числе и данный РФ) на территории РФ?
Если же нет, то есть я имею право каждый день проводить манипуляции с данными за пределами РФ то какой тогда смысл в законе?
Следуя Вашему комментарию, я обязан это делать(аналитику с данными которые в себя включают в том числе и данный РФ) на территории РФ?
Если же нет, то есть я имею право каждый день проводить манипуляции с данными за пределами РФ то какой тогда смысл в законе?
Стоит отметить, что введение закона о Защите ПДн стало толчком для развития российских ЦОДов, поскольку для соответствия требованиям закона необходимо развитие инфраструктуры ЦОДов, новое оборудование, а решение новых нестандартных задач приводит к повышению квалификации кадрового состава ЦОДов, появлению новых рабочих мест.
Так вот кто эти законы лоббирует, а то всё ФСБ, да ФСБ… А если серьёзно, то есть ли где-то статистика или расчёты на сколько возрастают затраты операторов в пересчёте на одного клиента для организации сначала защиты, а теперь и локализации? Для разных масштабов клиентской базы.
К плюсам можно отнести и то, что на деле действительно снизилось количество нарушений при обработке ПДн: в 2014 году более 80% операторов осуществили обработку ПДн с нарушениями, в 2015 – около 65%.
Сомнительный плюс как по мне. Ввели требования чуть ли не с потолка, карательными мерами (или их обещаниями) добились их частичного выполнения, а толку-то?
Я все же останусь при своем мнении о том, что это будет толчком для развития технологий ЦОДов. Западные(иностранные) цоды хороши, они современны и эффективны. Но мы должны развивать альтернативу, мы должны развивать свои цоды. Иначе мы останемся в каменном веке.
Развитие цодов дадут толчок к развитию разработчков решений (например в коммюнити Openstack много российских разработчиков). Нужны будут новые обученные сотрудники — развитие образования. Нужны будут новые учебные заведения — развитие строительства. и т.д. цепочка.
Нужно смотреть на несколько шагов вперед. Например, Япония несколько десятилетий назад, делали копии иностранных авто. Наверняка были люди которые кричали «Да нахрена вы делаете японские тачки, есть ведь уже иностранные, они лучше блаблабла». В итоге их автопромышленность развилась и сейчас в авангарде.
Статистику про затраты трудно сказать. Зависит от объемов данных и сложности инфраструктуры. Это могут быть как и тысячи рублей, так и тысячи долларов.
Спасибо за коммент. Надеюсь помог. Готов пообщаться лично по почте.
Развитие цодов дадут толчок к развитию разработчков решений (например в коммюнити Openstack много российских разработчиков). Нужны будут новые обученные сотрудники — развитие образования. Нужны будут новые учебные заведения — развитие строительства. и т.д. цепочка.
Нужно смотреть на несколько шагов вперед. Например, Япония несколько десятилетий назад, делали копии иностранных авто. Наверняка были люди которые кричали «Да нахрена вы делаете японские тачки, есть ведь уже иностранные, они лучше блаблабла». В итоге их автопромышленность развилась и сейчас в авангарде.
Статистику про затраты трудно сказать. Зависит от объемов данных и сложности инфраструктуры. Это могут быть как и тысячи рублей, так и тысячи долларов.
Спасибо за коммент. Надеюсь помог. Готов пообщаться лично по почте.
Sign up to leave a comment.
Защита персональных данных по N 242-ФЗ: как понять и что делать?