Pull to refresh

Перенос данных в Россию. Краткий FAQ по заблуждениям

Information Security *
Фраза «уж сколько раз твердили миру» наверно идеально подходит под описание ситуации с защитой персональных данных и их переноса в Россию. За прошедшее с начала обсуждений проблем в этой области время казалось бы обсуждено все. И тем более юристы должны уметь читать законы.

Увы. Посещение очередной конференции развеяло для меня этот миф, в связи с чем я предлагаю в копилку Хабражителям ответы на типовые вопросы в области переноса данных.

Как передать ответственность за обработку персональных данных?

Почему-то забывают, что Федеральный закон от 21.07.2014 № 242-ФЗ не является законом сам по себе. Он лишь вносит изменения в:

  • Федеральный закон от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации»
  • Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных»
  • Федеральный закон от 26 декабря 2008 года N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей

Поэтому, говоря от защите персональных данных, нужно оперировать положениями 152-ФЗ. В соответствии с 152-ФЗ:

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Таким образом ответственность перед субъектом в любом случае остается на операторе — компании, получившей согласие субъекта персональных данных на их обработку. В общем даже выделение части сотрудников в иное юрлицо не спасет ситуацию, поскольку данные все равно продолжат обрабатываться в компании — ведь с этими сотрудниками сохранятся деловые взаимодействия.

… Роскомнадзор… защищенный канал/шифрование

Очень много вопросов касается мер защиты. И это естественно. Но почему-то единственной точкой приложения считается Роскомнадзор. Опять-же согласно 152-ФЗ имеется три регулятора, каждый из которых имеет свою зону ответственности.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

А это у нас ФСТЭК РФ и ФСБ РФ, где последняя отвечает за шифрование.

Как нам выполнить требование о переносе серверов?

В текущей редакции 149-ФЗ гласит:

7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

И соответственно 152-ФЗ:

5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети „Интернет“, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона

Здесь важно, что в определении используется формулировка „с использованием“. Вариантов толкования много. В принципе под него попадет даже параллельно работающий сервер. Но обычно определение толкуют в смысле. что:

  1. Сбор и хранение данных должны осуществляться на территории РФ, а вот обработка может быть где угодно
  2. За рубежом же можно хранить и копии данных — к которым и будут идти обращения при обработке




Здесь и далее иллюстрации брались из материалов конференции.



Минимизировать риск нарушения закона позволяет внимательное его чтение

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

Ответственность перед субъектом в любом случае останется на операторе, но вот меры защиты (вместе ответственностью за их исполнение) могут быть перенесены на третью сторону. В соответствующем договоре должны быть прописаны цели обработки данных, требования по их защите и тд



Отдельный вопрос — необходимость уведомления Роскомнадзора компанией, которой передают данные на обработку вместе с ответственностью за их защиту. Теоретически такой компанией может быть некая специализированная компания, предоставляющая выполнение требований закона как услугу. Но она в общем случае не может знать, что от нее потребует следующий клиент — а уведомлять Роскомнадзор до начала обработки в случае каждого договора… Наиболее интересный вариант из 152-ФЗ гласит, что

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

Этот вариант возможен только в случае трехстороннего договора, одной из сторон которого является субъект персональных данных.
Tags:
Hubs:
Total votes 13: ↑13 and ↓0 +13
Views 21K
Comments Comments 11