Комментарии 7
Госструктуры минус из клиентов
Google Контакты — лишь один из возможных типов телефонных книг, которые поддерживаются IP-телефонами Yealink (ещё 4 описаны в предыдущих статьях). Если регламенты работы конкретной компании не предполагают использования каких-либо решений, конечно, всегда есть альтернатива. Если Вы имеете в виду какие-то другие причины и препятствия, пожалуйста, поделитесь ими в комментарии.
https://data-sec.ru/personal-data/storage-abroad/
Среди разнообразия законов, правительственных постановлений и президентских приказов главным регулирующим нормативно-правовым актом по операциям с ПДн является ФЗ-152. Это означает, что осуществляемая фирмой или коммерсантом деятельность, в том числе связанная с экстерриториальной обработкой информации, должна быть организована в соответствие с данным законом. Главным требованием, предусмотренным 12 статьей, является хранение персональных данных на зарубежном хостинге только в тех государствах, которые подписали Европейскую конвенцию, устанавливающую необходимость обеспечения защиты в автоматизированных БД. Допускаются также операции по передаче и обработке в странах, не являющихся участниками Конвенции, но способных предотвратить утечки и сохранить конфиденциальность ПДн. Ограничения предусмотрены для того, чтобы у недобросовестных операторов не было шанса перемещать сервера туда, где менее серьезно относятся к безопасности сведений о гражданах.
Еще несколько сведений, которые необходимо знать:
за проверки соблюдения нормативов отвечает, прежде всего, Роскомнадзор;
нарушение требований безопасности предусматривает административную ответственность, при этом сотрудники контролирующих органов имеют право заблокировать те ПДн, которые хранятся или применяются в обход закона;
фирмы, частные и должностные лица обязаны позаботиться о том, чтобы для сохранения конфиденциальной информации использовались БД, территориально расположенные в Российской Федерации. Исключением не являются иностранные компании, предоставляющие услуги и товары российским гражданам через Интернет;
несмотря на обязательство хранить и собирать сведения в российских базах, операторы имеют право (при соблюдении остальных условий ФЗ-152) копировать и передавать информацию за рубеж, но при этом запрещено осуществлять сбор на иностранном сервере, а потом копировать в российскую БД.
Главные нюансы, предусмотренные законом о запрете хранения персональных данных
По мере расширения законодательной базы в отношении защиты ПДн граждан у организаций возникает все больше вопросов о том, как наладить работу без нарушений. С 2017 года в нашей стране действует ФЗ-242, который предусматривает:
Запрет на систематизацию, запись и уточнение, а также накопление личной информации за пределами РФ.
Возможность передачи и копирования в другие страны, но только при условии, чтобы собраны сведения были в соответствии с установленными в России требованиями по работе с ПДн.
Невозможность одновременной работы БД в РФ и за границей.
Место расположения баз ПДн прописывается в уведомлении, которое каждый оператор при начале обработки должен подать в Роскомнадзор. Отдельного заполнения и предоставления документов о локализации серверов не установлено.
Кроме того, с 2019 года за хранение персональных данных за границей с нарушениями операторам грозят штрафные санкции, поэтому очень остро стоит вопрос налаживания системы безопасности автоматизированных систем с базами, где хранятся собранные ПДн.
Допускается ли хранение персональных данных на сервере за границей и применение облачных технологий?
Первоначально частная информация должна быть собрана и размещена в базе, расположенной в РФ, но в дальнейшем никто не запрещает осуществлять передачу ПДн в другие государства, где они будут храниться до определенного момента. Но не все так просто, как хотелось бы. Формально участие нашей страны в Европейской конвенции предполагает, что контролирующие органы не имеют права запрещать трансграничную передачу ПДн, однако для осуществления подобной операции необходимо выполнить целый ряд условий:
определить конкретную цель обработки;
дать гарантию субъекту, что после её достижения личные сведения будут обезличены либо уничтожены;
учесть, что действия с ПДн будут также регулироваться национальным законодательством страны, куда передаются;
прекратить использование в случае отзыва согласия.
Отдельного внимания заслуживает хранение персональных данных на иностранном сервере в стране, которая не может гарантировать адекватную защиту. Такое допускается только при:
подписании субъектом согласия в письменном виде;
наличии разрешения на совершение подобных операций в ФЗ или заключенных Россией международных соглашений;
необходимости обеспечения защиты жизни и здоровья гражданина;
исполнении ранее подписанного соглашения, одной из сторон которого является владелец ПДн.
Важные сведения, касающиеся трансграничности
Применение системы SAR HR для осуществления кадрового и бухучета предполагает задействование исключительно серверов, находящихся внутри страны. В том числе это касается операций, связанных с начислением заработной платы.
ФЗ-242 не запрещает использование PaaS, SaaS и прочих облачных технологий, но оператору необходимо иметь в распоряжении документы, служащие подтверждением размещения серверов в пределах РФ.
Если планируете пользоваться хостингом в другой стране, нужно будет позаботиться о том, чтобы первоначальный сбор проводился в России с учетом прописанных в ФЗ-152 требований.
Штрафные санкции
Эффективность законодательного регулирования в значительной степени зависит от наказания, предусмотренного за нарушение требований о хранении персональных данных за рубежом. С 10 февраля 2021 года Правительство РФ утвердило решение об изменении КоАП, а точнее, статьи, которая касается штрафов за соблюдение нормативно-правовых норм в отношении ПДн. Новый законопроект действует в отношении всех операторов, в том числе тех, которые осуществляют трансграничную передачу личной информации. При первичном выявлении нарушений физическое лицо оштрафуют на сумму 2-6 тысяч рублей, представителя органа власти — на 10-20 тысяч рублей, а компании придется заплатить до 100 тысяч рублей в госбюджет. За повторное игнорирование правил относительно использования сведений в случаях, не прописанных в российском законодательстве, можно получить удвоенный штраф.
Отдельные санкции установлены в отношении тех операторов ПДн, которые хранили, передавали и использовали приватную информацию о гражданах без предварительного письменного согласия. Максимальная сумма штрафа (для юридических лиц) составляет 150 тысяч рублей, а должностные и физические лица вынуждены будут заплатить до 40 тысяч рублей и до 10 тысяч рублей, соответственно.
Отношение общественности и бизнесменов по поводу ужесточения наказания нельзя назвать однозначным, в частности, многих не устраивает неопределенность и расплывчатость формулировок в законах, регулирующих операции с ПДн на иностранных серверах. Фактически никто, кроме узких специалистов по безопасности персональных данных, не понимает, как организовать работу предприятия таким образом, чтобы ничего не нарушить и не быть оштрафованными. На сегодняшний день оптимальное решение для профилактики санкций и успешного прохождения проверок — сотрудничество на постоянной основе с экспертами в сфере ПДн, которые отслеживают законодательные требования и вовремя предлагают пути корректировки работы в соответствии с ними.
Как я уже писала выше, компании, подпадающие под действие подобных законодательных актов, могут использовать другой функционал, предоставляемый IP-телефонами Yealink, в частности, локальные телефонные книги. Поддержка устройствами какого-либо функционала не означает, что эти функции нужно использовать в обязательном порядке.
Планируется ли цикл статей о механизмах "провижена" ?
Телефонная книга Google Контакты в IP-телефонах Yealink