Госдума планирует повысить штраф за хранение персональных данных россиян вне России до 18 млн рублей

[BigD]

На практике — да

[BigD]

но, если передаете в страны, не обеспечивающие надлежащую защиту (США, Япония и тд) — требования к согласию более строгие

[ChiefPilot]

Лучше бы они разобрались с тем, что творится с этими данными внутри страны!

[hermes-jr]

Я не понимать. Допустим, есть россиянин и у него есть персональный блог на сервере в Германии, в котором он без псевдонима под настоящими ФИО пишет, как он обожает каких-нибудь баптистов (т.е. согласно habr.com/ru/post/107576 это «категория 1 — персональные данные, касающиеся… религиозных и философских убеждений ...» в «объёме менее 1000»). Это теперь для него стоит 100к что ли?

[karl93rus]

Нет. Я так понял, что если ты физик и у тебя есть какой-нибудь сайтик, где ты собираешь данные юзеров, то ты, как владелец этого сайтика, должен держать эти данные в РФ. Если ты компания, то же самое. Если ты ведешь бложег на реддите каком-нибудь, или на сайтике, который расположен на сервере в Германии, то тебе, как юзеру, ничего за это не будет. Ты-то, как юзер, понятия не имеешь кто и где хранит информацию.

[hermes-jr]

Ну я имел в виду именно свой блог на каком-нибудь vps или дедике, будь это статика или какой-нибудь вордпресс с бд — не суть. Получается человек собирает и хранит там персональные данные сам о себе.

[LazyTalent]

А если я, являясь гражданином РФ, пересекаю границу другого государства и меня, пограничники или таможенники, заносят в свою базу…

[nochkin]

Если данные хранят не на сервере, а просто на бумаге, то всё чики-пуки.

[hMartin]

биометрику тоже?)

[nochkin]

Кстати, очень хорошая мысль.

[Areso]

Радужку фотографией на пленку, пальчики — на бумагу. И не подкопаешься.

[vladkorotnev]

Как-то так?

[Caracat]

Перфокарты 2.0 )

[tagir_valeev]

Думаю, если вы покупаете авиабилеты зарубежной авиакомпании или бронируете отель за рубежом, практически наверняка имя, дата рождения и номер паспорта осядут в каких-нибудь зарубежных базах данных.

[powerman]

Получаем довольно простой алгоритм:

1. Ввести свои персональные данные на любом сайте (даже русском — большая часть всё-равно живёт на зарубежных хостингах/облаках).
2. Написать в РКН о своём беспокойстве, что этот сайт не хранит введённые вами данные на территории РФ, с просьбой проверить факт хранения данных в соответствии с законодательством и сообщить о результатах проверки.

В результате либо будет DDoS РКН, что само по себе приятно, либо, что более вероятно, в очередной раз наивные убедятся в том, что закон применяется избирательно и только в интересах текущей власти.

[BigD]

бронирование билетов не подпадает под действие 152 и 242 ФЗ

[powerman]

Так ведь никто же не ограничивается выполнением только и исключительно основной функции. Вы передали перс.данные ради того, чтобы забронировать билет, но дальше эти данные будут использоваться для отслеживания поведения, для рассылки рекламы, для продажи третьим лицам, etc.

[uzverkms]

А при том, что россияне теперь будут доставлять неудобства любым веб-сервисам в мире. Пришел, зарегистрировался, оставил свои персональные данные за рубежом. Всё, медимум, реддит, и т.д. попали.

[hermes-jr]

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

Ткнули в правильное место, спасибо! Значит, можно не переживать.

[hippohood]

Граница между блогом для личных нужд и для коммерческих / политических целей весьма расплывчата. Популярные блоги в России уже законом определяются как СМИ просто исходя из количества посещений. Выложите однажды фоточку с котёнком и вот вы и СМИ.

Но в данном кейсе полагается вариант когда российский физик размещает о себе личную информацию на форуме, который, просто для аргумента, имеет коммерческую сущность. Проблемы не у физика, а у форума

[foxyrus]

Только если твоя фамилия Навальный.

[Duny]

Интересно, могут ли спецслужбы подкинуть наркотики в данные, хранимые на территории России?

[vadlit]

Они все могут

[helgevans]

Могут подкинуть центральный процессор.

[uzverkms]

Конечно. В данном случае это будет называться «экстремистские материалы» в форме текста или изображений. Вставят пару строк мелким шрифтом внизу сайта, а потом зафиксируют в протоколе ;)

[nerudo]

А ГРУ и вовсе может подкинуть данные на заграничный сервер!

[OneOfUs]

Как же надоела уже эта «опека» государства под предлогами #виздетираристы и #анижыдети вводить цензуру интернета. Вместо того, чтоб концентрировать персональные данные в одном месте, сделайте финт ушами и размещайте «облака» тех же гуглозонов в своих датацентрах. Это как обмен заложниками послами в разных государствах.

А знаете, по такой схеме можно заниматься кибертерроризмом компаний: находишь крупную компанию с открытой регистрацией, у которой нет серверов в России, регистрируешься, предоставляя персональные, а потом «А-а-а-а! Смотрите! Они хранят ПД российских граждан не в России! Ату их! Ату!»

[Lure_of_Chaos]

А знаете, по такой схеме можно заниматься кибертерроризмом компаний
Это же первичный сценарий

[servermen]

Или для борьбы с конкурентами…

[pewpew]

А что если авторизовать своих пользователей через какой-нибудь OAuth и хранить только обезличенные хэши? Остальное — дело тех служб, кто занимается авторизацией? Те же Госуслуги? Можно забить на все эти требования?

[Lure_of_Chaos]

Те же Госуслуги?
Мечта государства: в сети могут писать только пользователи, зарегеннве через ГУ, под своим реальным ФИО. Для совершенства этого сценария не хватает только премодерация контента чиновником

[pewpew]

Собственно, я имел ввиду сторонние средства авторизации, на которые лягут обязательства соблюдения всей этой бредятины. Впрочем, авторизовывать пользователей можно и по аккаунту в Google и вообще по чему угодно. Им удобно. И придраться будет невозможно. На вашем сервере бует просто абстрактный ID записи в этой сети.

[dmxvlx]

Да кстати, есть у меня на друпале один модуль авторизации через соц.сети, нужно попробовать отключить в настройках Fields to request все поля и проверить, не запишется ли мыло в аккаунт… — Идею вы хорошую подкинули! Спасибо! — всё лучше если сработает, нежели закрывать доступ для регистрации по гео-признакам РФ ip адресов (хотя и это нужно будет реализовывать, оставляя только такую регистрации/авторизацию для россиян)…

[texder]

По моему, здесь самих граждан забыли спросить. Вот, я, например, наоборот, хочу хранить свои данные за рубежом, и не хочу, чтобы компании хранили их здесь.

[OneOfUs]

Так в том-то и прикол: пользователи считаются безликой аморфной массой, которая схавает то, что ей дадут и будет вести себя так, как сказано. Товарищ Ашманов вообще считает «анонимных» пользователей (в его понимании, если не указаны паспортные данные, там ФИО и т.п.) тупой школотой, хомячками и прочим сбродом.

[achekalin]

Они бы за принятие пурги приняли ответственность, что ли.

Я все жду, когда примут, что, если я услышал по телефону, что «разговор будет записан», то я бы мог отказаться от записи, и чтобы за неотключенную запись была бы ответственность — но такие мелочи кого волнуют, правда?

[unclejocker]

Хм, ну так вы и сейчас можете отказаться от записи — просто положите трубку.

[achekalin]

Это вы интересно придумали, душевно! Однако решение получилось, честно сказать, так себе по качеству.

Если я звоню в компанию, которой плачу за сервис, но не хочу записи моего разговора, то как я оплаченный сервис получу? Собственно, запись — это их хотелка, а не моя, к работе компании она не имеет отношения. Тем более что практика показывает, как данные из компаний направо и налево утекают, и я, например, не хочу, чтобы еще и записи утекли — там могут быть, например, финансовые подробности (если я, к примеру, в банк звоню).

[unclejocker]

как я оплаченный сервис получу?

Ну как… лично можете придти в офис
Вас там еще и на видео снимут:)

[DrPass]

я, например, не хочу, чтобы еще и записи утекли — там могут быть, например, финансовые подробности (если я, к примеру, в банк звоню).

Вы этому банку доверили свои личные данные, свой адрес, свой телефон, свои деньги. А теперь вы не хотите доверить ему запись разговора со специалистом же этого банка?

[achekalin]

Это не значит, что я ещё и разговоры им хочу доверить. Тем более что чаще всего мы с вами выбираем банк не потому, что он идеален, а просто менее дурной, чем конкуренты (и это на взгляд клиента). О полном доверии речь не идёт ни со стороны банка, ни со стороны клиента.

[DrPass]

Ну а что у вас в разговоре может быть более ценного, чем то, что там у них и так уже есть?

[DonArmaturo]

А если "физик" на смартфоне разговор с Вами запишет, это плохо?
Я вот сам не знаю, как к этому относиться. Разрешений не давал, но ведь говорить согласился ( и что с того, что не знал о записи — мог предположить)

[Miller777]

Запрещать человеку записывать свой разговор, неважно с кем, — это нонсенс, как мне кажется. Все равно что запрещать во время разговора делать пометки карандашом по бумаге.

[dom1n1k]

Далеко не всё равно. Например, сообщение «депутат X на заседании госдумы ковырял в носу» будет восприниматься сильно по-разному, если а) предъявить видеозапись б) ну вот у меня в блокноте карандашиком записано. Запись может иметь доказательную силу, а почеркушки в блокноте вряд ли.

[vics001]

Есть же фраза «не для протокола». Соответственно, это свое рода договор, что информацию можно распространять со своих слов, но никто не подтвердит, что она была сказана.

[vmchaz]

Арендуем сервер в России или даже ставим свой сервер с аппаратной защитой от вскрытия на колокейшн.
Ставим на него линукс, который подтягивает ключ шифрования откуда-нибудь с зарубежного сервера.
Копию части данных (только для юзеров из России) храним на нём.
Вроде как данные в России, но в то же время в безопасности.

[powerman]

На самом деле всё ещё проще. Сервер может хранить только зашифрованные данные и в принципе не иметь доступа к ключу шифрования. Он предоставляет API, через которое можно эти данные читать/писать, но — в шифрованном виде. Точнее, сам сервер вообще про шифрование ничего не знает, он просто хранит и раздаёт что сказано. Формально — закон вроде бы соблюдается, все данные физически в РФ. Но сделать с ними насильно можно только одно — удалить/отключить сервер.

[mickvav]

Так, пождите, а как они правоприменять-то это-вот-все к юр.лицам, зарегистрированным за рубежом собрались? Может пора уже в целях пополнения бюджета принять закон, что все юрлица в мире обязаны платить РФ за то, что они есть?

[Jouretz]

Для этого есть БольшойУбогийФайрвол. Кто не перенесёт тех заблокируют.

[mickvav]

На зло маме уши отморожу. Гениально, блин.

[dmxvlx]

А цены на аренду выделенных серверов, нам гарантируют как за рубежом, или опять будем платить в 3-5 раз дороже?

На каждом углу, как мантру повторяют: «Нужно развивать и поддерживать отечественный бизнес», а по факту делается всё в точности до наоборот…

UPD:

Ну или как вариант: не принимать платежи от россиян (если ПО которое продаёшь ориентировано больше на западный бизнес) (имеется ввиду что профиль пользователя в интернет магазине хранит некую личную инфу). Тогда какой вообще смысл выходить на мировой рынок будучи компанией зарегистрированной в РФ?

[powerman]

Можно попробовать другой подход. Выложить на сайте полиси: ввод персональных данных граждан РФ на данном сайте запрещён, вводя свои персональные данные вы подтверждаете, что не являетесь гражданином РФ. И на этом — всё, все возможные претензии властей — к конкретным нарушителям этого полиси, если они смогут этих нарушителей найти и доказать, что они нарушители.

[dmxvlx]

Да кстати, тоже вариант…

[el777]

Есть такая штука как "трансграничная передача данных". Если я явно получил согласие пользователя на эту передачу, тогда я могу легально передавать его данные?

[dmxvlx]

Почему нет? Для этого подойдёт пункт 3.4:
— исполнения договора, стороной которого является субъект персональных данных;

(думается публичная оферта подойдёт).

Но ведь речь идёт о хранении…

[BigD]

сохраните первичную запись в БД в России, и передавайте сколько угодно

[DrPass]

Мы ту почти все, и как пользователи, и как предприниматели, этого хотим, но законы-то не для нас пишутся, а от нас :)

[redflasher]

А если я делаю веб-сервис, размещенный на хостинге за бугром, и база данных там же, а репликацию делаю на сервак в России? Норм тогда или нет? (с точки зрения закона)

[helgevans]

Если вы Джо — то норм. Если вы не Джо — то не норм.

[BigD]

первичная БД должна быть в России

[powerman]

И как технически определяется, кто из двух реплик первичная?

[BigD]

РКН попросит архитектуру передачи данных (схему), + может посмотреть даты записи — в России они должны быть «первыми» (= «раньше»)

[powerman]

Многие распределённые БД пишут одновременно на несколько реплик, гарантировать куда запись попадёт первой — проблематично.

И что значит "может посмотреть даты записи"? Каким это образом РКН получит доступ к нашей БД на таком уровне, что сможет изучать отдельные поля записей и, самое волшебное, сравнивать их с полями в БД находящейся на сервере за пределами РФ?

P.S. Кроме того, если это реплика, то все поля у записей будут идентичны, включая поля с датами создания/изменения записи — и эти поля вовсе не обязательно будут отражать время физической записи на винт данного изменения.

[BigD]

Вы дадите доступ, и РКН посмотрит. А вот что они там найдут — это другой вопрос.

[powerman]

А где конкретно в законе прописано, что я должен дать доступ РКН ковыряться в моей БД? Я ещё понимаю, что если придёт ФСБ, или кто-то с решением суда, но — просто так, по умолчанию, пускать РКН в базу? Такое действительно есть в законодательстве?

[dmxvlx]

Может я чего упускаю из виду, но мне видится, что: реплика не подпадает под «передачу оператором персональных данных третьим лицам», так как самому себе передать и иметь договор меж собою самим не возможно. Отсюда это не передача а чистой воды владение(хранение), и не важно какая это реплика: первая или вторая.

Как вариант: горизонтальное масштабирование данных, т.е. они не дублируются (реплицируются). На сервере в РФ оседают регистрации с российских ip-адресов, на сервере USA/EUROPE оседают все остальные. — Но это гемор ещё тот: проектирование хранения данных и подбор инструментов усложняется в разы (и дорожает кстати тоже).

[GamePad64]

"Развитие малого бизнеса" говорили они. И вот сейчас сделали штраф такой, что когда на него попадаешь — компанию можно закрывать.