Персональными данными на территории рф. Новый закон о запрете хранения персональных данных за рубежом – что он нам сулит
- Tutorial
Ох, сколько уже было сказано о персональных данных! Интернет предпринимателей особенно взбудоражила история с локализацией. И до сих пор не совсем понятно, как и к кому этот 242 ФЗ применяется. Поэтому мы с коллегами из Б152 решили на примерах все разобрать и предложить варианты хранения данных, подходящие совершенно разным компаниям.
Напомним, что он вступил в силу 1 сентября 2015 года, хотя принят был еще летом 2014-го. О нем много разговоров, но судебной практики пока нет. Поэтому мы обратимся к опыту иностранных коллег.
Мониторинг и управление ресурсами резервного копирования и восстановления, используемыми в производственной среде, являются чрезвычайно важными задачами. Наконец, вы можете просто контролировать и анализировать доступность, возможности и производительность систем управления хранилищами. Архивирование управления ресурсами - это важная операция управления архивами, которая фокусируется на правильном форматировании и установке устройств хранения, таких как диски, с соответствующими файловыми системами.
Использование системы управления ресурсами хранения требует определенной подготовки и навыков. Вам необходимо знать некоторые ключевые концепции для правильного мониторинга и управления ресурсами хранения и анализа результатов, если это необходимо. Кроме того, если вы используете правильный инструмент, повышает способность группы задач обеспечивать доступность, возможности и производительность ресурсов хранения.
Суть закона заключается в том, что отныне юридическим лицам, которые работают с персональными данными граждан РФ, запрещено собирать и хранить эти данные за рубежом – они обязаны локализовать базы данных на территории России. Закон этот вносит важные изменения в ФЗ № 152 «О персональных данных», вступивший в силу еще в 2007 году.
Контрольная точка: службы резервного копирования и резервного копирования, определенные для критически важных серверов. После выполнения перечисленных выше действий организация отвечает минимальным стандартным требованиям для критически важных служб резервного копирования и восстановления для критически важных серверов.
Очевидно, что вариантов, где личные данные могут покинуть Болгарию, много, и практика показывает, что большинство болгарских администраторов не следуют установленному правовому порядку. В этой статье описываются основные варианты для администраторов, и вам следует обратиться к адвокату, специалисту по персональным данным, в каждом конкретном случае.
По части жестких требований к локализации ПДн мы далеко не одиноки. На территории других стран подобные законы действуют уже не один год.
Вьетнам
В 2013 году во Вьетнаме владельцев нескольких конкретных видов ресурсов (новостных, социальных сетей и онлайн-игр) обязали локализовать копии данных. Для чего это было сделано, нетрудно догадаться. Конечно же, для предоставления их компетентным органам и облегчения рассмотрения претензий пользователей. Запрета на параллельную обработку персональных данных за рубежом власти Вьетнама не ввели.
Отправка персональных данных в ЕС и Европейскую экономическую зону. Это самый простой вариант. В целом это означает, что при отправке личных данных на территорию ЕС и ЕАОС вам не требуется предварительное согласие Комиссии по защите личных данных. Также нет необходимости уведомлять ее об этом позже. Логика заключается в том, что, как только передача данных находится в ЕС и ЕАОС, европейское законодательство гарантирует, что гарантия защиты данных в соответствующих государствах-членах находится на достаточно высоком уровне.
Здесь важно отметить следующее: Болгарский отправитель данных должен быть уверен, что получатель также является администратором персональных данных и в этом смысле имеет право обрабатывать их. Текст НДПА, согласно которому отправка «в соответствии с требованиями настоящего Закона» означает, что данные должны были обрабатываться на правовой основе до их отправки. Обработка должна быть приемлемой. То есть данные не могут быть отправлены, которые не собираются должным образом - например, нет явного согласия лица, данные которого собраны, сбор не является необходимым для выполнения уставного обязательства и т.д.
Китай
Китайцы подошли более сурово к вопросу трансграничной передачи данных, правда, в отношении только одного вида персональной информации. На два года опередив вьетнамцев, Китайский народный банк опубликовал Уведомление банковским институтам о защите персональной финансовой информации. Этот документ запретил кредитным организациям хранить, обрабатывать или анализировать за границей личную финансовую информацию, полученную внутри страны.
Отправка личных данных в третьи страны за пределами ЕС и ЕАОС. Если вы решили отправить личные данные за пределы ЕС и ЕАОС, вам необходимо убедиться, что страна, которую вы отправляете, обеспечивает их адекватную защиту на своей территории. Первое - когда есть решение Европейской комиссии, в котором объявляется, что третья страна, где предоставляются персональные данные, обеспечивает адекватный уровень защиты. На сегодняшний день ЕС имеет несколько таких решений.
Особое внимание следует также обратить на отправку персональных данных в Соединенные Штаты. ЕС принял конкретное решение для Соединенных Штатов, в котором говорится, что любая американская компания, которая гарантирует адекватный уровень защиты персональных данных, должна быть включена в специальный список. Поэтому перед отправкой данных в США рекомендуется проверить, находится ли ваш получатель в этом списке.
Индия
В том же 2011 году Министерство коммуникаций и информационных технологий Индии утвердило Правила по процедурам и практикам. Такое размытое название документа подразумевает под собой вполне конкретные цели, а именно – обеспечение безопасности специальных категорий персональных данных. В Правилах определены эти самые специальные категории, в список включили пароли, финансовую информацию (включая данные о банковском счете или кредитной карте), сведения о здоровье, сексуальной ориентации и биометрические данные.
Второй - когда есть решение ЕС, согласно которому оно постановило, что определенные стандартные договорные положения обеспечивают адекватный уровень защиты. Скажем, болгарский администратор хочет отправить личные данные в Индию. Он нашел отличный вариант для хранения своих данных. ЕС еще не принял решения, заявляющего, что Индия обеспечивает адекватный уровень защиты персональных данных на своей территории. Когда вы отправляете личные данные на территорию ЕС и ЕАОС, вам не требуется предварительное согласие Комиссии по защите личных данных. стандартные договорные положения, которые, по мнению ЕС, обеспечивают защиту данных.
Для этих категорий ПДн установили требование, согласно которому передача их любой другой компании или физическому лицу, находящемуся в Индии или в другом государстве, возможна только при условии обеспечения последними должного уровня защиты. И возможно все это только в рамках выполнения договора, заключенного с субъектом данных, или в случае получения от него согласия на передачу.
Стандартные статьи не могут быть изменены, и они включены в договор, принятые ЕС. Декларация имеет чисто информативную функцию. Очевидно, что законодатель признал, что право на свободу выражения и доступ к информации более важно, чем защита персональных данных, при условии, что право на неприкосновенность частной жизни не нарушается. В этой связи наша первая рекомендация для администраторов состоит в том, чтобы убедиться, что они обрабатывают персональные данные на правовой основе. Во-вторых, всякий раз, когда вы отправляете личные данные за пределы Болгарии, обратитесь к специалисту.
Малайзия
Финальной на сегодня глубиной нашего погружения в историю будет 2010 год, когда закон о защите персональных данных Малайзии ввел запрет на передачу ПДн за пределы страны. Осуществлять трансграничную передачу персональных данных можно лишь при соблюдении определенных условий и в ряде исключительных случаев. Например: согласие субъекта ПДн, необходимость исполнения договора между субъектом и оператором, необходимость исполнения контракта между оператором и третьим лицом, который был заключен по запросу или в интересах субъекта ПДн.
Консультация может спасти многие будущие нервы и затраты. Из-за его ограниченного объема, то же самое не требует исчерпывающей информации о предмете. Для получения дополнительной информации по вышеуказанным вопросам, пожалуйста, свяжитесь с автором электронного письма.
Личные данные на этом веб-сайте собираются только по мере необходимости с технической точки зрения. Однако собранные данные не продаются и не передаются третьим лицам третьим лицам. В следующем заявлении содержится обзор того, как мы предоставляем эту защиту, какие данные и с какой целью они собираются.
Однако подобные нововведения касаются не только азиатских стран. Запрет на передачу персональных данных за рубеж был введен в Австралии, правда, только в отношении данных о здоровье.
Вот только на фоне ФЗ-242 все вышеупомянутые законы и указания – детские сказки. Наш закон более суров и специфичен.
Больше всего споров возникает вокруг того, что этот закон запрещает хранение ПДн российских граждан за рубежом, но параллельное хранение, на первый взгляд, невозможно отследить. К тому же закон не содержит правовых инструментов, решающих эту проблему.
Веб-сайты, на которые распространяется данное заявление
Обработка данных на этом веб-сайте
Эти данные не связаны с другими источниками данных и, кроме того, они удаляются после статистической оценки. Из этих данных профили пользователей создаются под псевдонимом. Для этого могут использоваться куки-файлы. Здесь вы можете возразить. Он не служит для личной идентификации.Личные данные детей и подростков
Они не получат никакой информации, которую пользователь мог бы идентифицировать лично. Эта служба предоставляет интерфейс для управления тегами веб-сайта. Дети в возрасте до 18 лет не должны предоставлять личную информацию без согласия родителей или опекунов. Со своей стороны, личные данные детей и подростков сознательно не требуются, не собираются или не передаются третьим лицам.
Минкомсвязи внес ясность в вопрос трансграничной передачи. Согласно их разъяснениям, ПДн граждан, изначально внесенные в базы данных на территории России, могут быть переданы за рубеж в соответствии с положением о трансграничной передаче данных. Также ведомство подтвердило возможность предоставления удаленного доступа к российским БД с территории других государств.
Бюллетень
Это делает наше предложение более удобным для пользователя, более эффективным и безопасным. Вы будете автоматически удалены после вашего посещения сайта. Куки-файлы не нанесут никакого ущерба вашему компьютеру и не содержат вирусов. Куки-файлы разрешают повторное распознавание веб-браузера. В отношении сбора и хранения данных могут быть подняты любые возражения против будущей эффективности. Подписка на информационный бюллетень, предлагаемый на веб-сайте, требует вашего явного согласия. Для этого нам нужен действительный адрес электронной почты, а также информация, которая позволит нам убедиться, что вы являетесь владельцем указанного адреса электронной почты, что ее владелец соглашается получить этот информационный бюллетень.
Перейдем к практике.
Судебных решений пока нет, слишком мало времени прошло. Пока мы можем лишь сказать, что изменения коснулись всех компаний, которые работают на территории РФ. Как им быть и что делать? Как строить теперь свою работу?В первую очередь не надо паниковать. А что делать дальше – советуют наши коллеги из Б-152.
Вы можете в любое время отозвать свое согласие на сохранение данных и адреса электронной почты и использовать их для получения информационного бюллетеня. Ваши данные собираются исключительно с целью улучшения предлагаемых нами услуг. Мы используем ваши данные, в частности, для поддержки ваших транзакций в качестве средства общения с вами, чтобы мы могли предложить вам обслуживание и поддержку клиентов и информировать вас о предложениях и услугах.
Информация платежной карты используется исключительно для осуществления платежных операций и предотвращения мошенничества. Передача данных третьим лицам осуществляется исключительно с целью предоставления услуг или выполнения контракта. Государственным учреждениям, таким как власти, предоставляется только информация в рамках уставного обязательства предоставлять информацию или на основе судебных решений.
Итак, что делать если:
1. Вы иностранная компания, которая работает на территории РФ, в том числе через отдельное юридическое лицо или филиал.Вариант 1. Передать данные за рубеж в обезличенном виде.
Это значит, что персональные данные будут находиться на серверах в России, но каждому физическому лицу будет присвоен ID, который и передается за рубеж. Таким образом персональные данные отделяются от субъекта, и их невозможно будет соотнести с конкретным человеком. Такой подход предлагает Microsoft для работы со своими сервисами и Microsoft Azure.
В редких случаях мы можем, на основании правила, предоставить соответствующим сайтам информацию об этих данных. Предполагается, что эти данные необходимы для целей уголовного преследования, предотвращения опасности, выполнения уставных обязательств властей по защите конституции или военной контрразведки или для обеспечения соблюдения прав интеллектуальной собственности.
Вы решаете, какие из этих предложений использовать и как вы хотите получать информацию по почте, факсу, электронной почте или телефону. Этот параметр не применяется к обработке заказов, контракту, поддержке, предупреждениям о безопасности продукта или обновлениям драйверов.
Вариант 2. Трансграничная передача данных с хранением первичной актуальной базы на территории России.
Как мы уже сказали, закон не запрещает обрабатывать данные за границей, но только в том случае, если база данных в РФ является наиболее полной и актуальной. То есть если сбор и хранение первоначально происходит в БД на территории России, то персональные данные можно передавать за рубеж и использовать там. На данный момент это один из самых востребованных способов локализации персональных данных.
И самый простой вариант его реализации – использование буферного сервера в России. В этом случае данные сначала попадают на этот сервер, и только потом – за рубеж. Позиция регуляторов позволяет это сделать, ведь соблюдено главное требование – первичная база данных находится в России.
Напомним, что базой данных, с точки зрения Минкомсвязи и Роскомнадзора, считаются в том числе бумажные базы. Например, это может быть шкаф с личными делами сотрудников в виде картотеки или таблица в excel.
Мы предприняли обширные технические и оперативные меры безопасности для защиты ваших персональных данных от несанкционированного доступа и злоупотреблений. Наши методы защиты используются для защиты от повреждений, уничтожения или несанкционированного доступа. Эти меры регулярно контролируются и адаптируются к технологическому прогрессу.
Этот сайт содержит ссылки на другие внешние веб-сайты. Всякий раз, когда вы имеете право на информацию о сохраненных данных, относящихся к вашему лицу, их происхождению и получателю, а также цель их хранения. Информация о сохраненных данных будет предоставлена нашим Департаментом защиты данных.
2. Вы российская компания
Самый очевидный способ – перенести базы персональных данных, их обработку, сбор и хранение на территорию РФ, используя российские дата-центры.
Однако варианты с трансграничной передачей и обезличиванием вам тоже подойдут.
За нарушение норм локализации отдельной ответственности не предусмотрено. А значит, действует ст. 13.11 КоАП РФ, устанавливающая санкции за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных. Штраф за это совсем небольшой, для юридических лиц он составляет не более 10 тыс. руб.
После полного выполнения соглашения и соблюдения налогового и коммерческого права ваши личные данные будут удалены, если вы явно не согласились продолжать использовать ваши данные. Ваша уверенность важна для нас. Поэтому мы всегда в вашем распоряжении для обработки ваших личных данных.
Информация, которую вы нам даете
Если вы используете наши услуги, вам может потребоваться собрать вашу личную информацию; Мы можем запросить следующую информацию.
Информация, связанная с использованием наших услуг
Для аутентификации, доставки заказанных предметов и возможных вознаграждений, обеспечения транспортировки и покрытия страховых расходов, при необходимости для участия в наших мероприятиях или соревнованиях. Помогать в записи, анализе, изменении и хранении информации, включая ваши личные данные, ежедневные действия и результаты деятельности, рассчитанные по вышеуказанным данным. Кроме того, мы предоставляем поддержку для редактирования и доступа к данным и результатам деятельности, если вы делитесь этой информацией со своей семьей, опекунами и специалистами здравоохранения. Предоставлять рекомендации об услугах, которые могут вас заинтересовать, исходя из вашего предыдущего использования наших услуг. Чтобы иметь возможность отвечать на требования к поддержке клиентов, такие как требования к ремонту продукта и ответы на ваши вопросы. Для обслуживания клиентов и оценки удовлетворенности клиентов для дальнейшего анализа пользовательского опыта. Для любых других целей с вашего согласия.- Вы можете отказаться от подписки в любое время, бесплатно.
- Из-за важности общения вы можете решить не получать это сообщение.
Но это не единственная мера воздействия. Альтернативой является возможность внесения доменных имен и сетевых адресов в реестр нарушителей прав субъектов персональных данных. Что, пожалуй, более существенно, нежели штраф.
Итак, что нужно сделать со срочностью «вчера», чтобы понять, какие из описанных действий предпринять:
Источники:
1. Савельев А. И. Законодательство о локализации данных и его влияние на рынок электронной коммерции в России. // Закон, 2014, № 9.
2. Information Technology (Reasonable security practices and procedures and sensitive personal data or information) Rules, 2011. Indian Ministry of Communication and Information Technology.
3. Personal Data Protection Act, Law No. 709 of 2010, Official Gazzette of Malaysia, June 10, 2010, P.U. (B) 464.
Дума поспешно приняла законопроект о хранении персональных данных. Она его приняла 4 июля, перед массовым уходом в отпуск. Причём он был одобрен сразу во втором и третьем чтении. Согласно этому закону персональные данные россиян, обрабатываемые через интернет, теперь должны храниться на территории РФ. Дата-центры и «Ростех» получат новых клиентов – для них этот закон во благо. О проекте стало известно ещё в конце июня. Его внесли в Госдуму трое депутатов – Ющенко, Деньгин и Луговой.
Речь в новом законе идет обо всех российских гражданах, которые предоставляют свои данные при регистрации в сети, отправляют почту или что-то покупают. Закон вступит в силу не сразу, а с 1 сентября 2016 года. Сделано это для того, чтобы у компаний было достаточно времени подготовиться для работы в соответствии с новым законом.
Новый закон должен ещё одобрить совет Федерации и подписать президент. Возможно, его отправят на доработку. Но начало положено, и теперь многие российские компании гадают – что делать им дальше?
Что же ждёт нарушителей? Они могут попасть в чёрный список Роскомнадзора. Таких списков у этой организации уже несколько. Это и пиратские сайты, и сайты с пропагандой насилия, суицида, детское порно и сайты с призывами к экстремизму. С этими списками все понятно – никто не против, чтобы в сети не распространялся этот негатив. А если предприятие не сможет в силу объективных причин подготовиться к новому закону? Что тогда?
Чем же мотивировали депутаты введение такой нормы? Дело в том, что зарубежные сервисы обязаны предоставлять данные американским спецслужбам. Следовательно, АНБ владеет данными обо всех пользователях в сети из России. Конечно, ничего хорошего в этом нет. Ну, а то, у компаний будут расходы на перенос серверов, депутатов не волнуют «Это потери бизнеса, не более, и нечего страшного в этом нет» – говорят они.
Но пострадает не только иностранный бизнес от переноса серверов. Российские сервисы сегодня используют облачные технологии и обмен данными – как быть с этим? Ведь этот закон затронет не только сервисы для хранения данных, социальные сети и мессенджеры, но и платёжные системы, он-лайн бронирование отелей, сотовые компании и многие другие сервисы. Если закон примут в таком виде, в каком он сейчас, то это приведёт к расторжению многих договоров с иностранными компаниями. Тот же Аэрофлот не сможет продавать билеты Москва-Нью-Йорк-Чикаго. Это не выгодно никому. В выигрыше окажутся только производители серверов.
Банки также от этого закона пострадают. Сегодня очень много покупок совершается через интернет, и клиент часто оплачивает их банковской карточкой. Следовательно, его персональные данные обязательно пройдут через компании, которые не имеют серверов в России. Вывод - новый закон будут нарушать все. И.О. президента Ситибанка сокрушается – «Новый мир складывался без этого закона, и будет довольно сложно исполнять новую норму, практически невозможно». Сегодня новые инновационные технологии появляются каждый день. Обсуждается введение для всех совершеннолетних россиян – будет очень удобно по сети подавать заявления и получать разного рода документы. Как быть, если эти данные кто-либо перехватит по пути? Вопросов по защите данных, и не только персональных, предостаточно.
Как известно, российской платежной системы пока нет. Её готовят уже с 2011 года, но до сих пор системы нет. Центробанк только пока выбирает поставщиков, и когда эта система заработает в полную силу, пока неизвестно. А без неё выполнять новый закон будет трудно, практически невозможно.
Сложность переноса серверов оценить трудно – все будет зависеть от архитектуры информационной системы. Директор юридического департамента страховой компании Павел Чуйков считает, что запрет на хранение данных за рубежом – мера слишком чрезмерная. Можно было ограничиться повышением контроля за процессом обработки данных за рубежом. Тогда бы контролирующие органы получили больше возможности для слежения за этими процессами. Не все крупные компании пользуются зарубежными сервисами. Например, представители МТС и «Вымпелком» заявили, что их компании хранят информацию на территории Российской Федерации, а при обмене данными с зарубежными партнёрами пользуются обезличенной информацией.
Вообще у нас почему-то некоторые законы лежат годами, и их не принимают и не обсуждают, а некоторые, не успев появиться, уже быстро созревают и их съедают, как горячие пирожки. Первое чтение, второе, третье – и продукт готов1 А потом начинают принимать поправки – наши депутаты точно без работы не останутся!
Вопрос об информационной безопасности в сети поднялся ещё в прошлом году. Именно тогда бывший сотрудник американских спецслужб Эдвард Сноуден рассказал о слежке за пользователями интернета компанией АНБ. Были приняты антитеррористические поправки, которые ограничивали интернет-платежи. Сетевые сервисы обязали хранить данные о пользователях в течение полугода и так далее. Впрочем, не все так плохо. Некоторые компании успеют подготовиться к новому закону. Так, например, все авиакомпании в ожидании российской системы бронирования - через два года она точно будет готова.
Выиграют от нового закона только дата-центры. Свободные мощности есть даже в Москве. В Подмосковье «Техносерв» строится дата-центр, который будет крупнейшим в стране. Так что в этом плане проблем при переносе серверов быть не должно. Центр строится при помощи инвестирования крупных компаний. Они понимают ценность данных, и поэтому вкладываются в этот проект.
Вообще создание нового дата-центра сопряжено со многими трудностями. Оно требует огромных финансовых затрат и времени на подготовку. За два года построить новый дата-центр нереально – рассказал представитель Яндекса. Российский поисковик всегда использовал сервисы в России, и он готов к новому закону. «Ростелеком» также имеет собственную сеть дата-центров и свою облачную платформу. Он готов принять новых клиентов.
Как видим, у нового закона есть и противники и те, которым закон не страшен. Ясно одно – закон нужно дорабатывать в соответствии с теми поправками и замечаниями, которые уже есть и ещё будут, иначе он просто не заработает в полную силу. Также, как и новый 44-ФЗ. Поправки к нему принимают до сих пор, создана специальная рабочая группа для этого. Все делается для того, чтобы стали все более прозрачными и эффективными. Так что над законом о запрете хранения персональных данных за рубежом предстоит ещё поработать. Нельзя загонять бизнес в угол. Он и так у нас выглядывает из-за угла. Особенно страдает малый и средний бизнес. Сколько уже индивидуальных предпринимателей закрылись в прошлом году. То налоговые ставки повысят, то ещё какой-либо запрет введут. Одними запретами сыт не будешь. Нужно предлагать инновационные решения. Сегодня данные с успехом защищаются при помощи шифрования данных. А что будет, если взломают какой-нибудь сервис и все данные утекут в неизвестном направлении? Вот об этом точно стоит подумать. Депутатам есть над чем поработать…
