Как хранить персональные данные с 1 сентября 2015: основные способы

ФЗ-242 о хранении персональных данных на территории РФ: требования, риски и законные способы хранения.

Полезно знать российским и иностранным компаниям, которые собирают, обрабатывают или хранят персональные данные граждан РФ за рубежом.
Закон №242-ФЗ о хранении персональных данных на территории РФ: требования и причины

Летом 2014 года в России был принят закон №242-ФЗ, который обязывает операторов персональных данных обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных на территории РФ с 1 сентября 2015 года. Суть закона: отныне юридическим лицам, которые работают с персональными данными граждан РФ, запрещено собирать и хранить эти данные за рубежом — они обязаны локализовать базы данных на территории России. Трактовка закона порождает множество вопросов, мы постараемся ответить на них и рассеять недопонимание.

Закон №242-ФЗ вносит важные изменения в ФЗ №152 «О персональных данных». В старой редакции закон давал иностранным компаниям преимущество перед российскими, так как не распространялся на нерезидентов РФ — иностранные компании могли без последствий собирать и обрабатывать персональные данные россиян. С принятием №242-ФЗ иностранные компании в работе на российском рынке или с российской аудиторией также обязаны локализовать их персональные данные на территории РФ, а кроме того — соблюдать российские требования по хранению и обработке персональных данных.

Кого касается закон №242-ФЗ
в первую очередь

Юридические лица иностранных компаний на территории РФ. Чаще всего иностранные компании используют глобальные информационные системы. Вычленить из такой системы персональные данные только граждан РФ и перенести на российский хостинг — довольно затратно и проблематично.

Иностранные компании, которые без создания юридического лица собирают и обрабатывают персональные граждан РФ через сайт. Например, SalesForce, BaseCamp и другие популярные Saas-сервисы. Для них перенос персональных данных еще большая проблема — у них нет ни офиса в России, ни русскоязычных сотрудников, ни осознания, что требования по локализации вообще есть. К сервисам, у которых обрабатывается большое количество персональных данных россиян, Роскомнадзор обращается лично. Для иностранных компаний сюрпризом может стать блокировка сайта в России из-за невыполнения требований 152-ФЗ, 242-ФЗ и нарушения прав субъектов персональных данных.

Российские компании, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами (такими как Amazon AWS, Microsoft Azure, Hetzner).

Всем трем группам компаний приходится разбираться, что делать в этой ситуации: какие данные можно переносить, какие нельзя, сколько времени займет перенос, и как это сделать, чтобы удовлетворить требования закона. Решение этого вопроса усложняется ещё и тем, что критерии выполнения требований закона главным регулятором, Роскомнадзором, до конца не ясны.
~

Три основных способа соблюсти требования закона по локализации персональных данных

1. Полностью перенести и локализовать все базы персональных данных в России.

Прямолинейный подход «так, чтоб наверняка»: перенести базы персональных данных, их обработку, сбор и хранение на территорию РФ — на российские дата-центры и хостинг-провайдеры. Так сделал 1С-Битрикс, подробно описав сложности и историю переноса здесь и здесь.

Кому подойдет

  • Компаниям, у которых за рубежом находится только сайт. Малый или средний сайт перенести недорого и не составляет большого труда.

  • Российские компании, которые пользуются иностранными хостинг-провайдерами и дата-центрами, облачными платформами. Для этой категории, как правило, работает простая смена хостинг-провайдера.

Кому не подходит


  • Большим saas-сервисам, которые не работают на территории РФ (исключая случай, когда российские пользователи — критическая масса их аудитории).

  • Зарубежным компаниям с глобальными информационными системами — для них проблематично выделить из системы персональные данные граждан РФ.

  • Крупным российским и иностранным компаниям, у которых за рубежом располагаются серьезные ИТ-решения — переносить данные по ним долго и дорого. Для иностранных компаний есть еще одна сложность: перенос данных затрагивает не только российский бизнес, но и все мировые представительства компании.

Подводные камни


Их нет, но есть нюанс: если информационная система распределенная и сложна по архитектуре — переносить ее в РФ будет достаточно затратно.

-------

2. Обезличить персональные данные и передать их за рубеж в обезличенном виде.

При таком подходе персональные данные находятся в базе данных в России, а каждому физическому лицу присваивается ID-номер, только он и передается за рубеж. Персональные данные отделяются от субъекта так, чтобы их невозможно было соотнести с конкретным человеком. Такой подход предлагает Microsoft для работы со своими сервисами и Microsoft Azure.

Кому подходит

  • Компаниям, системы которых за рубежом для функционирования требуют персональные данные, но при этом будет достаточно обезличенного ID.

Часто обезличивание уже заложено в информационной системе, программном продукте или облачной платформе, поэтому применять такой способ выгодно — он соответствует требованиям по локализации персональных данных.

Кому не подходит

  • Компаниям, системы которых находятся за рубежом и не могут функционировать с обезличенными персональными данными по ID.

  • Компаниям, для которых стоимость и время реализации механизма обезличивания и работы с ID перекрывают преимущества данного метода.

Подводные камни

Если подход требует доработки системы в части работы с базами данных — это деньги и время. Кроме того, в международных компаниях есть корпоративные социальные сети, и по факту человеку придется быть анонимом в общении со своими международными коллегами, что плохо скажется на корпоративной культуре. Чтобы этот подход правильно использовать, рекомендуется при переносе посоветоваться с юристами и проконсультироваться с Роскомнадзором, чтобы технология обезличивания данных устраивала Роскомнадзор. Можно связаться с ними или сходить на их семинары, конференции, почитать рекомендации по обезличиванию от Роскомнадзора.

-------

3. Трансграничная передача данных с хранением первичной актуальной базы на территории России.

Закон не запрещает обрабатывать данные за границей, если база данных в РФ является наиболее полной и актуальной. Так что персональные данные можно передавать за рубеж и использовать там, если их сбор и хранение первоначально происходит в базах данных на территории России. Это один из самых прагматичных и востребованных способов локализации персональных данных, его легальность подтвердил Минкомсвязи. Согласно позиции Минкомсвязи и Роскомнадзора, под базами данных подразумеваются в том числе бумажные базы данных. Грубо говоря, это может быть шкаф с личными делами сотрудников в виде картотеки или таблица в excel. Либо можно создать буферный сервер в России, данные будут сначала попадать туда, а после — за рубеж. Позиция регуляторов позволяет это сделать, главное, чтобы «материнская» база данных находилась в России. Если наиболее актуальные данные собраны и локализованы на территории России согласно закону и позиции регуляторов, данные из базы можно выгрузить и передать за рубеж.

Кому подходит

  • Большим иностранным и российским компаниям, которым затратно или невозможно полностью перенести базы с персональными данными россиян на хранение в Россию.

Например, у компании есть глобальная система SharePoint или корпоративная социальная сеть. Просто так нельзя указывать данные сотрудников в этой системе — это нарушает требования закона. Но если на территории России есть офис, где данные локализованы в бумажной базе данных, или промежуточный сервер с базой данных, или файл excel, то можно спокойно вносить данные в глобальные системы. То же самое с данными клиентов — если у компании есть карты лояльности, международная система email-рассылки и другие точки сбора данных о клиентах, изначальная база данных их анкет должна храниться в России. В этом случае можно спокойно проводить рассылки с зарубежных сервисов, пользоваться зарубежными CRM и прочими системами.

Кому не подходит

  • Такой вариант подходит практически всем.

Подводные камни

Конечно, создать бумажную базу данных или иную базу на территории РФ не всегда возможно. Данные интернет-пользователей сложно локализовать в бумажном виде. Надо составить базу персональных данных в бумажном виде, структурировать. Важно, что это не может быть какая-то стопка документов, необходимо систематизировать данные, чтобы по базе можно было вести поиск. Получится что-то вроде картотеки. В компании необходимо издать приказ или положение о ведении бумажной базы данных, издать приказ, утверждающий месторасположение базы, и уведомить об этом Роскомназор, об этом ниже. Чтобы избежать сложностей с бумажной базой, можно заменить ее промежуточным сервером с электронной базой данных.

Важно, что при использовании этого подхода данные ни в коем случае нельзя дособирать из-за рубежа — первоначально должна обновляться база данных, расположенная в России, и только потом база, расположенная за рубежом. Собирать, записывать и обновлять персональные данные в обе базы данных одновременно не стоит: позиция Роскомнадзора такова, что это будет нарушать требования законодательства.
Параллельное функционирование баз данных, находящихся на территории Российской Федерации и иностранного государства, применительно к требованиям 242-ФЗ невозможно.
Существует база данных, которая формируется посредством сбора на территории Российской Федерации. В дальнейшем, указанная база данных локализуется на территории Российской Федерации и, при наличии необходимости, может передаваться на территорию иностранного государства с соблюдением условий ст. 12 Федерального закона «О персональных данных». При этом следует понимать, что та база данных, которая находится на территории иностранного государства, может актуализироваться, систематизироваться, обновляться, только после проведения соответствующей процедуры на территории Российской Федерации и передачи обновленных данных посредством трансграничной передачи на территорию иностранного государства.
http://pd-info.ru
~

Как Роскомнадзор проверяет выполнение требований закона №242-ФЗ

Выполнение требований Роскомнадзор проверяет в процессе плановых, внеплановых, выездных и документарных проверок, а также с помощью мероприятий систематического наблюдения. Позднее на эти темы будут опубликованы отдельные материалы.

Месторасположение сайтов компаний Роскомнадзор проверяет через сервис 2ip.ru/Whois.

В процессе проверок представители регулятора смотрят, внесена ли информация о компании в реестр операторов персональных данных, указаны ли там сведения о месторасположении баз персональных данных, смотрят наличие договоров с ЦОД и хостинг-провайдерами, если базы данных хранятся на их серверах.

Что делать, чтобы удовлетворить Роскомнадзор при проверке локализации баз данных и избежать штрафов

  1. Если базы данных расположены на внешнем ЦОД или хостинге, то необходимо иметь бумажный договор с ним (желательно с указанием местонахождения сервера, где располагается база данных). Если сервера или бумажные базы данных находятся в вашем офисе, необходимо издать приказ или информационное письмо о местонахождении баз персональных данных по месту расположения организации.
  2. Уведомить Роскомнадзор о местонахождении баз данных — составить через веб-форму на сайте Роскомнадзора, распечатать и направить в соответствующий территориальный орган Роскомнадзора почтой или отнести лично уведомление об обработке персональных данных или письмо о внесении изменений. 18 декабря вышла новая форма уведомления Роскомнадзора, в которой необходимо перечислить все информационные системы, которые у вас есть, и указать адреса и местонахождения их баз персональных данных с индексом, городом и собственником ЦОД или хостинг-провайдера.
Мы очень надеемся, что один из перечисленных способов хранения (локализации) баз данных с персональными данными в России вы примените на практике и выполните требования законодательства, как это уже сделали многие наши клиенты и другие российские и иностранные компании.
Максим Лагутин, Ведущий эксперт Б-152, Топ-эксперт по информационной безопасности Института Развития Интернета
~
Поделитесь материалом с коллегами и друзьями
~
Подпишитесь на нас
Получайте первым рассылку с экспертными материалами, информацией по изменениям законодательства по персональным данным и свежей аналитикой результатов проверок Роскомнадзора.
© 2016 Все права защищены
+7 (499) 372-06-52 | info@b-152.ru