3 августа 2011 г.

Закон о движении облаков строго над территорией России

Внимательно анализируя результаты весенней парламентской сессии, изменения, внесенные в законодательство и ревизуя свои авторские курсы в связи с этими изменениями (в сентябре предстоят премьеры всех четырех обновлений и подготовиться нужно серьезно), иногда прихожу к неожиданным для себя выводам.
Самыми интересными буду делиться здесь. Если есть желание поспорить или предложить иную трактовку – милости прошу. Поскольку выводы иногда получаются не самыми оптимистичными.
Начнем с облачных вычислений.
Похоже, новая редакция закона «О персональных данных» категорически исключает возможность простого и радикального решения вопроса соответствия закону – переноса обработки персданных за территорию Российской Федерации или в облако с нечеткими границами.
Итак, логика рассуждений. ФЗ-152 позволяет оператору поручить обработку персданных другому лицу, уже получившему в Интернете элегантное имя ЛООПДППО (лицо, организующее обработку персональных данных по поручению оператора) на основании договора, заключаемого с этим самым ЛООПДППО (ч.3 ст.6). Согласие должно быть доказываемое, конкретное, информированное (кто бы сказал, что это?) и сознательное. Допустим, эта проблема решена в договоре между оператором и субъектом. Идем дальше.
ЛООПДППО обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152, а в поручении оператора должны быть указаны требования (!) к защите обрабатываемых персональных данных (теперь внимание!) в соответствии со статьей 19.
Не вдаваясь пока глубоко в содержание ст.19, выделю лишь горячо обсуждаемое требование о применении средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.
В ч.5 ст.6  определено, что оператор несет ответственность перед субъектом персональных данных за действия ЛООПДППО.
Определяя роль оператора, передающего обработку на аутсорсинг, ч.1 ст.19  закона в новой редакции устанавливает, что оператор обязан обеспечивать принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Мне кажется, все однозначно. Обработка персданных с использованием облачных технологий стороннего провайдера возможна при выполнении следующих условий:
  • на это есть доказываемое конкретное, информированное и сознательное согласие каждого субъекта, чьи данные обрабатываются;
  • в договоре оператора с провайдером оговорено выполнение требований ФЗ-152;
  • провайдер создал подсистему ИБ, соответствующую ФЗ-152, с использованием СЗИ, сертифицированных ФСБ и ФСТЭК.
Кроме того, в соответствии с ч.2 ст.18 прим, оператор обо всем этом должен честно и подробно рассказать в опубликованной им политике в отношении обработки персональных данных.
Даже если найдется безумный провайдер за рубежом, готовый пойти под юрисдикцию ФЗ-152 (интересно, что думают об этом власти страны, где он зарегистрирован?) и поставить у себя всякие там экраны, сканеры и прочие с российскими сертификатами, придется решать нерешаемую проблему передачи данных через Интернет, т.е. получать разрешение (в России) на ввоз (по месту нахождения ЦОД) российских криптографических средств.
Таким образом, на CRM, ERP и прочих системах, получаемых по запросу (SaaS) из-за рубежа, похоже, надо будет поставить крест.
А теперь вопросы на засыпку:
1. Что делать с системами бронирования авиабилетов российских авиакомпаний, полностью лежащих в облаках Sabre и Gabriel?
2. Что делать банкам, отелям, страховым компаниям и прочим, формально являющимся резидентами РФ, но входящим в международные компании, которые требуют все данные (в том числе персональные) передавать им и строить их обработку по их же правилам (часто в их же ЦОДах)?
3. Что делать Интернет-магазинам, хостящимся где-то там, за облаками?
Выводы неутешительные. Может, я где-то перегнул?  

25 комментариев:

  1. Согласно норм международного права, 152-ФЗ - закон РФ и должен соблюдаться лицами, действующими на территории РФ. Если оператор заключает договор на аутсорсинг с лицом. не зарегистрированным и не ведущим деятельность на территории РФ, то на такое лицо нормы российского законодательства не распространяются. Для него есть Конвенция, Директива и (или) законодательство "той" страны, а для оператора - статья 12 про трансграничку. Даже если будут претензии регуляторов по поводу отсутствия пунктов в договоре в соответствии со ст. 19, любой суд над ними посмеется.

    ОтветитьУдалить
  2. И тут на помощь нам приходит ст. 4 ч.4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
    Подписанная Евроконвенция(международный договор)
    "2. Сторона не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой Стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы.
    3. Тем не менее, каждая Сторона вправе отступить от положений пункта 2:
    а. в той мере, в какой ее законодательство устанавливает специальные правила в отношении определенных категорий персональных данных или автоматизированных баз персональных данных - кроме случаев, когда правилами другой Стороны предусмотрена равноценная защита;"
    И статья "Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту".
    Предполагаем, что равноценная==адекватная и отправляем во все страны с адекватной защитой.

    ОтветитьУдалить
  3. Спасибо за разъяснения.
    Да, как смеются наши суды, мы знаем - см.инициативу Торшина. А также массу других решений судов. Про трансграничную передачу - согласен полностью. А вот про аутсорсинг - я цитировал закон, который содержит императивные нормы. Боюсь, у операторов, заключивших договоры с зарубежными аутсорсерами без учета ФЗ-152, будут проблемы с регуляторами. Еще раз цитирую "оператор обязан обеспечивать принятие необходимых правовых, организационных и технических мер". Как доказать выполнение этого требования при аутсорсинге, скажем, в Латвии, на известном ЦОД, построенном "под Россию"? И, опять-таки, про Sabre или Citibank - они принадлежат американским компаниям. Неадекватным.

    ОтветитьУдалить
  4. Никак. Но это и не потребуется. Обработчик - импортный, а закон не ограничивает свободу операторов в части заключения договоров на аутсорсинг. Я полагаю, нужен судебный прецедент. Да и потом - ситуация-то далеко не нова, и регуляторы до сих пор не были в претензии. И Америка даже более адекватна, чем Европа :)

    ОтветитьУдалить
  5. Были, да еще как. А про адекватность - на сайт РКН. Там все написано.

    ОтветитьУдалить
  6. ФСБ сегодня подтвердила (устно), что для трансгранички сертифицированные СКЗИ не требуются

    ОтветитьУдалить
  7. Дык на заборе тоже написано... В любом случае - нужен судебный прецедент.

    ОтветитьУдалить
  8. 2А.Лукацкий. Устно - это на-нашему.
    Из опыта общения с регуляторами мне почему-то кажется, что отношение к транграничке вообще (передача турфирмой данных клиентов своему партнеру на той стороне) и транграничке с целью аутсорсинга и в ходе обработки в ЦОДе за рубежом будет совсем разным.
    2А.Волков. У нас в стране право не прецедентное, мы не англосаксы. У нас уже есть решение суда в двух инстанциях, что номер и серия паспорта - не персданные, и что?
    А официальный сайт госоргана - не забор, если, конечно, его не дефейснули :-)

    ОтветитьУдалить
  9. Т.е. при наличии договора на аутсорсинг и обработке в зарубежном ЦОДе (если в этой стране законы "адекватные"), регулятору остается только посмотреть сам договор все ли там прописано)?

    И если, не смотря на все прописанное в договоре, у ЛООПДППО случилось что-то плохое, претензии у регулятора будут к оператору.

    ОтветитьУдалить
  10. М.Емельянников комментирует...
    > Устно - это на-нашему.

    Посмотрите ФСБ-шные методички по ПДн. На ИСПДн частично или полностью выходящие за пределы РФ они не распространяют необходимость сертифицированных СКЗИ.
    Естественно введены они с большими ограхами, но все равно это уже не устно, а в докУменте.

    ОтветитьУдалить
  11. >уже получившему в Интернете элегантное имя ЛООПДППО (лицо, организующее обработку персональных данных по поручению оператора)

    Лицо, __осуществляющее__ обработку, а не организующее. Организация пререгатива оператора, а то в блоге Алексея Лукацкого уже некторые комментаторы пытаются ЛООПДППО всунуть в операторы ;-)

    ОтветитьУдалить
  12. >1. Что делать с системами бронирования авиабилетов российских авиакомпаний, полностью лежащих в облаках Sabre и Gabriel?

    Наезжаеть на них еще в прошлом году начали - но т.к. ПДн обрабатываются в соответствии с законом о транспортной безопасности, а не просто так. Но пока не слышал, чтоб достигли успеха ;-)

    >2. Что делать банкам, отелям, страховым компаниям и прочим, формально являющимся резидентами РФ, но входящим в международные компании, которые требуют все данные (в том числе персональные) передавать им и строить их обработку по их же правилам (часто в их же ЦОДах)?

    Для европейских проблем нет, хотя слышал поползновения о том, что должны устанавливать на границе пункт перешифрования (в РФ сетрифицированной - за бугор ихней) - но это опять слова (на счет документов уже написал ранее).
    А вот для пиндостанских, японских, китезских, кореезских и т.д. проблема есть

    ОтветитьУдалить
  13. 2Alex. Про ЛООПДППО - очепятался, спасибо за уточнение. Методички читал много и по-разному, еще больше беседовал. Можно конкурс объявить на количество разных вариантов прочтения и соотношения с другими документами этого же ведомства. Про выходящие ИСПДн - отдельная песня. 10% записей в SaaS CRM провайдера услуг, приходящиеся на конкретного оператора - это ИСПДн оператора? ЛООПДППО? Пожуем- увидим.

    ОтветитьУдалить
  14. 2Григорий. В договоре-то, на мой взгляд, вся проблема. В соответствии с ФЗ в нем должно быть однозначно прописано выполнение ст.19. Об остальном - выше.
    А отвечать за все будет оператор, это точно. Уж потом - иск к провайдеру, регресс и прочие радости.

    ОтветитьУдалить
  15. М.Ю. Мне кажется, что вы немного усложняете ситуацию. Соглашусь с мнением Gin, что рассматриваемой ситуации применима часть 4. ст. 4. и ст. 12 (трансграничная передача). И это не противоречит ст. 19: "Оператор при обработке персональных данных обязан принимать необходимые ПРАВОВЫЕ, организационные и технические меры ИЛИ ОБЕСПЕЧИВАТЬ ИХ ПРИНЯТИЕ для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных."
    Получается, что оперватор, передавая обработку своему зарубежному партнеру обязан убедиться, что правовой режим на той территори есть и что ТАМ организаована адекватная защита в соответствии с Конвенцией (в этом ему поможет РКН, который опубликует список таких стран.
    ссылку же на часть 2 ст. 19 пункт (3) - немного не корректна истолкована. Там сказано: "...
    применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации..." (Обратите внимание, что в данном контексте императивной нормой является обязательность оценки соответствия, а не оценка соотвестствия ф органах ФСБ и ФСТЭК, чуть ниже я к этому вернусь). Применительно к заграничным партнерам эта самая процедура оценки будет устанавливаться ИХ национальными требованиями, но уж конечно не ФСБ и ФСТЭК России.(Кстати, вспомним и п(54) Преамбулы Директивы 95/48/EC, где сказано. что надзорный орган должен проверить обработку ПДн ДО ее начала - чем не оценка соотвествия). Соглашусь с мнением А. Волкова, что в данном случае зарубежный партнер не подпадает под юрисдикцию российского законодательства. Более того, сошлюсь на ст. 1186 ГК РФ, которая говорит, что право, подлежащее применению к гражданско-правовым отношениям с участием инстранных граждан или иностранных юридических лиц либо осложненным иностранным элементом, в том числе когда объект првав находится за границей, определяется на основе международных догворов, ГК РФ и обычаев. признаваемых в РФ. А если еще глянуть ст. 1192, то видно, что применение ИМПЕРАТИВНЫХ норм законодательства РФ к таким отношениям возможно если это непосредственно уазано в самой императивной норме или ввиду особого их значения для обеспечения прав и законных интересов участников гражданско-правовых отношений. Как я обратил внимание выше - ни того, ни другого в императивных нормах Закона о ПДн - нет. Значит, применимы нормы иностранного законодательства...

    ОтветитьУдалить
  16. С.В.! Я бы радостно с Вами, Джинном и А.Волковым согласился. И даже в целом соглашусь. Насчет ст.19 - нет. Нет у них (адекватных) этой процедуры. Кстати, с крайним удивлением читал Ваш комментарий про сертификацию и ПП-330. Там все АБСОЛЮТНО однозначно. Спор долгий.
    Рад, что мои сомнения так дружно стараются развеять. Будем посмотреть.
    Всего одна ремарка: если я не прав, то тогда правы были те, кто говорил о том, что самый дешевый способ соответствия ФЗ-152 - вывод ИСПДн на аутсорсинг в Латвию. Так же, как самый дешевый способ уплаты налогов - оффшор на Каймановых, а самый дешевый способ прожить - эмигрировать. Как-то не по себе становится.

    ОтветитьУдалить
  17. > Всего одна ремарка: если я не прав, то тогда правы были те, кто говорил о том, что самый дешевый способ соответствия ФЗ-152 - вывод ИСПДн на аутсорсинг в Латвию. Так же, как самый дешевый способ уплаты налогов - оффшор на Каймановых, а самый дешевый способ прожить - эмигрировать.

    Об этом мы в открытом письме и говорили, за что С.В.Вихоревым и были названы паникерами и приговорены к расстрелу. А тут - вон оно что. Времена меняются - хрущевская оттепель :))))

    ОтветитьУдалить
  18. Алексей, на самом деле все очень глубоко и сложно. Если все в облако, и за это ничего не будет - полный провал всей концепции. Если запретить - противоречие с международными обязательствами, о которых пишете Вы и коллеги, включая СВВ. В обоих случаях - ппц. Представляете - весь российский СМБ на хостинге в Европе? Наконец, что делать со Штатами, пиндусами и прочими, имеющими бизнес в России? Обратите внимание, никто в эту тему особо лезть не хочет. Если в законе нет простого ответа (а его нет) - значит, коррупция, произвол и разбор по понятиям. Именно это меня и беспокоит. Какой уж тут Никита Сергеевич... Скорее, не оттепель, а "бульдозерная выставка" и "пидарасы".

    ОтветитьУдалить
  19. Михаил Юрьевич, самое поразительное, что я с Вами полностью согласен, и более того - это самое то, что как раз напрямую затрагивает и права субъекта (вообще ничего не взыщешь НИКОГДА), и национальную безопасность (а все делается под эгидой именно ее). Стоит ли дальше говорить? ИМХО нет...

    ОтветитьУдалить
  20. Господа, прошу прояснить ситуацию по поводу ЛООПДПО. Является ли банк, которому оператор доверяет обработку ПД сотрудников для перечисления з/п ЛООПДПО?

    ОтветитьУдалить
  21. 2Аноним. Нет, не является. Он - оператор. У него договор, как правило, с самими работниками, по пластику. А вот если ИСПДн оператора - в ЦОДе или он получает CRM как SaaS, ЦОД и владелец CRM - ЛООПДППО

    ОтветитьУдалить
  22. Михаил, в том то и дело, что как правило субъект имеет договор на пластику с банком, а его работодатель уже имеет договор на перечисление з/п с банком. С субъекта берётся заявление на перечисление всего лишь.
    В этом случае банк тоже не ЛООПДПО? Раньше за отсутствие пункта о конфиденциальности в договоре работодателя с банком Роскомнадзор штрафовал этого самого работодателя, к банку претензий не было.
    Борис.

    ОтветитьУдалить
  23. Борис, комментировать действия РКН сложно. В Вашем комменте речь идет о применении уполномоченным органом части 4 ст.6 недействующей уже редакции. Я бы на месте оператора спорил бы с РКН вплоть до суда. Оператор ничего банку не поручал. Он, как и работники, заключил договор о предоставлении банковских услуг. Зарплату считает (т.е. обрабатывает ПДн) не банк, а работодатель. Банк оказывает услугу - переводит деньги со счета работодателя на счета работников в соответствии с поручением оператора. Нет здесь поручения обработки в интересах оператора. Есть оказание услуги, предусмотренной лицензией. С таким же успехом можно штрафовать любого плательшика и получателя по счету через банк. Характер действий идентичен. В РКН - обычные люди, да еще и не учит их никто...

    ОтветитьУдалить
  24. > В РКН - обычные люди, да еще и не учит их никто...

    Вот я и говорю - "на заборе тоже написано..."

    ОтветитьУдалить
  25. Алексей, все-таки это не забор. А для решения споров есть суд. Арбитражный, в данном случае. Просто 500 руб. штрафа - дешевле и проще. Поэтому и учить не за чем.

    ОтветитьУдалить