28 августа 2015 г.

И еще раз про персональные данные россиян после 1 сентября, теперь - в зарубежных облачных сервисах

До 1 сентября, после которого большое количество операторов оказывается в совершенно новых условиях работы с персональными данными, осталось совсем немного. Несмотря на то, что на эту тему я уже писал неоднократно (например, здесь и здесь), мы завалены вопросами по телефону, почте, скайпу, фейсбуку на эту тему. Поэтому остановлюсь на тех нововведениях закона, которые волнуют наибольшее количество компаний.
Начну с понятий, что же такое персональные данные, и кто является оператором этих данных. Пункт 1 статьи 3 Закона о персональных данных определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Данное определение является весьма неопределенным и допускает сколь угодно широкое его толкование. При таком определении к персональным данным могут быть отнесены практически любые сведения о физическом лице, независимо от того, возможна ли его однозначная идентификация (установление личности) с использованием указанных сведений или нет. Эта проблема определения основных понятий достаточно глубоко анализируется в вышедшем в этом году Научно-практическом комментарии к закону «О персональных данных» под редакцией заместителя руководителя Роскомнадзора А.А.Приезжевой.
Оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Ключевыми в этом определении являются слова об определении целей обработки, состава обрабатываемых данных и действий, совершаемых с ними.
Хотелось бы акцентировать внимание на поправках в закон «О персональных данных», касающихся размещения баз персональных данных российских граждан в период их сбора на территории Российской Федерации:
·         ограничения на размещение баз персональных данных вводятся на период сбора персональных данных и не затрагивают их последующей обработки после завершения сбора, кроме ряда конкретных способов обработки;
·         ограничения касаются только персональных данных граждан Российской Федерации и не касаются персональных данных граждан других государств и лиц без гражданства;
·         ограничения вводятся только на 9 из 18 способов обработки, установленных частью 3 статьи 3 закона «О персональных данных» (сбор, запись, систематизация, накопление, хранение, уточнение, обновление, изменение, извлечение) и не ограничивают расположением баз данных на территории России такие действия с персональными данными как использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение.
Последний вывод означает, что после завершения сбора персональных данных они должны находиться (храниться) в базах данных на территории Российской Федерации, при этом изменения в данные (в том числе, уточнения и обновления) должны вноситься также в базы данных на территории Российской Федерации.
При этом указанное требование не накладывает никаких ограничений на передачу персональных данных после их сбора и записи в базу данных на территории России, в том числе – на трансграничную передачу, предоставление к ним доступа с территории иных государств, а также на использование персональных данных граждан Российской Федерации после их трансграничной передачи, в том числе – на использование данных из информационных систем, находящихся за пределами Российской Федерации. Закон в новой редакции не устанавливает новых, дополнительных ограничений на трансграничную передачу персональных данных, не вводит запрет на обработку персональных данных в дата-центрах и облачных инфраструктурах, находящихся вне территории Российской Федерации, за исключением периода их сбора.
Российская Федерация законом от 19.12.2005 № 160-ФЗ ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108). Ратификационная грамота принята Советом Европы 15.05.2013, и с 01.09.2013 вступили в силу обязательства Российской Федерации, обусловленные данной конвенцией. В соответствии с частью 2 статьи 12 «Передача персональных данных через границы и национальное право» Европейской конвенции, сторона конвенции не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой Стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы.
Часть 1 статьи 12 закона «О персональных данных» устанавливает, что трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Европейской конвенции, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена лишь в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
Иностранными государствами, обеспечивающими адекватную защиту прав субъектов персональных данных, в соответствии с частями 1 и 2 статьи 12 закона «О персональных данных», помимо государств-сторон Европейской конвенции, являются страны, включенные в утверждаемый Роскомнадзором перечень иностранных государств, не являющихся сторонами Европейской конвенции.
Вместе с тем, надо отметить, что актуализация всех ранее собранных персональных данных (их обновление, изменение, уточнение) первоначально также должна производиться в базах данных на территории Российской Федерации, и эти базы на территории России всегда должны содержать все актуальные персональные данные, используемые оператором и полученные или актуализированные им в период времени, начиная с 1 сентября 2015 года. Таким образом, после 1 сентября 2015 года российский оператор для использования при обработке персональных данных облачных сервисов, серверы которых расположены за пределами Российской Федерации, должен принять дополнительные меры, в частности, базу персональных данных, предназначенную для их первичного сбора, записи и накопления, а также последующей актуализации (уточнения, обновления, изменения) разместить на территории Российской Федерации и постоянно хранить обрабатываемые персональные данные в такой базе. При этом возможным является последующее копирование (перенос) этих данных на сервера за пределами Российской Федерации.
База данных – пока категория не определенная. Согласно разъяснениям на сайте Минкомсвязи, можно предположить, что в качестве базы данных надзорные органы готовы рассматривать, в том числе хранилища бумажных документов, не говоря уже о файлах офисного формата и сканах документов.
Если принятие указанных выше дополнительных мер не может быть реализовано соответствующим российским оператором, то в качестве возможных сценариев организации обработки персональных данных, размещенных в дата-центрах и облачных инфраструктурах, находящихся вне территории Российской Федерации, могут быть рассмотрены следующие:
1.   Размещение данных, предварительно прошедших процедуру обезличивания, при условии, что их де-обезличивание реализуется только на территории Российской Федерации. При выполнении процедуры обезличивания целесообразно руководствоваться требованиями приказа Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных», обязательного к исполнению для операторов, являющихся государственными или муниципальными органами. В этом случае операторы, не являющиеся государственными или муниципальными органами, при обосновании правомерности, разумности и достаточности выбранного способа обезличивания, могут ссылаться на требования, установленные в нормативном акте уполномоченного федерального органа исполнительной власти.
2.   Размещение персональных данных в зашифрованном виде при условии, что их расшифрование осуществляется только на территории Российской Федерации. Для шифрования должны использоваться сертифицированные средства криптографической защиты, поскольку в данном случае шифрование выполняется с целью нейтрализации актуальной угрозы безопасности персональным данным, связанной с возможностью несанкционированного доступа к ним неавторизованного персонала дата-центра или облачного провайдера.
Такие варианты не должны рассматриваться как размещение персональных данных за рубежом, поскольку они не соотносятся с определяемым в такой системе субъектом и, собственно, персональными данными не являются.
После 1 сентября 2015 года оператор, осуществляющий сбор персональных данных российских граждан с использованием баз данных, находящихся не на территории Российской Федерации, может быть привлечен к административной ответственности по основаниям, предусмотренным статьей 13.11 КоАП (размер штрафа для юридических лиц составляет от 5 до 10 тысяч рублей), поскольку невыполнение требования о месте нахождения баз персональных данных при их сборе является прямым нарушением вступающей в силу нормы закона «О персональных данных», которая определяет новый порядок сбора персональных данных с 1 сентября 2015 года.
Кроме того, после 1 сентября 2015 года, в соответствии с изменениями в закон «Об информации, информационных технологиях и о защите информации», может быть ограничен (фактически – заблокирован) доступ пользователей с территории Российской Федерации к сайту (странице сайта) в сети интернет, на котором персональные данные обрабатываются с нарушениями требований российского законодательства. Данная мера может быть принята, в том числе и в отношении сайтов, размещенных за пределами Российской Федерации, и сайтов, владельцы которых находятся вне юрисдикции Российской Федерации.

21 августа 2015 г.

Принято Постановление Правительства о реестре нарушителей прав субъектов персональных данных

Информируем о принятом Правительством РФ Постановлении от 19.08.2015 №857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных».
Постановление опубликовано: http://publication.pravo.gov.ru/Document/View/0001201508200028
Комментарий «Коммерсанта»: http://www.kommersant.ru/doc/2792453
Также на днях была опубликована информация о регистрации в Минюсте приказов Роскомнадзора по этому же вопросу:
В ближайшее время ожидается принятие Правительством РФ Постановления «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации».
На вебинаре 25 августа мы рассмотрим и свежепринятые документы.
Подробнее о вебинаре:

11 августа 2015 г.

Для каких операторов персональных данных 1 сентября станет днем перемен

Есть не совсем корректное мнение, что изменения законодательства о персональных данных, вступающие в силу с 1 сентября, касаются только иностранных и международных компаний, работающих в России или предоставляющих сервисы россиянам. Это не то, чтобы не совсем так. Это совсем не так.   

На предстоящем 25 августа вебинаре
, проводимом Учебным центром «Информзащита», мы подробно разберемся с этим вопросом, а пока некие предварительные оценки.

Всех операторов, на деятельности которых скажутся законодательные нововведения, можно разделить на несколько групп в зависимости от того, какие именно последствия для них имеют вступающие в силу нормы и какие действия им надо предпринять для обеспечения соответствия законодательству.

Первая группа включает абсолютно всех российских операторов персональных данных, как подавших уведомление и включенных в Реестр Роскомнадзора, так и не посчитавших для себя обязательным или целесообразным это сделать. Всех, потому что с 1 сентября 2015 года контроль за обработкой персональных данных выводится из-под регулирования Федеральным законом № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» и будет регламентироваться не законом, а специальным постановлением Правительства, принятие которого ожидается в ближайшее время, а также «Административным регламентом исполнения Роскомнадзором государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации», в который также, будут внесены изменения, но, видимо, несколько позже.

Ситуация с проверками меняется довольно серьезно. Об этом мы подробно поговорим на вебинаре, рассмотрев попутно и порядок ограничения доступа к сайтам нарушителей обработки персональных данных в интернете. И поговорить будет о чем. Отсутствие необходимости согласования большинства проверок с прокуратурой, систематическое наблюдение, привлечение экспертов и, самое важное, возможность выдвижения требования надзорным органом о прекращении обработки персональных данных до приведения ее в соответствие с законом ситуацию меняют кардинально. Ау, банки, страховые компании, операторы связи, медицинские и образовательные учреждения – как вы себе представляете прекращение для своих организаций обработки персональных данных и его последствия

Следующая группа операторов включает тех, кого коснутся изменения, требующие размещения баз персональных данных в период их сбора, а также с целью актуализации, на территории Российской Федерации. Их можно разделить на пять подгрупп:

1)   органы власти всех уровней, государственные и муниципальные учреждения и предприятия;
2)   российские компании, которые сегодня хостят свои системы в зарубежных дата-центрах или облачных инфраструктурах (таких, как Amazon EC2, Google Apps, Microsoft Azure и т.п.), по экономическим или иным соображениям, в том числе – из-за качества предоставляемых сервисов;
3)   российские компании, использующие приложения и базы данных зарубежных провайдеров по схеме SaaS, например, такие, как SalesForce, Microsoft Dynamics CRM, Oracle Database Cloud Service;
4)   зарубежные, международные, транснациональные компании, имеющие дочерние компании или представительства в России, использующие, как правило, централизованные информационные системы, такие, как ERP, CRM, кадрового и бухгалтерского учета и т.п., дислоцирующиеся где-то за рубежом;
5)   зарубежные компании, не присутствующие в России, но чьими услугами пользуются россияне – социальные сети (Facebook, Twitter и т.п.), крупнейшие интернет-магазины и аукционы (Alibaba, Amazon, eBay и др.), системы бронирования всего, чего угодно (Sabre, Amadeus, Galileo, Booking.com, Hotels.сом и др). Хотя они находятся вне российской юрисдикции, механизм блокирования доступа к ресурсам в сети интернет ставит их перед выбором – подчиниться закону и перенести часть ресурсов в Россию, или принять риск возможного прекращения бизнеса в нашей стране.
Возможные варианты поведения всех этих операторов мы рассмотрим в разделе вебинара, который называется «Организация обработки персональных данных после 1 сентября российскими, международными и иностранными компаниями, ведущими деятельность на территории России».
Теперь ответы на наиболее часто задаваемые вопросы в связи с проведением вебинара. Вебинар платный. Его продолжительность – 4 часа, программа - здесь. Проводить его буду я. Полчаса в конце отведу на вопросы-ответы. Количество мест ограничено (Учебный центр бронирует общее количество подключений к сервису вебинара). Зарегистрироваться можно здесь и лучше заранее. Когда и где будет проходить еще раз, и будет ли он – пока не знаю, работы много.

До встречи! 

6 августа 2015 г.

О комментариях Минкомсвязи к 242-ФЗ

Retail & Loyalty опубликовал мои комментарии к разъяснениям Минкомсвязи относительно обработки персональных данных после 1 сентября 2015 года в связи с вступлением в силу поправок в закон о персональных данных, внесенных 242-ФЗ. Ниже – полный текст ответов на поставленные вопросы.

Вопрос: Многое ли проясняют или меняют разъяснения Минкомсвязи, размещенные на сайте ведомства?

Ответ: Они очень важны, поскольку именно Минкомсвязи является ведомством, отвечающим за выработку государственной политики и государственное регулирование в сфере обработки персональных данных. Однако, учитывая, что ранее оно практически этими вопросами никак не занималось, а Роскомнадзор параллельно дает свои разъяснения, не всегда совпадающие с министерскими, ситуация не очень проясняется. Сейчас очень важно, будет ли Роскомнадзор в своей деятельности следовать мнению Минкомсвязи или будет проводить свою линию.

Вопрос: Справедливо ли наше понимание, что, согласно разъяснениям:

- системам бронирования авиабилетов ничего не угрожает, и их не коснется перенос данных, и ничего, как пугали многие, в этой сфере не «остановится»?


Ответ: Разъяснения Минкомсвязи в отношении бронирования авиабилетов говорят о том, что принято решение сложившуюся ситуацию не ломать, а действовать постепенно, и это очень хорошо. Однако справедливости ради надо отметить, что в документах, в том числе международных конвенциях, на которые ссылается Минкомсвязи, ничего не говорится о глобальных системах бронирования и их территориальном размещение. К примеру, совершенно не понятно, почему на бронирование билетов российской компании, выполняющей рейс из Москвы в Новосибирск, требования закона о территориальности не распространяется ,а на интернет-магазин в Китае – распространяется.

- системам типа PayPal, а также интернет-магазинам типа AliExpress, JD.com и eBay также не придется вкладываться в перенос данных, и сфера трансграничного e-commerce не пострадает?
Ответ: А вот этих выводов в разъяснении Минкомсвязи нет, более того, руководство Роскомнадзора постоянно сообщает об успешных переговорах, в том числе и с владельцами указанных Вами сервисов, о переносе их баз данных в Россию. Правда, достоверных подтверждений таких переносов пока нет. Не исключено, ситуация будет развиваться по пессимистическому прогнозу – новые требования будут применяться избирательно к участникам рынка, и какие-то звери в лесу строго по Оруэллу окажутся равны больше, чем остальные.

Вопрос: Применяется ли закон экстерриториально, и должны ли те лица (в том числе, нерезиденты РФ), которым операторы или непосредственно сами субъекты ПД (граждане РФ) направляют ПД, на законных основаниях также обрабатывать их на территории РФ?

Ответ: Несмотря на данное по этому поводу министерством разъяснение, в комментариях различных должностных лиц и разъяснениях Роскомнадзора неоднократно подчеркивалось, что законодательство будет применятся к иностранным компаниям, не присутствующим в России, но деятельность которых направлена на российских граждан и даже давалось определение признаков такой направленности (доменная зона, сайт на русском языке, расчеты в рублях). В основном для них с 1 сентября вводится механизм блокирования доступа к сайтам в случае необеспечения размещения баз для первичного сбора персональных данных на территории России. Но и здесь пока полно противоречий. Министр связи Н. Никифоров высказал мнение, что Twitter, например, под действие закона не подпадает. А вот Facebook настойчиво убеждается в необходимости переноса данных россиян в российский сегмент. Как и Alibaba и Amazon.

Вопрос: Никому не придется переносить данные, внесенные в зарубежные системы до момента вступления закона в силу?

Ответ:
Здесь все практически единодушны: несмотря на отсутствие нормы о распространение требований нового законодательства на ранее возникшие правоотношения, не переносить данные можно только до вноса в базу данных хотя бы одной новой записи или актуализации ранее внесенных. А с этого момента база за пределами России находится вне закона.

Вопрос: Какие еще интересные моменты проясняют данные разъяснения Минкомсвязи?

Ответ:
Я лучше отвечу от противного: в них не содержится ответов на то, как они повлияют на правоприменительную практику. И это плохо. Но уполномоченный госорган выразил свою позицию, которой можно следовать в своей деятельности, и ссылаться на мнение ведомства, наделенного соответствующими функциями, в том числе при проверках и в суде. И это хорошо.

3 августа 2015 г.

Персональные данные после 1 сентября. Разберемся?

Итак, до 1 сентября, когда произойдут значительные перемены в системе работы с персональными данными, осталось меньше месяца.
Напомню, что с этой даты:
·         базы персональных данных, в которых происходит первичная регистрация и актуализация персональных данных российских граждан, должны находится на территории России, но слова «только» в законе нет;
·         контроль и надзор будет осуществляться не в соответствии с федеральным законом 294-ФЗ, а на основании отдельного постановления правительства, которого пока нет, и административного регламента, который есть только у Роскомнадзора (вопросы персональных данных могут проверять минимум пять ведомств с особенностями для каждого);
·         появится реестр нарушителей и механизм блокирования доступа к любому сайту в сети интернет вне зависимости от того, в чьей юрисдикции и на чьей территории он находится, если российский суд любой инстанции, включая мировой и районный, посчитает, что работа с персональными данными, например, их сбор или размещение, не соответствует российскому закону.
Эти новые нормы законодательства создают новые условия деятельности абсолютно для всех компаний, работающих с персональными данными россиян или деятельность которых направлена на Россию (появился теперь и такой термин, чтобы попасть под это определение, достаточно иметь сайт на русском языке в любой доменной зоне, даже если перевод делается роботом).
Мы выделили четыре группы операторов, для которых закон меняет ситуацию радикально, и которые простыми решениями не отделаются:
·         российские компании, хостившие свои сайты за рубежом, исходя из экономических или каких-то иных соображений;
·         российские компании, использовавшие зарубежный софт по схеме SaaS (софт как услуга) (помимо очевидных CRM, ERP, глобальных систем бронирования всего чего угодно и прочего сюда попадают многочисленные облачные хранилища, раздаваемые провайдерами и вендорами направо и налево, в том числе – бесплатно);
·         иностранные и международные компании с присутствием в России, использующие многотерриториальные информационные системы, распределенные по всему миру – кадровые, бухгалтерские, CRM и т.п.;
·         иностранные и международные компании, не присутствующие в России (не имеющие дочек и представительств), но активно работающие с россиянами – интернет-магазины, социальные сети, те же системы бронирования, платежные системы, и прочее.
Жить, как раньше, они смогут, если только регуляторы закроют на них глаза и сделают вид, что их нет. Кому-то это удастся, наверное. Но кому-то – точно нет.
Для тех, кто не хочет ждать милостей от природы надзора, 25 августа мы вместе с Учебным центром «Информзащита» проведем вебинар «Персональные данные россиян после 1 сентября 2015 года». В течение 4 часов мы детально разберемся с нововведениями, его участники узнают о позициях и мнениях различных ведомств, изложенных в ответах на направленные им запросы, постатейном комментарии Роскомнадзора к закону о персональных данных, на специально созданных ресурсах в сети интернет, мы проанализируем два постановления правительства, принятые по этому поводу (или проекты этих постановлений, если до 25 августа их еще не примут), ведомственные приказы, и рассмотрим различные сценарии действий российских и зарубежных компаний, желающих соответствовать закону.

Мы поговорим о мифах, активно распространяемых в связи с вступлением в силу изменений законодательства компаниями, желающими срочно заработать на этом деньги, и пристально взглянем на принципиально новую систему контроля и надзора в области персональных данных.

Регистрируйтесь, кому интересно. Обещаю, скучно и академично не будет. Но будет глубоко и подробно. Наше агентство выполнило немало проектов, реализующих предлагаемую нами стратегию поведения в новых условиях. Так что теоретизировать не будем. Только практика. Только факты.