28 августа 2015 г.

И еще раз про персональные данные россиян после 1 сентября, теперь - в зарубежных облачных сервисах

До 1 сентября, после которого большое количество операторов оказывается в совершенно новых условиях работы с персональными данными, осталось совсем немного. Несмотря на то, что на эту тему я уже писал неоднократно (например, здесь и здесь), мы завалены вопросами по телефону, почте, скайпу, фейсбуку на эту тему. Поэтому остановлюсь на тех нововведениях закона, которые волнуют наибольшее количество компаний.
Начну с понятий, что же такое персональные данные, и кто является оператором этих данных. Пункт 1 статьи 3 Закона о персональных данных определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Данное определение является весьма неопределенным и допускает сколь угодно широкое его толкование. При таком определении к персональным данным могут быть отнесены практически любые сведения о физическом лице, независимо от того, возможна ли его однозначная идентификация (установление личности) с использованием указанных сведений или нет. Эта проблема определения основных понятий достаточно глубоко анализируется в вышедшем в этом году Научно-практическом комментарии к закону «О персональных данных» под редакцией заместителя руководителя Роскомнадзора А.А.Приезжевой.
Оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Ключевыми в этом определении являются слова об определении целей обработки, состава обрабатываемых данных и действий, совершаемых с ними.
Хотелось бы акцентировать внимание на поправках в закон «О персональных данных», касающихся размещения баз персональных данных российских граждан в период их сбора на территории Российской Федерации:
·         ограничения на размещение баз персональных данных вводятся на период сбора персональных данных и не затрагивают их последующей обработки после завершения сбора, кроме ряда конкретных способов обработки;
·         ограничения касаются только персональных данных граждан Российской Федерации и не касаются персональных данных граждан других государств и лиц без гражданства;
·         ограничения вводятся только на 9 из 18 способов обработки, установленных частью 3 статьи 3 закона «О персональных данных» (сбор, запись, систематизация, накопление, хранение, уточнение, обновление, изменение, извлечение) и не ограничивают расположением баз данных на территории России такие действия с персональными данными как использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение.
Последний вывод означает, что после завершения сбора персональных данных они должны находиться (храниться) в базах данных на территории Российской Федерации, при этом изменения в данные (в том числе, уточнения и обновления) должны вноситься также в базы данных на территории Российской Федерации.
При этом указанное требование не накладывает никаких ограничений на передачу персональных данных после их сбора и записи в базу данных на территории России, в том числе – на трансграничную передачу, предоставление к ним доступа с территории иных государств, а также на использование персональных данных граждан Российской Федерации после их трансграничной передачи, в том числе – на использование данных из информационных систем, находящихся за пределами Российской Федерации. Закон в новой редакции не устанавливает новых, дополнительных ограничений на трансграничную передачу персональных данных, не вводит запрет на обработку персональных данных в дата-центрах и облачных инфраструктурах, находящихся вне территории Российской Федерации, за исключением периода их сбора.
Российская Федерация законом от 19.12.2005 № 160-ФЗ ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108). Ратификационная грамота принята Советом Европы 15.05.2013, и с 01.09.2013 вступили в силу обязательства Российской Федерации, обусловленные данной конвенцией. В соответствии с частью 2 статьи 12 «Передача персональных данных через границы и национальное право» Европейской конвенции, сторона конвенции не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой Стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы.
Часть 1 статьи 12 закона «О персональных данных» устанавливает, что трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Европейской конвенции, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена лишь в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
Иностранными государствами, обеспечивающими адекватную защиту прав субъектов персональных данных, в соответствии с частями 1 и 2 статьи 12 закона «О персональных данных», помимо государств-сторон Европейской конвенции, являются страны, включенные в утверждаемый Роскомнадзором перечень иностранных государств, не являющихся сторонами Европейской конвенции.
Вместе с тем, надо отметить, что актуализация всех ранее собранных персональных данных (их обновление, изменение, уточнение) первоначально также должна производиться в базах данных на территории Российской Федерации, и эти базы на территории России всегда должны содержать все актуальные персональные данные, используемые оператором и полученные или актуализированные им в период времени, начиная с 1 сентября 2015 года. Таким образом, после 1 сентября 2015 года российский оператор для использования при обработке персональных данных облачных сервисов, серверы которых расположены за пределами Российской Федерации, должен принять дополнительные меры, в частности, базу персональных данных, предназначенную для их первичного сбора, записи и накопления, а также последующей актуализации (уточнения, обновления, изменения) разместить на территории Российской Федерации и постоянно хранить обрабатываемые персональные данные в такой базе. При этом возможным является последующее копирование (перенос) этих данных на сервера за пределами Российской Федерации.
База данных – пока категория не определенная. Согласно разъяснениям на сайте Минкомсвязи, можно предположить, что в качестве базы данных надзорные органы готовы рассматривать, в том числе хранилища бумажных документов, не говоря уже о файлах офисного формата и сканах документов.
Если принятие указанных выше дополнительных мер не может быть реализовано соответствующим российским оператором, то в качестве возможных сценариев организации обработки персональных данных, размещенных в дата-центрах и облачных инфраструктурах, находящихся вне территории Российской Федерации, могут быть рассмотрены следующие:
1.   Размещение данных, предварительно прошедших процедуру обезличивания, при условии, что их де-обезличивание реализуется только на территории Российской Федерации. При выполнении процедуры обезличивания целесообразно руководствоваться требованиями приказа Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных», обязательного к исполнению для операторов, являющихся государственными или муниципальными органами. В этом случае операторы, не являющиеся государственными или муниципальными органами, при обосновании правомерности, разумности и достаточности выбранного способа обезличивания, могут ссылаться на требования, установленные в нормативном акте уполномоченного федерального органа исполнительной власти.
2.   Размещение персональных данных в зашифрованном виде при условии, что их расшифрование осуществляется только на территории Российской Федерации. Для шифрования должны использоваться сертифицированные средства криптографической защиты, поскольку в данном случае шифрование выполняется с целью нейтрализации актуальной угрозы безопасности персональным данным, связанной с возможностью несанкционированного доступа к ним неавторизованного персонала дата-центра или облачного провайдера.
Такие варианты не должны рассматриваться как размещение персональных данных за рубежом, поскольку они не соотносятся с определяемым в такой системе субъектом и, собственно, персональными данными не являются.
После 1 сентября 2015 года оператор, осуществляющий сбор персональных данных российских граждан с использованием баз данных, находящихся не на территории Российской Федерации, может быть привлечен к административной ответственности по основаниям, предусмотренным статьей 13.11 КоАП (размер штрафа для юридических лиц составляет от 5 до 10 тысяч рублей), поскольку невыполнение требования о месте нахождения баз персональных данных при их сборе является прямым нарушением вступающей в силу нормы закона «О персональных данных», которая определяет новый порядок сбора персональных данных с 1 сентября 2015 года.
Кроме того, после 1 сентября 2015 года, в соответствии с изменениями в закон «Об информации, информационных технологиях и о защите информации», может быть ограничен (фактически – заблокирован) доступ пользователей с территории Российской Федерации к сайту (странице сайта) в сети интернет, на котором персональные данные обрабатываются с нарушениями требований российского законодательства. Данная мера может быть принята, в том числе и в отношении сайтов, размещенных за пределами Российской Федерации, и сайтов, владельцы которых находятся вне юрисдикции Российской Федерации.

14 комментариев:

  1. В соответствии с последней редакцией ПП-211, обезличивание перестало быть обязательным для операторов, являющихся государственными или муниципальными органами, разве нет?

    ОтветитьУдалить
  2. Конечно, да! Но никто не запрещает обезличивание использовать

    ОтветитьУдалить
  3. Михаил Юрьевич, а можете прокомментировать позицию сотрудников Роскомнадзора, изложенную в своих комментариях (стр.78-79):

    В случае если трансграничная передача персональных данных на территорию государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, не соответствует цели сбора данных, то передача данных будет нарушать требования законодательства в сфере персональных данных, даже при наличии согласия субъекта персональных данных на такую передачу.

    Значит ли это, что для обработки ПДн в облаках, расположенных, к примеру, в США, нужна обоснованная необходимость (цель) и только согласие тут не поможет?

    Так же прокомментируйте, пожалуйста, не является ли 3 принцип ст.5 152-фз запрещающим фактором при использовании облаков? ("Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.")

    ОтветитьУдалить
    Ответы
    1. Да, про трансграничку, похоже, позиция именно такая. В комментариях должностных лиц проводился пример с Дневник.ру, который ни при каких обстоятельствах хостить за рубежом.
      нельзя, ибо никаких целей у такого хостинга нет
      (сэкономить на принимается). А вот для облаков никаких препятствий в формулировке закона не вижу. Называем базой данных каждое конкретное приложение и правильно определяем цели.

      Удалить
  4. Роскомнадзор опирается на определение БД, указанное в Модельном законе о персональных данных, принятом в г. Санкт-Петербурге 16.10.1999 Постановлением 14-19 на 14-ом пленарном заседании Межпарламентской Ассамблеи государств-участников СНГ: упорядоченный массив ПДн, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных). Так, БД можно считать таблицу в формате Excel, Word, в которой содержится информация о ПДн граждан или иным образом упорядоченный массив ПДн, в том числе поддающийся обработке при помощи ЭВМ. С данным расширительным толкованием понятия БД можно не согласиться, так как согласно п.10 ст.3 152-ФЗ БД является неотъемлемой частью ИСПДн, а обработка ПДн, содержащихся в БД, осуществляется с использованием информационных технологий и технических средств (средств автоматизации). При этом, согласно ч.1 ст.1 152-ФЗ, без использования средств автоматизации могут обрабатываться ПДн, зафиксированные на материальном носителе и содержащиеся в картотеках или иных систематизированных собраниях ПДн. Таким образом, упорядоченные массивы ПДн можно условно разделить на две категории: 1. [электронные] базы данных в составе ИСПДн; 2. картотеки и иные систематизированные собрания ПДн.
    Портал Минкомсвязи (http://minsvyaz.ru/ru/personaldata/answers/#1440499587952) указывает, что понятие «база данных» на уровне федерального закона раскрыто в аб.2 ст.1260 ГК РФ в виде «базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины», и что при применении 242-ФЗ под термином «база данных» будет пониматься указанное выше значение, предполагающее, что с помощью ЭВМ одновременно должны быть обеспечены поиск и любая обработка соответствующей информации, что представляется возможным при условии их наличия в электронной форме.

    ОтветитьУдалить
  5. Не могу с Вами не согласиться, Alexey Muntyan, все абсолютно правильно Вы написали. Говоря о "бумажных" база в посте, я имел ввиду вот это витиеватое разъяснение на сайте Минкомсвязи: "Также нередко сбор персональных данных первоначально осуществляется в «бумажной» форме (заполненные бланки заявлений, анкет и пр.), c последующим их занесением сотрудником организации в общекорпоративную электронную базу данных, расположенную за рубежом. Возложение на оператора обязанности по локализации каждой из таких баз данных приводит к существенному возрастанию затрат, не сопровождающихся усилением защиты субъектов персональных данных (поскольку их данные уже были локализованы на территории РФ). К тому же, в некоторых случаях особенности построения информационной инфраструктуры компании не позволяют осуществить локализацию всех баз данных без кардинальной перестройки своей глобальной инфраструктуры. Как следует из текста ч. 5 ст. 18 ФЗ «О персональных данных», обязанность оператора обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, считается исполненной, когда указанные действия были совершены при сборе персональных данных с использованием базы данных, находящейся на территории Российской Федерации. При этом, статья не содержит указания на то, что такие действия должны совершаться исключительно с использованием баз данных, размещенных на территории России. В связи с этим, если в отношении определенного набора персональных данных уже были ранее выполнены требования ФЗ-242, повторная локализация таких персональных данных не требуется, поскольку цели закона уже достигнуты. Соответственно, если персональные данные были при сборе записаны в базу данных, расположенную на территории Российской Федерации, то впоследствии такие персональные данные могут вноситься работником (представителем) оператора в принадлежащую ему электронную базу данных, находящуюся за пределами РФ".
    Обратите также внимание на последнее предложение, где есть российская "база" и зарубежная "электронная база". Я воспринял это как намек регулятора :-) и поэтому написал "можно предположить, что в качестве базы данных надзорные органы готовы рассматривать, в том числе хранилища бумажных документов, не говоря уже о файлах офисного формата и сканах документов"

    ОтветитьУдалить
  6. Михаил Юрьевич, благодарю за пояснение! Я на прошлой неделе общался с высокопоставленным сотрудником ЦА РКН и 15 минут пытался получить от него пояснение к позиции РКН о приравнивании к БД хранилищ бумажных документов, хотя 152-ФЗ кроме БД еще "знает" о наличии картотек и иных систематизированных собраний ПДн. Прямого ответа я так и не получил: сотрудник сказал, что нужно смотреть Портал Минкомсвязи и искать пояснения там :-) Самое забавное, что проект ПД-Инфо.рф (который декларирует наличие благословения от РКН) придерживается мнения, что следует руководствоваться понятием, которое дано в Модельном законе о персональных данных, принятом в г. Санкт-Петербурге 16.10.1999 Постановлением 14-19 на 14-ом пленарном заседании Межпарламентской Ассамблеи государств-участников СНГ, «база персональных данных» - это упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных).

    ОтветитьУдалить
  7. РКН тоже ссылался на определение БПДн в модельном законе. Самое смешное, что с принятием 152-ФЗ модельный закон потерял всякий смысл как источник права. "Типовые (модельные) законы Межпарламентской Ассамблеи СНГ – это адаптированные к условиям Содружества международные, прежде всего европейские, правовые стандарты. После принятия в Межпарламентской ассамблее модельные законы предлагаются странам Содружества, как образцы для местного законодательства". Все, поезд ушел в 2006 году.
    http://www.iacis.ru/about/

    ОтветитьУдалить
  8. Во всей этой котовасии (имею в виду не Ваш пост, а вообще все что связано с 242-ФЗ) я не полнял одного: как РКН будет проверять размещение базы в России? Что кроме того, что будут смотреть договор с российским хостингом?

    ОтветитьУдалить
    Ответы
    1. Много способов. Договоры, сервисы геолокации, привлеченные эксперты и экспертные организации, доступ к ИСПДн, предусмотренный проектом ПП по контролю и надзору, ну и т.д. Было бы желание

      Удалить
  9. Добрый день, коллеги!
    Может я чего не понимаю, но по действующему ГОСТ 7.73-96 "Система стандартов по информации, библиотечному и издательскому делу. Поиск и распространение информации. Термины и определения"
    База данных – набор данных, который достаточен для установленной цели и представлен на машинном носителе в виде, позволяющем осуществлять автоматизированную переработку содержащейся в нем информации.
    Машинный носитель данных – сменный носитель данных, предназначенный для записи и считывания данных, представленных в стандартных кодах. (п. 21 ГОСТ 25868-91)
    Машинные носители vs Материальных...

    ОтветитьУдалить
  10. Евгений, определений на самом деле очень много. Есть и другие ГОСТы. Вот, например. ГОСТ Р ИСО МЭК ТО 10032-2007: Эталонная модель управления данными.
    База данных – совокупность данных, хранимых в соответствии со схемой данных, манипулирование которыми выполняют в соответствии с правилами средств моделирования данных.
    Проблем много. Во-первых, применение ГОСТа - дело сугубо добровольное (ФЗ о техрегулировании). Во-вторых, каждый ГОСТ создает понятийное поле для конкретной области применения, указанной в его названии, универсальных нет. Ну, и еще куча проблем поменьше

    ОтветитьУдалить
  11. Но для банков появилось № 3753-У....
    Так что место хранени ПДн для банков без вариантов?

    ОтветитьУдалить
  12. Там ситуация непростая. В 397-П, куда вносятся изменения в соответствии с 3753-У, довольно витиеватое определение электронных баз данных, отсылающее к 385-П. Навскидку - да, без вариантов, но буду детально разбираться. На вебинаре 4 сентября расскажу, к каким выводам пришел.

    ОтветитьУдалить