15 мая 2018 г.

Три мифа о персональных данных и облаках


По приглашению компании Oracle я участвовал в двух мероприятиях, посвященных облачным технологиям. Обсуждение неизбежно коснулось ограничений на использование облаков, связанных с требованиями российского законодательства о персональных данных.
Полная версия того, что и как обсуждалось, выложена в блоге Oracle в России и СНГ, ниже – наиболее важные, с моей точки зрения, выводы.
По-прежнему решения об отказе от использования облаков порой принимаются под влиянием мифов, возникших из газетных заголовков и не очень грамотных комментариев.
Даже простой и очевидный, на первый взгляд, вопрос, что такое персональные данные, не имеет столь же простого ответа, тем более что трактовка понятия персональных данных постоянно меняется.
На сегодня есть два важных признака персональных данных: возможность идентификации конкретного лица и потенциальные последствия использование данных. Если есть последствия для субъекта, например, негативные или юридически значимые, то эти данные всегда следует рассматривать как персональные и защищать, даже если установить личность их обладателя невозможно.
Миф 1 – Персональные данные россиян должны храниться в России
Есть мнение, что все собираемые в России персональные данные должны храниться на территории Российской Федерации. Это не так. В законе говорится, что «при сборе персональных данных <…> оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение этих данных с использованием баз данных, находящихся на территории РФ». То есть речь идет именно о сборе персональных данных. В законе нет требования использовать персональные данные только с помощью баз данных, находящихся на территории РФ.
Согласно разъяснениям Минкомсвязи на странице официального сайта ведомства, собранные и хранящиеся на территории РФ персональные данные впоследствии могут выноситься за пределы территории государства и использоваться для резервного копирования, рекламы, оказания различных услуг и так далее.
При этом под базой персональных данных понимается любой упорядоченный массив персональных данных, независимо от носителя. То есть это могут быть файлы, базы данных и даже упорядоченные бумажные архивы. Затем можно, например, выгрузить эти данные в базу данных, например, Oracle в зарубежном облаке и использовать их и за пределами РФ.
Есть три возможных способа выполнить требования законодательства РФ:
1.     Создать базу данных на территории РФ, причем в любой форме, а потом передавать из нее данные в зарубежные базы данных. При этом актуализация данных также должна происходить на территории РФ.
2.     Разместить данные за рубежом в обезличенной форме.
3.     Шифровать базы данных и передавать их за рубеж в зашифрованном виде. В таком случае для провайдера за рубежом это – не персональные данные.
Согласно разъяснениям Роскомнадзора и Минкомсвязи, сбор персональных данных – это получение данных непосредственно от субъекта или привлеченных для этого третьих лиц. Обязанность по их локализации возникает только в период сбора персональных данных. Если собранные данные локализованы на территории РФ и перенесены для обработки за рубеж, то получение с использованием функционала приложений в облаке новых данных, касающихся субъекта размещения этих данных на территории РФ, не требуется.
Если, например, в облачной системе Oracle Taleo Cloud Service на основании собранных и локализованных в РФ данных о работнике определяется его грейд, делается вывод о необходимости направления работника на повышение квалификации или о его продвижении по службе, то такие данные нельзя рассматривать как получаемые во время сбора, то есть они не были получены от субъекта или через уполномоченных оператором лиц. Соответственно, закон о персональных данных не содержит требования об обязательной локализации таких данных на территории РФ.
Облачное решение  Oracle Cloud at Customer обеспечивает реализацию законодательных требований, так как позволяет заказчику развернуть и получать публичные облачные сервисы Oracle в своем ЦОД, расположенном на территории РФ При этом в ЦОД заказчика и в облаке Oracle используется одно и того же программное и аппаратное обеспечение, что обеспечивает простой перенос приложений и данных между ними при наличии локализованной базы персональных данных, а ответственным за предоставление сервисов и уровень обслуживания остается Oracle.
Миф 2 - Трансграничная передача данных россиян запрещена
Нормы законодательства РФ о передаче персональных данных на территорию иностранных государств следует рассматривать в контексте обязательств, взятых на себя РФ при ратификации Конвенции Евросоюза 1981 года № ETS-108. Так, согласно статье 12, сторона не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы.
Если иностранное государство обеспечивает адекватную защиту прав субъектов персональных данных, то трансграничная передача данных ограничиваться не может.
При этом, если персонал облачной инфраструктуры имеет доступ к персональным данным клиента, размещенным в облаке, то необходимо получать согласие субъектов на такую передачу, так как в этом случае провайдер исполняет поручение обработки российского оператора. Однако оператор может предусмотреть в договоре запрет на доступ персонала к данным, что освобождает от такой необходимости.
Миф 3 – Обеспечивать безопасность персональных данных облачный провайдер не может
Законодательство прямо предусматривает возможность аутсорсинга обеспечения безопасности персональных данных при их автоматизированной обработке.
Безопасность персональных данных может обеспечивать сам оператор персональных данных (то есть заказчик), оператор информационной системы или лицо, обрабатывающее персональные данные по поручению оператора на основании договора.
Что должен сделать российский оператор персональных данных (заказчик)?
·         Определить типы угроз, связанных с наличием недекларированных возможностей системного и прикладного программного обеспечения.
·         Определить уровень защищенности своей информационной системы, которую он выносит в облако.
·         Построить модель угроз и систему защиты, обеспечивающую адекватную защиту от этих угроз, для своего сегмента информационной системы, находящегося вне облака.
Что должен сделать зарубежный провайдер облачных услуг?
·         Предоставить оператору данные о том, какие меры безопасности обеспечиваются в облачной инфраструктуре.
·         Обеспечить принятие дополнительных мер безопасности или предоставить оператору возможность развернуть дополнительные средства безопасности (PaaS или IaaS).
·         Отразить в договоре обязанности по обеспечению мер безопасности и конфиденциальности обрабатываемых данных, вопросы доступа персонала к ним.
·         Принимать меры по предотвращению несанкционированного доступа к персональным данным и несанкционированного воздействия на такие данные и информационные системы.
Общие выводы
·         После завершения сбора персональных данных они должны находиться (храниться) в базах данных на территории РФ, при этом изменения в данные (в том числе, уточнения и обновления) должны вноситься также в базы данных на территории РФ.
·         Не накладывается никаких ограничений на передачу персональных данных после их сбора и записи в базу данных на территории РФ, в том числе – на трансграничную передачу, предоставление к ним доступа с территории иных государств, а также на использование персональных данных граждан РФ после их трансграничной передачи.
·         Закон в редакции, вступившей в силу 1 сентября 2015 года, не устанавливает новых, дополнительных ограничений на трансграничную передачу персональных данных, не вводит запрет на обработку персональных данных в дата-центрах и облачных инфраструктурах, находящихся вне территории РФ, за исключением их сбора.
И завершить хотелось бы фразой, которую я не устаю повторять на своих выступлениях – «Недостатки нормативного регулирования не могут являться основанием для отказа от использования современных информационных технологий, потому что иначе вы неизбежно окажетесь на обочине конкурентной борьбы».

9 мая 2018 г.

О личной жизни на рабочем месте – 15 мая на PHDays


Жизнь работника офиса в цифровую эпоху значительно изменилась. Интернет и облачные хранилища, социальные сети и мессенджеры, геолокация, видеонаблюдение и биометрическая идентификация — все это приметы нового времени.
Где граница вмешательства работодателя в деятельность работника? Как предотвратить непроизводительную трату рабочего времени и организовать контроль за соблюдением корпоративных правил хранения, использования и передачи информации? Что, если сотрудник работает удаленно? Можно ли контролировать личные гаджеты сотрудника, которые используются в трудовой деятельности? Как поставить систему видеонаблюдения и контроля рабочего времени и не нарушить при этом закон и права работника?
Причины увольнения работников в последние годы самые разнообразные и часто с рабочим местом не обязательно связанные, но так или иначе затрагивающие личную жизнь работника. Машинист метро начинал рабочий день с набрасывания куртки на камеру видеонаблюдения в кабине поезда. Инженер обсуждал с невестой подготовку к свадьбе с использованием служебного аккаунта в мессенджере. Руководитель кадровой службы отправил с рабочего места на свой почтовый ящик в общедоступном сервисе персональные данные работников. Одна работница покритиковала в соцсети качество продукции, производимой компанией, в которой работает, а другая - выложила в Инстаграме фото с вечеринки, где она была в обуви, производимой конкурентом компании. Сотрудники российских компаний серфились в рабочее время в Интернете, обоих наказали, но одно наказание суд отменил, а с другим согласился. Почему? Вы читали правила внутреннего трудового распорядка своего работодателя? Расписывались за ознакомление? А корпоративный кодекс поведения? Нет? Зря… Последствия могут быть самыми печальными.
15 мая на Positive Hack Days с 12:00 до 13:50  в зале «Валдай» мы попытаемся найти ответы на эти и другие вопросы, детально анализируя законодательство и судебную практику — от решений Европейского суда по правам человека по делу Барбулеску и Конституционного суда РФ по делу Сушкова и до решений мировых и районных судов, локальные акты работодателей и последствия их невыполнения работниками. Никаких домыслов и предположений – только факты из российской и зарубежной практики.
А начнем мы с вывода Рабочей группы Евросоюза по вопросам защиты физических лиц при обработке персональных данных, сделанного в отношении мониторинга рабочей переписки персонала: «Работники не оставляют свое право на неприкосновенность частной жизни и защиты данных каждое утро за дверью рабочего кабинета».

8 мая 2018 г.

21-22 мая: о старых и новых проблемах обработки персональных данных


21-22 мая в Учебном центре «Информзащита» я проведу мой очный авторский курс «Защита персональных данных», в последний раз до октября этого года. Кроме традиционного анализа новейшей правоприменительной практики и судебных решений в нем будут 2 «изюминки».

1.       Будут рассмотрены вопросы, связанные с вступлением 25 мая в силу Европейского регламента GDPR и применимости его к деятельности российских операторов персональных данных.
2.       В программу семинара включен анализ нового Федерального закона от 31.12.2017 № 482-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации», регулирующего вопросы биометрической идентификации клиентов банков и предоставления ими услуг без личного присутствия клиентов в банке, а также перспективы распространения идентификации на другие сферы деятельности.