15 мая 2018 г.

Три мифа о персональных данных и облаках


По приглашению компании Oracle я участвовал в двух мероприятиях, посвященных облачным технологиям. Обсуждение неизбежно коснулось ограничений на использование облаков, связанных с требованиями российского законодательства о персональных данных.
Полная версия того, что и как обсуждалось, выложена в блоге Oracle в России и СНГ, ниже – наиболее важные, с моей точки зрения, выводы.
По-прежнему решения об отказе от использования облаков порой принимаются под влиянием мифов, возникших из газетных заголовков и не очень грамотных комментариев.
Даже простой и очевидный, на первый взгляд, вопрос, что такое персональные данные, не имеет столь же простого ответа, тем более что трактовка понятия персональных данных постоянно меняется.
На сегодня есть два важных признака персональных данных: возможность идентификации конкретного лица и потенциальные последствия использование данных. Если есть последствия для субъекта, например, негативные или юридически значимые, то эти данные всегда следует рассматривать как персональные и защищать, даже если установить личность их обладателя невозможно.
Миф 1 – Персональные данные россиян должны храниться в России
Есть мнение, что все собираемые в России персональные данные должны храниться на территории Российской Федерации. Это не так. В законе говорится, что «при сборе персональных данных <…> оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение этих данных с использованием баз данных, находящихся на территории РФ». То есть речь идет именно о сборе персональных данных. В законе нет требования использовать персональные данные только с помощью баз данных, находящихся на территории РФ.
Согласно разъяснениям Минкомсвязи на странице официального сайта ведомства, собранные и хранящиеся на территории РФ персональные данные впоследствии могут выноситься за пределы территории государства и использоваться для резервного копирования, рекламы, оказания различных услуг и так далее.
При этом под базой персональных данных понимается любой упорядоченный массив персональных данных, независимо от носителя. То есть это могут быть файлы, базы данных и даже упорядоченные бумажные архивы. Затем можно, например, выгрузить эти данные в базу данных, например, Oracle в зарубежном облаке и использовать их и за пределами РФ.
Есть три возможных способа выполнить требования законодательства РФ:
1.     Создать базу данных на территории РФ, причем в любой форме, а потом передавать из нее данные в зарубежные базы данных. При этом актуализация данных также должна происходить на территории РФ.
2.     Разместить данные за рубежом в обезличенной форме.
3.     Шифровать базы данных и передавать их за рубеж в зашифрованном виде. В таком случае для провайдера за рубежом это – не персональные данные.
Согласно разъяснениям Роскомнадзора и Минкомсвязи, сбор персональных данных – это получение данных непосредственно от субъекта или привлеченных для этого третьих лиц. Обязанность по их локализации возникает только в период сбора персональных данных. Если собранные данные локализованы на территории РФ и перенесены для обработки за рубеж, то получение с использованием функционала приложений в облаке новых данных, касающихся субъекта размещения этих данных на территории РФ, не требуется.
Если, например, в облачной системе Oracle Taleo Cloud Service на основании собранных и локализованных в РФ данных о работнике определяется его грейд, делается вывод о необходимости направления работника на повышение квалификации или о его продвижении по службе, то такие данные нельзя рассматривать как получаемые во время сбора, то есть они не были получены от субъекта или через уполномоченных оператором лиц. Соответственно, закон о персональных данных не содержит требования об обязательной локализации таких данных на территории РФ.
Облачное решение  Oracle Cloud at Customer обеспечивает реализацию законодательных требований, так как позволяет заказчику развернуть и получать публичные облачные сервисы Oracle в своем ЦОД, расположенном на территории РФ При этом в ЦОД заказчика и в облаке Oracle используется одно и того же программное и аппаратное обеспечение, что обеспечивает простой перенос приложений и данных между ними при наличии локализованной базы персональных данных, а ответственным за предоставление сервисов и уровень обслуживания остается Oracle.
Миф 2 - Трансграничная передача данных россиян запрещена
Нормы законодательства РФ о передаче персональных данных на территорию иностранных государств следует рассматривать в контексте обязательств, взятых на себя РФ при ратификации Конвенции Евросоюза 1981 года № ETS-108. Так, согласно статье 12, сторона не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы.
Если иностранное государство обеспечивает адекватную защиту прав субъектов персональных данных, то трансграничная передача данных ограничиваться не может.
При этом, если персонал облачной инфраструктуры имеет доступ к персональным данным клиента, размещенным в облаке, то необходимо получать согласие субъектов на такую передачу, так как в этом случае провайдер исполняет поручение обработки российского оператора. Однако оператор может предусмотреть в договоре запрет на доступ персонала к данным, что освобождает от такой необходимости.
Миф 3 – Обеспечивать безопасность персональных данных облачный провайдер не может
Законодательство прямо предусматривает возможность аутсорсинга обеспечения безопасности персональных данных при их автоматизированной обработке.
Безопасность персональных данных может обеспечивать сам оператор персональных данных (то есть заказчик), оператор информационной системы или лицо, обрабатывающее персональные данные по поручению оператора на основании договора.
Что должен сделать российский оператор персональных данных (заказчик)?
·         Определить типы угроз, связанных с наличием недекларированных возможностей системного и прикладного программного обеспечения.
·         Определить уровень защищенности своей информационной системы, которую он выносит в облако.
·         Построить модель угроз и систему защиты, обеспечивающую адекватную защиту от этих угроз, для своего сегмента информационной системы, находящегося вне облака.
Что должен сделать зарубежный провайдер облачных услуг?
·         Предоставить оператору данные о том, какие меры безопасности обеспечиваются в облачной инфраструктуре.
·         Обеспечить принятие дополнительных мер безопасности или предоставить оператору возможность развернуть дополнительные средства безопасности (PaaS или IaaS).
·         Отразить в договоре обязанности по обеспечению мер безопасности и конфиденциальности обрабатываемых данных, вопросы доступа персонала к ним.
·         Принимать меры по предотвращению несанкционированного доступа к персональным данным и несанкционированного воздействия на такие данные и информационные системы.
Общие выводы
·         После завершения сбора персональных данных они должны находиться (храниться) в базах данных на территории РФ, при этом изменения в данные (в том числе, уточнения и обновления) должны вноситься также в базы данных на территории РФ.
·         Не накладывается никаких ограничений на передачу персональных данных после их сбора и записи в базу данных на территории РФ, в том числе – на трансграничную передачу, предоставление к ним доступа с территории иных государств, а также на использование персональных данных граждан РФ после их трансграничной передачи.
·         Закон в редакции, вступившей в силу 1 сентября 2015 года, не устанавливает новых, дополнительных ограничений на трансграничную передачу персональных данных, не вводит запрет на обработку персональных данных в дата-центрах и облачных инфраструктурах, находящихся вне территории РФ, за исключением их сбора.
И завершить хотелось бы фразой, которую я не устаю повторять на своих выступлениях – «Недостатки нормативного регулирования не могут являться основанием для отказа от использования современных информационных технологий, потому что иначе вы неизбежно окажетесь на обочине конкурентной борьбы».

1 комментарий:

  1. Михаил Юрьевич, спасибо за Вашу статью! В связи с ней возник вопрос. Если первичный сбор ПДн должен происходить в России, то ее обновление и изменение тоже должно быть первично: в России по отношению к зарубежной базе? Поясню: есть зарубежная база, куда вносятся данные, есть российская база, куда данные переносятся из зарубежной. Обновления, изменения сначала попадают в зарубежную базу, а потом из нее делается отчет, который сохраняется в российской базе. Это является нарушением?
    Заранее благорадаю за Ваш ответ

    ОтветитьУдалить