Новый анализ порядка и возможности использования российскими операторами облаков Microsoft, находящихся за рубежом

Разместил для общего доступа новое Экспертное заключение по вопросам, связанным с использованием облачной платформы Azure и иных облачных сервисов корпорации Microsoft российскими компаниями в соответствии с требованиями законодательства Российской Федерации, которые необходимо выполнить при их использовании.

Главная мысль, которая отражена в заключении, – в законе нет требования обрабатывать персональные данные россиян только на территории России вопреки многочисленным высказываниям официальных и не очень лиц. Но есть в законе требование иметь в России актуальную базу персональных данных, которые переносятся для обработки за рубеж, в облака и SaaS системы.

Предыдущий вариант заключения был написан еще в 2014 году, до принятия поправок в закон «О персональных данных», требующих локализации персональных данных в период их сбора в базах данных на территории России.

После вступления поправок в силу с 1 сентября 2015 года накоплена правоприменительная практика в рамках надзорной деятельности и судебная практика, а регулятор и надзорный орган дали свои комментарии и разъяснения порядка применения новых норм, свое понимание ключевых для применения закона терминов, определения которых в нем отсутствуют, например, «база данных» и «сбор персональных данных». Эти вопросы анализируются в экспертном заключении, и, на основании анализа, рассматриваются возможные варианты использования облаков.

Конечно, я знаю о позиции Роскомнадзора относительно обезличивания персональных данных операторами, для которых эти действия не определены законами и иными нормативными правовыми актами, но, исходя их принципа общедозволительности в гражданском праве и отсутствия в законе запрета обезличивания для кого бы то ни было, такое обезличивание возможно, поэтому есть в заключении и сценарий размещения в облаке обезличенных данных, а базы идентификаторов – в России.

Отдельный вопрос – необходимость локализации данных о субъекте, которые не были получены в результате сбора, а созданы информационной системой по определенным алгоритмам. Анализируется в заключении и этот вопрос.

Отдельно рассматриваются вопросы ответственности за невыполнение требований законодательства о локализации с учетом принятых судами решений, в том числе и компаний, не присутствующих в России, но целенаправленно обрабатывающих персональные данные россиян.

Последний раздел заключения посвящен анализу мер безопасности, принимаемых в облаках Microsoft и сопоставлению их с требованиями закона «О персональных данных» и Постановления Правительства № 1119.

Защита персональных данных 18-19 мая: разберемся, что нового

18 и 19 мая в Учебном центре «Информзащита» буду читать очередной курс КП-32 «Защита персональных данных». Скорее всего, пройдет он полностью онлайн, но это ничего не меняет – все будет видно и слышно, как обычно 😊.

Курсу 13 лет, и все эти годы он меняется – вместе с законом, практикой правоприменения, судебными решениями, позицией надзорного органа.

Поскольку сейчас возможность его проводить у меня появляется не часто, примерно раз в квартал, каждый раз в курсе происходят изменения.

В этот раз будет несколько нововведений:

·    добавлен блок с разбором характерных нарушений, возникающих в ходе последних проверок Роскомнадзором;

·    расскажем о новых тенденциях законотворчества, в первую очередь, связанных с обезличиванием персональных данных и большими пользовательскими данными, возможности формирования с их использованием социальных профилей и рейтингов;

·    подробно остановимся на том, когда возникает и когда не возникает поручение обработки персональных данных, в первую очередь при передаче персональных данных работников работодателем иным лицам, поскольку такая передача связана с получением согласия в письменной форме, которое, по мнению надзорного органа, должно даваться для каждого поручения отдельно;

·    в блоке о биометрических данных разберем практику использования системы распознавания лиц в Москве и проанализируем, насколько она законна, и что надо было бы сделать для ее полной легализации.

Будет и еще одно нововведение: слушатели курса за оставшееся до курса время могут направить мне свои вопросы по адресу электронной почты, указанному на блоге, я подготовлю ответы на них, и в ходе курса мы разберем проблему. В зависимости от количества вопросов это будет или специально выделенная сессия вопросов и ответов 19 мая в конце курса, или я отвечу на них в соответствующих разделах курса.

Привилегия только для слушателей, никаких публикаций с ответами по результатам не будет.

Так что милости прошу на курс, и как обычно, уверяю – скучно не будет!