Разместил для общего
доступа новое Экспертное заключение
по вопросам, связанным с использованием облачной платформы Azure и иных облачных сервисов
корпорации Microsoft российскими компаниями в соответствии с требованиями
законодательства Российской Федерации, которые необходимо выполнить при их
использовании.
Главная мысль, которая
отражена в заключении, – в законе нет требования обрабатывать персональные
данные россиян только на территории России вопреки многочисленным высказываниям
официальных и не очень лиц. Но есть в законе требование иметь в России
актуальную базу персональных данных, которые переносятся для обработки за
рубеж, в облака и SaaS системы.
Предыдущий вариант заключения
был написан еще в 2014 году, до принятия поправок в закон «О персональных
данных», требующих локализации персональных данных в период их сбора в базах
данных на территории России.
После вступления поправок
в силу с 1 сентября 2015 года накоплена правоприменительная практика в рамках
надзорной деятельности и судебная практика, а регулятор и надзорный орган дали
свои комментарии и разъяснения порядка применения новых норм, свое понимание
ключевых для применения закона терминов, определения которых в нем отсутствуют,
например, «база данных» и «сбор персональных данных». Эти вопросы анализируются
в экспертном заключении, и, на основании анализа, рассматриваются возможные
варианты использования облаков.
Конечно, я знаю о
позиции Роскомнадзора относительно обезличивания персональных данных
операторами, для которых эти действия не определены законами и иными
нормативными правовыми актами, но, исходя их принципа общедозволительности в
гражданском праве и отсутствия в законе запрета обезличивания для кого бы то ни
было, такое обезличивание возможно, поэтому есть в заключении и сценарий
размещения в облаке обезличенных данных, а базы идентификаторов – в России.
Отдельный вопрос –
необходимость локализации данных о субъекте, которые не были получены в
результате сбора, а созданы информационной системой по определенным алгоритмам.
Анализируется в заключении и этот вопрос.
Отдельно
рассматриваются вопросы ответственности за невыполнение требований
законодательства о локализации с учетом принятых судами решений, в том числе и компаний,
не присутствующих в России, но целенаправленно обрабатывающих персональные
данные россиян.
Последний раздел
заключения посвящен анализу мер безопасности, принимаемых в облаках Microsoft и
сопоставлению их с требованиями закона «О персональных данных» и Постановления
Правительства № 1119.