Фраза «уж сколько раз твердили миру» наверно идеально подходит под описание ситуации с защитой персональных данных и их переноса в Россию. За прошедшее с начала обсуждений проблем в этой области время казалось бы обсуждено все. И тем более юристы должны уметь читать законы.
Увы. Посещение очередной конференции развеяло для меня этот миф, в связи с чем я предлагаю в копилку Хабражителям ответы на типовые вопросы в области переноса данных.
Как передать ответственность за обработку персональных данных?
Почему-то забывают, что Федеральный закон от 21.07.2014 № 242-ФЗ не является законом сам по себе. Он лишь вносит изменения в:
Поэтому, говоря от защите персональных данных, нужно оперировать положениями 152-ФЗ. В соответствии с 152-ФЗ:
Таким образом ответственность перед субъектом в любом случае остается на операторе — компании, получившей согласие субъекта персональных данных на их обработку. В общем даже выделение части сотрудников в иное юрлицо не спасет ситуацию, поскольку данные все равно продолжат обрабатываться в компании — ведь с этими сотрудниками сохранятся деловые взаимодействия.
… Роскомнадзор… защищенный канал/шифрование
Очень много вопросов касается мер защиты. И это естественно. Но почему-то единственной точкой приложения считается Роскомнадзор. Опять-же согласно 152-ФЗ имеется три регулятора, каждый из которых имеет свою зону ответственности.
А это у нас ФСТЭК РФ и ФСБ РФ, где последняя отвечает за шифрование.
Как нам выполнить требование о переносе серверов?
В текущей редакции 149-ФЗ гласит:
И соответственно 152-ФЗ:
Здесь важно, что в определении используется формулировка „с использованием“. Вариантов толкования много. В принципе под него попадет даже параллельно работающий сервер. Но обычно определение толкуют в смысле. что:
Здесь и далее иллюстрации брались из материалов конференции.
Минимизировать риск нарушения закона позволяет внимательное его чтение
Ответственность перед субъектом в любом случае останется на операторе, но вот меры защиты (вместе ответственностью за их исполнение) могут быть перенесены на третью сторону. В соответствующем договоре должны быть прописаны цели обработки данных, требования по их защите и тд
Отдельный вопрос — необходимость уведомления Роскомнадзора компанией, которой передают данные на обработку вместе с ответственностью за их защиту. Теоретически такой компанией может быть некая специализированная компания, предоставляющая выполнение требований закона как услугу. Но она в общем случае не может знать, что от нее потребует следующий клиент — а уведомлять Роскомнадзор до начала обработки в случае каждого договора… Наиболее интересный вариант из 152-ФЗ гласит, что
Этот вариант возможен только в случае трехстороннего договора, одной из сторон которого является субъект персональных данных.
Увы. Посещение очередной конференции развеяло для меня этот миф, в связи с чем я предлагаю в копилку Хабражителям ответы на типовые вопросы в области переноса данных.
Как передать ответственность за обработку персональных данных?
Почему-то забывают, что Федеральный закон от 21.07.2014 № 242-ФЗ не является законом сам по себе. Он лишь вносит изменения в:
- Федеральный закон от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных»
- Федеральный закон от 26 декабря 2008 года N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей
Поэтому, говоря от защите персональных данных, нужно оперировать положениями 152-ФЗ. В соответствии с 152-ФЗ:
2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Таким образом ответственность перед субъектом в любом случае остается на операторе — компании, получившей согласие субъекта персональных данных на их обработку. В общем даже выделение части сотрудников в иное юрлицо не спасет ситуацию, поскольку данные все равно продолжат обрабатываться в компании — ведь с этими сотрудниками сохранятся деловые взаимодействия.
… Роскомнадзор… защищенный канал/шифрование
Очень много вопросов касается мер защиты. И это естественно. Но почему-то единственной точкой приложения считается Роскомнадзор. Опять-же согласно 152-ФЗ имеется три регулятора, каждый из которых имеет свою зону ответственности.
4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
А это у нас ФСТЭК РФ и ФСБ РФ, где последняя отвечает за шифрование.
Как нам выполнить требование о переносе серверов?
В текущей редакции 149-ФЗ гласит:
7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.
И соответственно 152-ФЗ:
5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети „Интернет“, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона
Здесь важно, что в определении используется формулировка „с использованием“. Вариантов толкования много. В принципе под него попадет даже параллельно работающий сервер. Но обычно определение толкуют в смысле. что:
- Сбор и хранение данных должны осуществляться на территории РФ, а вот обработка может быть где угодно
- За рубежом же можно хранить и копии данных — к которым и будут идти обращения при обработке
Здесь и далее иллюстрации брались из материалов конференции.
Минимизировать риск нарушения закона позволяет внимательное его чтение
2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
Ответственность перед субъектом в любом случае останется на операторе, но вот меры защиты (вместе ответственностью за их исполнение) могут быть перенесены на третью сторону. В соответствующем договоре должны быть прописаны цели обработки данных, требования по их защите и тд
Отдельный вопрос — необходимость уведомления Роскомнадзора компанией, которой передают данные на обработку вместе с ответственностью за их защиту. Теоретически такой компанией может быть некая специализированная компания, предоставляющая выполнение требований закона как услугу. Но она в общем случае не может знать, что от нее потребует следующий клиент — а уведомлять Роскомнадзор до начала обработки в случае каждого договора… Наиболее интересный вариант из 152-ФЗ гласит, что
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
Этот вариант возможен только в случае трехстороннего договора, одной из сторон которого является субъект персональных данных.
Комментарии (11)
BigD
18.11.2015 11:09Картинки без пояснения не очень понятны.
teecat
18.11.2015 11:23Это скриншоты из презентаций двух компаний, участвовавших в конференции. Не уверен, что могу выкладывать чужие презентации полностью, поэтому привел их них лишь несколько интересных слайдов, указав источник. Лично рекомендую посмотреть презентацию от Stack Group — там много схем возможных реализаций. Если есть заинтересованность, могу попытаться связаться с автором и получить его разрешение на полную выкладку материала.
BigD
18.11.2015 11:32А где её посмотреть?
teecat
18.11.2015 11:36Как я понимаю — нужно зарегистрироваться на www.ccifr.ru/ru/index.php?pid=130&id=291&type=1. Раньше презентации были открыты, но сейчас в открытом доступе их нет
msfs11
18.11.2015 13:40+1Смутила фраза: Средства криптографической защиты должны быть сертифицированы российскими властями и должны находится на территории РФ.
Я многое опущу, но есть несколько тезисов:
Требование «оценки соответствия» есть и от него никуда не деться
– Не все регуляторы одинаково читают и трактуют ФЗ-184
Однозначного ответа по обязательности сертификации нет
– При условии, что на ПП-330 и дальше будет висеть гриф «ДСП»
Оценка соответствия может быть в различных формах
– От сертификации и государственного контроля и надзора до приемки и ввода в эксплуатацию
Источник: http://www.slideshare.net/lukatsky/ss-14591225, Лукацкий Алексей, консультант по безопасности.
То есть, как я понял, остается открытый вопрос: чем и как требование по сертификации для частных компаний регламентируется?teecat
18.11.2015 13:52+1О! Тема знатного холивара. По сути можно спорить бесконечно, поскольку точного ответа нет, есть только общепринятое мнение.
habrahabr.ru/post/256147 — разбор 152-ФЗ и подзаконных актов к нему на эту тему
habrahabr.ru/post/260833 — мнение ФСБ
habrahabr.ru/post/256735 — небольшой ФАК
Mnemonik
Ну то есть я правильно понял, что всем пофиг где еще хранятся данные, главное чтобы была не шифрованная копия в России?
То есть как бы сложив два и два можно получить что кто там что и куда это все равно, главное чтобы можно было изъять данные при необходимости без лишних запросов?
vshemarov
У меня еще на этапе обсуждения законопроекта именно такое впечатление и сложилось
teecat
Честно говоря думаю, что законопроект сделали просто в политическую струю, что все данные должны быть недоступны для Запада. Но как всегда на декларировании желания все и закончилось — никаких мер по развитию внутреннего хостинга не замечается. Чиновникам и образованию тупо запрещают пользоваться международными сервисами в ожидании появления локальных и завоевания ими мира (да, такая цель тоже прописана)
Естественно закон неисполним — просто потому, что может крупные компании типа Гугла и международного бизнеса и перенесут хранение и сбор в Россию. Но для тысяч мелких сервисов это даже теоретически невозможно.
Piskov
Было обсуждение в похожем посте. Если верить комментариям на сайте Минкомсвязи, нельзя, так как (далее цитаты с фака Минкомсвязи):
teecat
Вся проблема в том, что:
Зацитирую из emeliyannikov.blogspot.ru/2015/09/blog-post.html: