21.04.2015 07:15
MBerezin 45 22000 Источник


Любой оператор персональных данных, обрабатывающий данные не в России, может попасть под блокировку.

Ниже я хочу рассказать про некоторые моменты миграции, с которыми мы уже сталкивались на практике при переносе клиентов в Россию на нашу инфраструктуру. Конечно же, первый вопрос будет про законы, второй — про то, как данные защищены от изъятия.

Основное


Пока непонятно, как описанный в законе механизм будет работать на практике, к тому же еще не приняты подзаконные акты, в которых будет детализирован порядок ограничения (блокировки) доступа к ресурсам. Поэтому придется копаться детальнее: ниже несколько важных, но довольно скучных вещей.

Законодательство не делит российских и иностранных лиц, к иностранцам применяется национальный режим (все равны перед законом). По ощущениям, штрафы есть, но практическая возможность их применения к иностранцам отсутствует. И штрафы смешные, конечно, — до 10 000 рублей. Однако штрафы не отменяют полномочий Роскомнадзора по блокировке сайтов — Роскомнадзору будет безразлично, российский домен или иностранный, он сможет заблокировать и тот, и другой для всех российских пользователей.

То есть, например, если «Аэрофлот» не сможет получить доступ к системе оформления билетов Sabre, это обойдется нашему перевозчику сильно дороже штрафа в целых 10 000 рублей.

Что нужно знать про персональные данные?


242-ФЗ в статьях 2 и 4 и 526-ФЗ говорят, что с 1 сентября 2015 года при сборе персональных данных, в т.ч. в Интернете, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (часть 5 статьи 18).

Исключения по 242-ФЗ таковы:
1) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

2) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

3) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года №210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

4) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.


Во всех остальных случаях операторы обязаны будут осуществлять сбор персональных данных граждан Российской Федерации с использованием баз данных, расположенных на территории Российской Федерации.

Какова ответственность?


В случае если оператор допустит нарушение новых требований к размещению баз данных на территории РФ, по действующей редакции статьи 13.11 Кодекса Российской Федерации об административных нарушениях «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» оператор и его руководитель могут быть привлечены к административной ответственности: руководитель — в виде штрафа в размере от пятисот до одной тысячи рублей, оператор — от пяти тысяч до десяти тысяч рублей.

В настоящее время в Государственной Думе Российской Федерации рассматривается законопроект № 683952-6, которым предполагается ограничить круг нарушений законодательства о персональных данных, за которые будет наступать административная ответственность по статье 13.11 Кодекса Российской Федерации об административных нарушениях.

В новой редакции указанной статьи нарушение операторами требований об обеспечении записи, систематизации, накоплении, хранении, уточнении (обновлении, изменении), извлечении персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет административным правонарушением являться не будет, поскольку такого состава правонарушения законопроект не предусматривает.

То есть можно и не хранить в РФ?


Не совсем. Планируемые изменения в административном законодательстве не означают, что нарушение операторами требований Федерального закона № 242-ФЗ не повлечет для них никаких негативных последствий. Смотрим на статью 15.5 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», вступающую в силу с 1 сентября 2015 года, которая появилась в законе в результате принятия Федерального закона № 242-ФЗ.

Согласно указанной статье, в случае если решением суда на основании заявления субъекта персональных данных будет подтвержден факт обработки персональных данных данного субъекта на интернет-ресурсах оператора с нарушением законодательства о персональных данных, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по обращению субъекта персональных данных на основании судебного решения сможет включить сведения об операторе-нарушителе в специализированный «Реестр нарушителей прав субъектов персональных данных» и ограничить (блокировать) доступ к интернет-ресурсу оператора, где было обнаружено нарушение.

Закон не уточняет, какие именно нарушения законодательства о персональных данных будут являться основанием для ограничения Роскомнадзором доступа пользователей к интернет-ресурсам операторов.

Есть ли практика?


По очевидным причинам, пока закон не заработает, сказать точно, что и как правильно делать, будет сложно. Формулировки позволяют достаточно широкое толкование, и, как обычно, нужно ориентироваться на правоприменительную практику.

Что все это значит для вас?


С 1 сентября 2015 года операторы должны быть готовы к проведению Роскомнадзором проверки соблюдения законодательства о персональных данных, в том числе требований об обработке персональных данных с использованием баз данных, находящихся на территории Российской Федерации, в любое время — этот вывод следует из поправки, внесенной статьей 3 Федерального закона № 242-ФЗ в Федеральный закон от 26 декабря 2008 года № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», согласно которой контроль и надзор за обработкой персональных данных выводится из-под действия Федерального закона № 294-ФЗ.

Скорее всего, порядок, сроки, частота проведения проверок будут определяться самим Роскомнадзором. Такие проверки не будут согласовываться с органами прокуратуры и не будут включаться в ежегодные сводные планы проверок юридических лиц и индивидуальных предпринимателей.

Теперь расскажу про нашу практику


У нас для коммерческих клиентов предлагается три дата-центра, в том числе один из них TIER III по Uptime Institute. Как правило, очень крупные компании (вроде банков, страховых и лидеров розничных сетей) встают к нам внутрь ЦОДа в специально огороженные пространства, где, например, может находиться 50–60 стоек только этого клиента. Проход внутрь пространства даже для проведения техработ возможен только с представителем этой компании, поэтому все, требующее обслуживания, у нас изначально выносится за загородку. Кроме того, мы следим, чтобы камеры других заказчиков не попадали секторами на чужие загородки. Это достаточно простая схема размещения.

Компании, размещающие у нас не такие масштабные проекты (как правило, переносящие инфраструктуру из облачных сред вроде Амазона), встают в облако КРОК, которое на 85% совместимо с тем же API Амазона (EC2, S3). Мигрировать легко — почти все утилиты заработают с Амазона без модификаций или с минимальными изменениями. Единственное, конечно, придется поменять формат образа. Но главное — подход и идеология сохраняются. Думаю, не мне объяснять, что при переходе на другую структуру часто вылезают разные архитектурные моменты, которые очень портят жизнь, — у нас таких сюрпризов уже давно нет.

Сам по себе перенос не представляет никаких сложностей и давно отработан. Вопрос в другом: каждого заказчика беспокоит новый закон. И здесь есть несколько вариантов:
  • Первый — постановка в ЦОД и аттестация конечного ИТ-решения по нормам ФСТЭК. Это классический collocation.
  • Второй вариант — работа с нашим публичным облаком. У нас уже есть опыт успешной аттестации по четвертому классу и соответствующая документация, которая включает в себя модель угроз, средства защиты, два отчета о проведении пентестов, отчет об устранении уязвимости по результатам этого пентеста, внутренние регламенты работы дата-центра, службы эксплуатации, HR (регламенты рекрутеров). При необходимости мы подготовим такой комплект документов и передадим заказчику для дальнейшей проверки и выдачи заключения аккредитованному на то аттестационному органу.
  • Третий вариант — SaaS с облачным решением, централизованный узел безопасности (ЦУБ) для защиты от конкретных моделей угроз. Можно использовать облачную модель масштабирования, даже если раньше из-за требований регуляторов для вас это было недоступно. Если коротко, процедура такая: за 1–2 дня разворачиваются защищенная виртуальная среда с сервисами информационной безопасности на базе инструментов, сертифицированных ФСТЭК и ФСБ. Файрволы, IPSec VPN и предотвращения вторжений (IPS).

Хранение данных


Второй частый вопрос, который часто появляется во время встреч с заказчиками,— это как хранятся данные. Собственно, без этого вопроса не обходится практически ни одна встреча, даже если она шла с финдиректором.

Суть здесь такая. У нас есть два дата-центра, в них суммарно порядка 500 физических серверов, на которых запускаются виртуальные машины заказчиков. На каждом сервере находится по два диска. И к этим 500 серверам подключены 12 массивов, по 6 на площадку. На локальных дисках, которые стоят на борту серверов, данные заказчиков не хранятся. Они все хранятся на централизованном хранилище. Если подходить к вопросу изъятия данных проверяющими органами, то изъятие серверов как таковое просто бесполезно, потому что данные заказчиков на них отсутствуют. Они все подключаются по сети хранения данных — SAN. И берутся с дисковых массивов, которые по SAN подключены. Есть полная определенность в каждый момент, где хранятся данные (именно на какой площадке), то есть заказчик при создании виртуального диска выбирает, запустить его на Волочаевской или же на Компрессоре. Дальше все эти диски на уровне физических дисковых массивов хранятся в таком виде — они равномерно распределены по всем дисковым массивам вперемешку с данными остальных заказчиков. Естественно, доступ к этим данным есть только у хозяев этих данных. Если физически изъять один из массивов, то данные будут нецелостными, неконсистентными. Это может быть 1/6 данных, остальные данные размазаны по остальным массивам. То есть никакой ценности представлять не будут. Даже если извлечь все массивы, чтобы собрать из этой каши какие-то диски, то без определенного доступа получить эту информацию не получится.



Наиболее простой способ — узнать логин и пароль и получить доступ на портал самообслуживания, взяв эти явки-пароли у системного администратора заказчика. Отмечу: за все 6 лет, что мы облаками занимаемся, подобных инцидентов с изъятием оборудования не было.

Сама миграция


Как правило, к нам переезжают международные компании с российскими представительствами. Исторически они хостились около головного офиса где-то, а сейчас российский бизнес выделяют в отдельный, в России. И строят отдельные же инфраструктуры. Плюс около 10% заказчиков — это те, кто хостился на Западе и переезжает «домой» на похожие инфраструктуры. Есть и те, кто переходит на хранение данных у нас вместо хранения в офисе, потому что надежнее.

Важная особенность — многим нужен англопишущий саппорт и англоговорящие менеджеры. Это уже давно выстроено.

Основная проблема миграции — конвертация из формата в формат виртуальных серверов, детали по архитектуре, если переход не с амазоно-подобного сервиса. Как правило, все эти вещи мы либо делаем бесплатно, либо бесплатно консультируем в части построения архитектуры внутри облака. Для заказчика все проходит без сюрпризов, за каждым переносом смотрят наши специалисты, уже собаку съевшие на таких работах. А опыт огромный: в начале года валом пошли компании с западных хостингов. Они же сейчас привлекают нас для консалтинга по сетевой связности и сетевой инфраструктуре как на своих проектах, так и при переходах. В целом, в наших интересах, чтобы заказчик не нагородил в облаке ерунды, чтобы все было грамотно и красиво построено. И чтобы не было ложного негатива, если админ где-то намудрил по незнанию или случайности. Поэтому бесплатно помогаем.

Комментарии (45)


  1. Cobolorum
    21.04.2015 10:49
    #8385813
    +28

    Сегодня ты перенес сервер
    Завтра его придут и заберут
    После завтра прощай бизнес.


  1. navion
    21.04.2015 11:13
    #8385849
    +18

    за все 6 лет, что мы облаками занимаемся, подобных инцидентов с изъятием оборудования не было

    Как будто вы можете рассказывать о доступе силовиков к данным клиентов…


    1. MBerezin Автор
      21.04.2015 12:05
      #8385939
      +4

      Вы правы. Считайте это принципом канарейки.


      1. navion
        21.04.2015 12:22
        #8385975
        +11

        Мы не в США, а Крок с удивительной регулярностью получает госконтракты.


      1. Acuna
        22.04.2015 01:24
        #8387517

        А все-таки, крупный ресурс можно пока открыть за рубежом, или это пока только непосредственно операторов касается? Просто если абсолютно все, что ранее было размещено за рубежом, хотя-бы из-за боязни быть несправедливо заблокированным, должно быть перенесено в Россию — то это уже вообще как-то грустно на самом деле получается…


  1. Kefir
    21.04.2015 11:18
    #8385865
    +1

    А закон разрешает сливать бекапы БД с персональными данными (допустим, я их шифрую и не обрабатываю за бугром, а использую только для восстановления)?
    Аналогичный вопрос про real-time репликацию.


    1. MBerezin Автор
      21.04.2015 12:06
      #8385943
      +2

      Если я правильно понял, речь идет о хранении ПДн.
      Хранение в статье 2 Федерального закона № 242-ФЗ названо среди способов обработки ПДн, которые нужно осуществлять с использованием баз данных, находящихся на территории Российской Федерации.
      Не важно, для каких целей хранятся данные (для восстановления или иных). Если они хранятся, то первоначально при сборе должны храниться на территории РФ, но впоследствии могут быть продублированы за рубежом.


      1. equand
        21.04.2015 14:45
        #8386259
        +8

        То есть эти данные не для безопасности хранят явно.


        1. skobkin
          22.04.2015 00:57
          #8387491
          +3

          А были сомнения? :)


        1. BupycNet
          22.04.2015 04:38
          #8387613
          +1

          Не для безопасности, а как я понял, если кто то напишет гневное сообщение про путина в соц. сети, то дядки могут получить доступ к дата-центру на территории РФ и узнать кто его написал, включая скорее всего айпи адрес и другие личные данные.
          Если же на территории РФ нет сервера, просто блокируют сайт.
          Другое дело если человек не указал данных, а сам сидит через ТОР.
          Скорее всего дальше будут законы вроде — при любой возможности публикации человек обязан предоставить номер паспорта или вроде того.


  1. Archon
    21.04.2015 13:08
    #8386057
    +7

    Даже если извлечь все массивы, чтобы собрать из этой каши какие-то диски, то без определенного доступа получить эту информацию не получится.

    Никто ничего сразу изымать и не будет. Вас просто вежливо попросят предоставить эти данные в удобочитаемом виде, а в случае отказа закроют весь дата-центр целиком (ведь данные, как вы сами подтвердили, хранятся в размазанном виде на всех ваших серверах, соответственно, орудием преступления будет являться весь дата-центр).

    P. S. Кто-то верит, что компании действительно физически перенесут базы данных, а не поставят в стране тупое прокси для отвода глаз Роскомпозору?


    1. pvasili
      21.04.2015 13:25
      #8386083
      -1

      Захотят работать (а большинство захочет) — перенесут и будут выполнять требования местного законодательства.
      Гиганты с прошлого года уже сотрудничают с соответствующими гос. органами. Формы и виды утрясутся, со временем. В Китае все кто работает — соблюдают местные требования и ничего.
      Про прокси — не все же школьники… Угроза потери хорошего рынка ни кому не нужна :)


      1. Archon
        21.04.2015 13:32
        #8386105
        +2

        Гиганты — это понятно, они и раньше сотрудничали без суда и следствия. Совершенно непонятно лишь, как школьники из Роскомпозора собираются контролировать всякую мелочь, которая имеет наглость хоститься за рубежом. Тем более, если эта мелочь надёжно прикрыта российской проксёй, и первичный сбор, обработка и хранение ПД (в оперативной памяти) действительно происходят в России.


        1. navion
          21.04.2015 14:16
          #8386183

          Мелочь их не интересует, нужны инструменты давления на больших.


  1. nckma
    21.04.2015 13:10
    #8386061
    +4

    А кто такие «операторы»?
    Вот если я, например, владелец интернет магазина каких нибудь шаманских бубнов на какой-нибудь joomla с shared хостингом — я «оператор» или нет?
    Может я в принципе не представляю себе где физически мои сервера и базы?


    1. Archon
      21.04.2015 13:29
      #8386093
      +1

      Да, оператор. Попадётесь (что вряд ли) — заплатите небольшой штраф и будете жить дальше.


      1. zuyac
        21.04.2015 14:17
        #8386185

        Ну здесь точно ничего страшного не случится


      1. ZoomLS
        21.04.2015 22:57
        #8387311

        Кому они штраф выписывать будут, если домен и сервер зарегистрирован заграницей?


        1. BupycNet
          22.04.2015 04:40
          #8387615

          Если у человека интернет-магазин, то на нем могут быть данные например робокассы. И там уже связь с ИП или ООО. Уже на основе этого можно владельца определить.


  1. DmitryKoterov
    21.04.2015 13:10
    #8386065
    +10

    Зашел в топик, как, думаю, и многие, в надежде увидеть ответы на два конкретных и сугубо практических вопроса:

    1. Какие именно персональные данные подходят под данный закон? В самом законе это указано довольно расплывчато — так, что под «персональными данными» можно понять все, что угодно. Например, попадает ли под действие этого закона: а) ФИО? б) номер телефона? (По отдельности каждое.)
    2. Если кто-то хранит ПД в России, то а) может ли он их реплицировать в другие страны? б) или, наоборот, можно ли мастер-базу хранить вне РФ, а реплику держать внутри РФ?

    Если кто-нибудь разбирается в этих двух наипростейших (с точки зрения постановки) и наиважнейших (с практической точки зрения) вопросах, прошу высказаться, причем, желательно, как можно подробнее, без канцелярщины и тумана.


    1. marapper
      21.04.2015 13:50
      #8386125

      В изначальной редакции ФЗ персональные данные — данные, позволяющие точно идентифицировать человека. Так что, несмотря на странное решение суда по поводу Сюткина, фотография, ФИО или номер телефона по отдельности не являются персональными данными.


      1. Vladzimir
        21.04.2015 17:14
        #8386657

        Т.е. если в одной БД — только телефоны, а в другой только Фамилии и т.д. А в основной БД, только идентификаторы этих данных, то под закон они не подпадают?


        1. marapper
          21.04.2015 17:41
          #8386731

          Нет, конечно. Вы этим связываете данные и получаете персональные данные (на самом деле, еще на этапе получения этих данных, т.к. по 152-ФЗ именно это имеет значение).


          1. Trueteller
            21.04.2015 22:11
            #8387205

            А что-нибудь меняется, если данные получаются не от самой «персоны», а от третьих лиц? Например, HR вводит ФИО сотрудника, а затем база собирает его рабочие часы? А если рабочие часы собираются без ФИО? Позволяют рабочие часы и номер карточки идентифицировать человека?


            1. marapper
              21.04.2015 22:32
              #8387269

              Ну, лучше прочитать сам ФЗ (и изначальный, и о хранении на территории РФ).

              Собирает данные юр.лицо, так что без разницы в каком порядке. Если данные связываются и однозначно идентифицируют лицо, то они попадают под закон и требуют письменного разрешения на их обработку (и там уже начинается морока с опредлением необходимого уровня защищенности, например, мед.данные сразу повышают класс).

              HR-данные — всегда персональные данные, по понятным причинам.

              В разрешении об обработке всегда включают право на передачу ПД третьим лицам (посмотрите закон — там список действий, которых надо разрешать), чтобы их можно было передавать.

              Ну и об обезличивании — о том, о чем вы говорите. Для свободной обработки/передачи, статистической обработки можно избавиться от связки, делающих ПД ПД, и, например, оперировать номерами рабочей карточки. Но хотя статистика рабочих часов по ид-номерам и становится обезличенной, где-то же будет храниться привязка ФИО сотрудника — карточка, и ПД будет в организации существовать.

              В общем, изначально закон — калька аналогичных европейских, помноженных на нашу бюрократию и стандартные недомолвки, и еще возведенные в степень коммерческих интересов, лоббируемых на самом верху, поэтому все это порождает многие неприятные нюансы и не совсем понятно, малому бизнесу/сайтам вообще надо обращать на это внимание или нет (как и в случае с рейтингованием медиа).


              1. BupycNet
                22.04.2015 04:42
                #8387619

                А если я через Google OAuth получаю имя фамилию (причем чаще всего там еще и неправильные данные пишут) и ссылку на гугл+ и почту, это считается за персональные данные?


                1. Archon
                  22.04.2015 08:46
                  #8387785
                  +1

                  Конечно. Более того, ваше желание собрать данные для этого вообще не требуется. Например, если вы получили через форму обратной связи сообщение типа «я Пупкин Василий Иванович, мой номер паспорта 1234 123456, ваш сервис говно» — поздравляю, вы только что записали себе в базу персональные данные, позволяющие точно идентифицировать человека.


                  1. BupycNet
                    22.04.2015 12:10
                    #8388165

                    То есть, если зайти на иностранный сайт и просто там куда нить в комменты написать свои персональные данные а потом подать запрос на блокировку в роскомнадзор, то он будет вынужден заблокировать сайт? Вот так вот просто можно убирать сайты из России?


                    1. Archon
                      22.04.2015 14:06
                      #8388411

                      Чисто теоретически, да. По крайней мере, нигде в законе я не видел того, что хранение персональных данных регламентируется, только если вы их собирали по своей инициативе. Буду рад, если меня поправят более грамотные юристы, но по-моему, прецедент создать можно, и подобный случай вполне впишется в аналогию с подбрасыванием наркотиков и оружия.


            1. marapper
              21.04.2015 22:34
              #8387277
              -1

              Ну и да, с ситуацией c данными, которые могут быть некорректны (как вконтакте — несуществующие ФИО + реальный номер телефона) я так лично и не разобрался до конца, как быть. Я думаю, депутаты и не в курсе того, что так можно в Торнетах.


              1. Archon
                22.04.2015 14:14
                #8388427

                Могут быть некорректны (тогда в принципе всё просто — они не ПД, поскольку будучи выдранными из вашей базы, человека не идентифицируют), а могут идентифицировать абсолютно конкретного и существующего, но другого субъекта, который разрешение на обработку своих данных не давал и вообще вас не знает (Вася забил в свой профиль ФИО и номер телефона Пети). Сколько ни искал, так и не разобрался, как согласно действующему законодательству разруливать такую ситуацию, чтобы она не была нарушением.


      1. teecat
        25.04.2015 23:11
        #8393355

        читаем закон. в текущей редакции -ФИО — персданные. Фото — в зависимости от метода обработки


        1. DmitryKoterov
          26.04.2015 12:24
          #8393603

          Там все что угодно — персональные данные. Но интересует практическая сторона вопроса: что, если сервис предлагает человеку ввести ФИО (или даже не предлагает, а человек просто их вводит — например, в качестве никнейма на форуме или в подписи к посту по своей же воле, или же это вообще архив листа рассылки, коих тысячи), то это уже означает, что такой сервис нельзя держать на зарубежных серверах?


          1. teecat
            26.04.2015 20:39
            #8393991

            О! А это очень веселая жопа. Согласно закону оператор должен получить согласие на обработку персданных в письменной форме. Понятно что ввод через сайт не есть письменная форма. Нажатие на клавишу Я согласен… не соответствует требованию закона — мало ли кто от вашего имени согласился. В итоге Роскомнадзор выпустил разъяснение, что нажатие на сайте приравнивается к письменному согласию. Но по закону Роскомнадзор не может толковать требования закона. Поэтому есть сложившаяся практика — все вводимое через сайт есть персданные и на их обработку нужно получать разрешение Но все это до ближайшей какой инициативы законодателей
            По тому, что нужно, а что не нужно хранить за рубежом — почитайте в блоге Емельянникова — www.securitylab.ru/blog/personal/emeliyannikov — там все разжевано


            1. DmitryKoterov
              27.04.2015 12:50
              #8394761
              +1

              Можно я позанудствую и попрошу конкретную ссылку на конкретную статью в этом стопятьсотстатейном блоге, где все разжевано? Я думаю, это также сэкономит в сумме массу времени и другим хабраюзерам — они сразу же смогут перейти, куда нужно.


              1. teecat
                27.04.2015 13:28
                #8394883

                Для начала
                www.securitylab.ru/blog/personal/emeliyannikov/130275.php — ближе к концу
                www.securitylab.ru/blog/personal/emeliyannikov/123082.php
                Вообще рекомендую этот блог постоянно мониторить. Очень толковые комментарии


          1. teecat
            27.04.2015 10:33
            #8394491

            Только я написал про проблемы с вводом персданных через сайты — и сразу пример. gov.cnews.ru/top/2015/04/24/centrobank_lishil_voditeleynovichkov_prava_oformlyat_osago_v_internete_595248. Персональные данные в электронном виде — не принимаются. В критичных ситуациях разъяснения Роскомнадзора идут налево


    1. Acuna
      22.04.2015 01:29
      #8387521

      Почему товарища marapper минусуем? Нужные же вещи говорит. А не согласны — дак можно же объяснить это в комментариях, ни так ли?


    1. MBerezin Автор
      22.04.2015 08:57
      #8387795

      По ФИО вообще все однозначно – см. п. 5 ч. 2 ст. 22 Федерального закона «О персональных данных». ФИО в отдельности, безусловно, отнесены законом к персональным данным. Вообще сложившаяся правоприменительная практика, а также ряд подзаконных актов в сфере персональных данных указывают, что перечисленные категории, каждая по отдельности, являются персональными данными.


      1. marapper
        22.04.2015 13:06
        #8388287

        Статья 22 об уведомлениях, нет?

        Правоприменительная практика у нас всегда странная, да и вопрос не в том, что является персональными данными (на взгляд не-юриста происходит подмена — все эти ФИО, телефоны и прочее является ПД, но проходить аттестацию/сертификацию надо только при наличии определенного класса). Например, ситуация с ФИО укладывается в:

        п.1 Статья 3. 152-ФЗ
        персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
        п.9 Статья 3. 152-ФЗ обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

        Соответственно, если не-бюрокартическим языком говорить, ФИО — не ПД.


        1. msuhanov
          22.04.2015 22:33
          #8389221

          Наоборот: обезличенные персональные данные все равно (по определению процесса обезличивания) остаются персональными данными.


  1. akrupa
    21.04.2015 22:06
    #8387201
    +6

    На локальных дисках, которые стоят на борту серверов, данные заказчиков не хранятся. Они все хранятся на централизованном хранилище. Если подходить к вопросу изъятия данных проверяющими органами, то изъятие серверов как таковое просто бесполезно, потому что данные заказчиков на них отсутствуют.

    … равномерно распределены по всем дисковым массивам вперемешку с данными остальных заказчиков…


    Спасибо за информацию. Теперь, при необходимости изъятия данных одного педприятия, мы будем изымать все сервера и дисковые массивы вашего хостинга.

    С уважением,
    Ваш ОБЭП.

    *сарказм


  1. EvilFox
    26.04.2015 00:00
    #8393369

    Может глупый вопрос, а IP попадает под персональные данные?


  1. teecat
    26.04.2015 00:22
    #8393395

    в России — сам по себе — нет. но в совоокупности — вполне даже. за рубежом — да. не во всех странах правда


  1. stoune
    05.05.2015 12:58
    #8405973

    не совсем понятно законна ли схема, когда данный физически хранятся в России, но обработка осуществляется за рубежом(конечно физически данные вытягиваются на момент обработки на машину за рубеж, но только те что нужны для обработки и только на момент обработки, а затем сбрасываются назад в российское хранилище).