+7(499)-938-42-58 Москва
8(800)-333-37-98 Горячая линия

Хранение персональных данных за рубежом с точки зрения российского права (Иванов А.А.)

Содержание

Нко и персональные данные: 10 советов юриста | милосердие.ru

Хранение персональных данных за рубежом с точки зрения российского права (Иванов А.А.)

Если вас интересует благотворительность, вы хотите разбираться в новых технологиях, читать экспертные интервью с яркими фигурами в мире НКО и помогать с умом — подписывайтесь на секторную рассылку Милосердие.РУ. Чем больше мы знаем, тем лучше помогаем!

Считайте любую информацию о человеке персональными данными

Если НКО заносит в таблицу фамилии, имена, отчества и телефоны волонтеров или благополучателей — это уже обработка персональных данных. С точки зрения закона эта организация – оператор персональных данных.

Потому что к персональным данным относится любая информация о физическом лице (субъекту персональных данных), говорится в законе.

«На практике никогда нельзя сказать с уверенностью, что конкретная совокупность данных – это персональные данные. Если это телефон, имя, фамилия — наверное, да, это будут персональные данные.

Если рассматривать просто номер телефона без имени и фамилии – здесь уже вопрос», — говорит Ксения Королева, юрист московского офиса международной юридической фирмы Latham & Watkins, специалист по российскому праву.

Главный признак – персональные данные позволяют идентифицировать личность.

Обработка персональных данных – это «любые действия» с ними, включая сбор, систематизацию, хранение, уточнение и т.п. Оператор персональных данных – тот, кто их обрабатывает, точнее — организация или лицо, которые определяют цели и способы обработки. Это не рядовой сотрудник, который просто заносит номера телефонов в таблицу.

Статус оператора персональных данных предполагает ряд обязанностей, их нарушение влечет за собой санкции. Безусловно, оператор должен обеспечивать безопасное хранение персональных данных, он не имеет права передавать их третьим лицам без согласия субъекта, должен обезличивать или уничтожать данные, когда цель их обработки достигнута и т.п.

Кроме того, оператор должен опубликовать в открытом доступе свою политику – принципы работы с персональными данными. И назначить лицо, ответственное за соблюдение режима обработки.

Составьте политику работы с персональными данными «на все случаи жизни»

В политике, опубликованной на сайте, нужно перечислить, какие именно персональные данные обрабатывает организация, как она это делает, с какой целью, где хранит, кому передает в процессе работы.

Документ должен быть очень подробным и учитывать все возможные ситуации. «Все, что сможете придумать, лучше написать. Если, например, вы пока не планируете трансграничную передачу данных, все равно лучше ее упомянуть, вдруг потом пригодится», — советует Ксения Королева.

В таком подходе имеется недостаток. У сотрудников Роскомнадзора – это основной орган, регулирующий работу с персональными данными — может возникнуть вопрос, зачем организации нужен такой «карт-бланш». На него, по словам юриста, можно честно ответить: это на будущее.

Главное – каждый пункт документа должен быть логичным и основываться на конкретном опыте работы. Тогда и устранять недоразумения с Роскомнадзором будет проще.

Продуманная политика помогает предотвратить многие претензии. Например, на практике бывает довольно сложно получить согласие на обработку персональных данных до того, как эта обработка уже началась. Но можно на всякий случай прописать в своей политике, что, обращаясь в организацию, человек фактически соглашается с определенной обработкой своих персональных данных.

Заготовьте кипу письменных согласий

Согласие гражданина на обработку его персональных данных – главное условие работы с этой информацией.

Закон предусматривает ряд обстоятельств, когда согласие не требуется. Но его формулировки слишком широки, а правоприменительная практика невелика, поэтому юристы советуют НКО всегда стараться запастись согласием на обработку персональных данных — и волонтеров, и благополучателей, и даже сотрудников.

Пример – мероприятие с участием волонтеров, чьи данные затем будут где-то храниться. Лучше перед началом этого события распечатать бланки согласия и каждому дать подписать такой документ, советуют юристы.

В крайнем случае, если регистрация на мероприятие происходит через сайт, можно разместить там специальную форму, чтобы можно было согласиться на обработку персональных данных, поставив «галочку».

Предусмотрите в согласии все варианты

«Галочка» в веб-форме – это вариант простого согласия. Для обработки так называемых специальных категорий персональных данных, а также биометрических персональных данных требуется согласие на бумаге, собственноручно подписанное, или электронное, заверенное электронной подписью.

Специальные категории персональных данных – это сведения, касающиеся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Например, если НКО проводит занятия с детьми-инвалидами и составляет список класса, где упоминается инвалидность, значит, она обрабатывает специальные персональные данные. Ей требуется развернутое письменное согласие на эти действия.

На практике бывает сложно отличить специальные персональные данные от простых, поэтому во всех случаях лучше брать полноценное согласие, считает Ксения Королева.

Причем это согласие, как и политика, должно охватывать все возможные варианты действий с персональными данными. Например, если НКО собирается делиться информацией о просителях с врачами или юристами, об этом обязательно нужно упомянуть в тексте согласия.

Если все «третьи лица», которые получат доступ к данным, заранее известны, можно их сразу же и перечислить (иногда для этого приходится написать приложение к согласию). Если нет – нужно искать подходящую широкую формулировку. Вплоть до «любые третьи лица».

При передаче данных за рубеж помните о двух правилах

ИТАР ТАСС

Если данные будут передаваться за рубеж, в согласии должна быть упомянута конкретная страна. Это не требуется лишь в двух случаях: когда речь идет о государстве, подписавшем Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных; и когда государство входит в перечень Роскомнадзора (к слову, там есть Израиль, но нет США).

Кроме того, существует закон о локализации персональных данных. Он предписывает все действия по обработке персональных данных гражданина РФ производить на территории России. «Операторы должны обеспечить, чтобы все действия по обработке персональных данных сначала осуществлялись на территории России, и только потом дублировались в базе данных за рубежом», — поясняет Ксения Королева.

Закон легко нарушить, даже не подозревая об этом. Например, зарубежная клиника обновила персональные данные лица, с которым работает благотворительный фонд, а фонду об этом не сообщила.

«Мы советуем при передаче персональных данных за рубеж дописать в конце просьбу учитывать российское законодательство, и прежде чем вносить изменения, сообщить о них российской организации, чтобы она сделала это первой», — говорит юрист. Не факт, что клиника учтет просьбу, но у НКО будет хоть какое-то оправдание.

Получите согласие, прежде чем использовать фото

Фотографии, позволяющие установить личность человека, относятся к биометрическим данным. Для их использования (например, для публикации на сайте) требуется письменное согласие.

Но если фото не годится для идентификации гражданина – это не биометрические данные. Например, ксерокопии документов с фотографией, фото в истории болезни, фотографии в профиле в соцсети. Или, если снимали помещение, а человек оказался в кадре случайно и изображение нечеткое.

В законе названы случаи, когда получать согласие на использование изображений не требуется. Это съемка на публичных мероприятиях, использование в государственных или общественных интересах, позирование за плату.

Но ссылаться на эти исключения бывает нелегко. «Митинг на площади – публичное мероприятие. А если вход, допустим, на круглый стол, происходит по приглашениям, то здесь могут возникнуть вопросы», — говорит Александра Самсонова, помощник юриста в Latham & Watkins, специалист по российскому праву.

Оздоровительные или образовательные мероприятия для детей-инвалидов, безусловно, проводятся в интересах общества. «С другой стороны, есть личные интересы каждого ребенка, которому вы помогаете, — отмечает Ксения Королева. — Роскомнадзор может сказать: а вот эта мама не хотела публикации фото».

Если письменного согласия субъекта нет, его действия – тоже аргумент

РИА Новости

К НКО часто обращаются просители со всей России. Допустим, в фонд пишет житель Алтайского края: помогите моему ребенку пройти реабилитацию. В ответ сотрудники НКО должны написать: мы рассмотрим вашу просьбу, после того как вы пришлете нам собственноручно заполненное согласие на обработку персональных данных.

Если НКО этого не сделала, во избежание штрафов и других санкций на случай почтовой переписки Ксения Королева предлагает такой аргумент для проверяющих органов: отправку письма с просьбой о помощи можно считать конклюдентным действием (поведение лица, показывающее, что он согласен вступить в определенные правоотношения).

«Лицо направило вам письмо с определенной информацией и с определенным указанием, что с этой информацией делать. Это не стопроцентный, но все же аргумент», — объясняет она.

Переложите часть ответственности за безопасность на субъекта данных

Обеспечить безопасность чужих персональных данных просто: их нужно хранить так же, как вы храните конфиденциальную информацию о себе, говорят специалисты Latham & Watkins.

Например, бумажные документы с персональными данными должны находиться в шкафу, запертом на ключ, чтобы доступ к ним был только у ответственного лица.

Если персональные данные хранятся в электронной базе, могут возникать различные сомнения: надежно ли облачное хранилище, в России ли находится сервер и т.п.

В этом случае Ксения Королева советует указать в согласии, что персональные данные будут передаваться третьим лицам, предоставляющим средства IT для их хранения.

Таким образом часть ответственности за сохранность данных будет переложена на человека, подписывающего согласие, говорит она.

Обязательно уведомите Роскомнадзор

ТАСС/Юрий Смитюк

До начала сбора и обработки персональных данных оператор обязан уведомить Роскомнадзор о своем намерении. Но в этом правиле есть исключения. Например, уведомление не нужно, если речь идет об обработке данных сотрудников по Трудовому кодексу, если субъект данных сам сделал их общедоступными, если при обработке не используются средства автоматизации.

Доказать, что какое-то из этих исключений относится к конкретной НКО, не так легко, как кажется. Например, публикация данных в соцсетях далеко не всегда рассматривается как «общедоступная».

Поэтому юристы советуют в любом случае уведомлять Роскомнадзор. Но на практике клиенты стараются этого не делать, так как не хотят привлекать внимание, отмечает Ксения Королева.

Роскомнадзор проводит в первую очередь документарную проверку того, как организации работают с персональными данными. Если у него возникают сомнения, что персональные данные хранятся правильно и безопасно, проверку продолжают уже правоохранительные органы.

Зарегистрируйте сайт на того, кому он принадлежит на самом деле

Штрафы для нарушителей закона «О защите персональных данных» колеблются в промежутке от 15000 до 75000 рублей. Самая серьезная мера – блокировка сайта. Она не происходит за один день, сначала владелец получает предупреждения от Роскомнадзора. Однако, если сайт зарегистрирован не на человека, которому принадлежит на самом деле, санкция действительно может оказаться неожиданной для НКО.

Письменное согласие на обработку персональных данных должно включать:

— фамилию, имя, отчество, адрес, паспортные данные субъекта персональных данных и его законного представителя (если таковой имеется);— сведения об операторе персональных данных, которому дается это согласие;— цель обработки;— перечень персональных данных, на обработку которых дается согласие;— перечень действий с персональными данными, на совершение которых дается согласие;— сведения о третьих лицах, которым будут передаваться данные или поручаться их обработка;— срок, в течение которого действует согласие, а также способ его отзыва;

— подпись субъекта персональных данных.

Источник: https://www.miloserdie.ru/article/nko-personalnye-dannye-10-sovetov-yurista/

Закон о хранении персональных данных простыми словами. Защита персональных данных в России

Хранение персональных данных за рубежом с точки зрения российского права (Иванов А.А.)

Персональные данные – это сведения о том или ином физическом лице. Эту информацию пользователи вводят на различных интернет-серверах ежедневно. В 2015 году подписан закон о хранении персональных данных. Согласно этому акту информация о гражданах РФ может храниться лишь на территории России. Что это значит? И чем грозит несоблюдение этого закона?

Предыстория

Еще в далеком 2006 году был принят ФЗ о персональных данных, призванный регулировать специфические отношения физических лиц с так называемыми операторами. Целью его было обеспечить защиту пользователей интернета от нежелаемой обработки и передачи личных данных третьему лицу.

Оператор – это понятие довольно широкое. Им может быть и государственный орган, и юридическое лицо, и физическое. Оператор – это тот, кто в каких-либо целях вносит личные данные о человеке в свою базу.

Он, разумеется, не имеет права разглашать данные и использовать их в целях, которые неизвестны тому, кто их предоставил. Такие действия неэтичны, а последние десять лет они являются также и незаконными.

С 1 сентября 2015 года, после того как был подписан закон о хранении персональных данных на территории России, оператор больше не вправе пользоваться в своей работе иностранными серверами. Для того чтобы понять, кого в первую очередь касаются подобные изменения и какое они влияние оказывают, следует разобраться с основными понятиями.

Персональные данные

Существует ошибочное мнение, что это понятие означает информацию, которая содержится в паспорте и других важных документах. В действительности персональными данными являются различные сведения о человеке. Это не обязательно может быть номер или серия паспорта. Такими данными являются имя, фамилия, дата рождения, адрес электронной почты.

Таким образом, если владелец бизнеса создает корпоративный сайт, содержащий форму для регистрации посетителей, он становится оператором персональных данных. Пользоваться он полученной информацией может лишь для осуществления той деятельности, о которой известно тем, кто ее предоставил.

Разглашение персональных данных предполагает административную или уголовную ответственность, в зависимости от тяжести преступления.

Конфиденциальность информации

Распространять данные о человеке оператор может лишь с его согласия. Подобные действия неправомерны. Неразглашение персональных данных – важное условие обработки информации. Основные ее принципы содержатся во второй главе закона. Распространять оператор имеет право только те сведения, которые содержатся в общедоступных источниках, например – адресных и телефонных книгах.

Персональные данные можно разделить на общие, биометрические и специальные. Общие содержатся в паспорте, дипломе, военном билете, трудовой книжке. К специальным относится информация о расовой, религиозной, политической принадлежности.

Биометрические данные – это биологические и физиологические особенности человека. К ним же и относятся фото и видеозаписи. Таким образом, передачу подобных файлов третьему лицу можно идентифицировать как разглашение личных данных. Исключением являются групповые фотографии.

Обработка

В законодательных актах встречаются словосочетания, смысл которых может быть не всегда ясен. Одно из них – обработка персональных данных.

Под этим термином понимают действия, которые оператор производит над полученной информацией, а именно персональными данными. Он их накапливает, хранит, уточняет, использует, обезличивает, блокирует и уничтожает. На все это оператор имеет право.

Преступает закон он лишь тогда, когда происходит разглашение персональных данных, то есть передача личной информации третьему лицу.

С 1 сентября 2015 г. введены существенные ограничения в этой сфере деятельности. Закон о хранении персональных данных не позволяет, например, владельцу интернет-сайта хранить полученные данные на иностранных серверах. Даже если он пользуется ими исключительно в благих целях.

Обезличивание

Это действие производится для того, чтобы скрыть принадлежность персональных данных того или иного человека (в законодательном акте он именуется субъектом). Это своего рода защита персональных данных. Способов обезличивания существует несколько:

  • замена части информации;
  • замена цифровых данных:
  • сокращение сведений;
  • распределение сведений на разных серверах.

Субъект

Человек вправе получить доступ к своим персональным данным. Права субъекта персональных данных предполагают возможность физического лица, чьи данные хранятся в базе, требовать от оператора, чтобы он их уточнил, изменил, при необходимости уничтожил. Каждый человек вправе требовать предоставление сведений в том случае, если они не содержат данных других субъектов.

Другие понятия

Все данные о человеке хранятся в базах. С помощью определенных средств они обрабатываются и используются оператором. Эта технология называется информационной системой персональных данных.

Ею сегодня пользуются все, начиная от мелких коммерсантов, заканчивая государственными исполнительными органами. На них же и возложена защита персональных данных.

Контроль соблюдения требований, предусмотренных законодательством, осуществляют Роскомнадзор, ФСБ и ФСТЭК.

Трансграничная передача данных – это передача информации физическому или юридическому лицу иностранного государства.

ФЗ о персональных данных обеспечивает неприкосновенность физического лица, его семейной и личной жизни. Новый закон преследует те же цели, однако создает определенные неудобства для многих операторов.

Хранение данных на территории России

В своей деятельности каждый оператор должен теперь использовать только те базы данных, которые хранятся на территории России. Для чего созданы такие ограничения? Закон, о котором говорилось выше, затрагивает прежде всего безопасность персональных данных. Но ничего не говорится о сфере его действия.

Все области деятельности на территории России должны осуществляться с соблюдением Законодательства РФ. Однако во Всемирной сети любые действия имеют трансграничный и виртуальный характер, что осложняет контроль над работой операторов.

В то же время то, что интернет-сайт доступен жителям России, вовсе не говорит, что на него должно распространяться российское законодательство. Хранение баз данных на российских серверах облегчает контроль над деятельностью операторов.

Закон о хранении персональных данных предусматривает обработку персональных данных лишь на российских интернет-ресурсах. Но здесь существуют и исключения. Они касаются иностранных серверов, направленных на территорию РФ. На такую направленность может указывать русскоязычность сайта или доменное имя.

Однако, поскольку русский язык довольно распространен и за пределами РФ, дополнительно рассматриваются следующие элементы: возможность расчета в российских рублях, заключение договоров на территории РФ. Таким образом, иностранные предприниматели включают в свою бизнес-стратегию российских потребителей.

А действие закона о персональных данных при этом направлено и на их деятельность.

Иностранные серверы

Итак, хранение персональных данных закон теперь допускает лишь на российских серверах. Базы данных, находящиеся за пределами РФ, обрабатываться не могут. Госдума приняла закон об этом запрете. Однако документ этот порождает многие проблемы. И прежде всего трудности касаются предпринимательской деятельности.

Специалисты в области электронных коммуникаций полагают, что это может привести к уходу глобальных интернет-ресурсов, а он, в свою очередь, к существенным экономическим потерям. В первую очередь речь идет о сайтах по бронированию авиабилетов.

Неудобства для предпринимателей

Специалисты полагают, что новый закон негативно отразится на деятельности многих российских компаний. Каждый его нарушитель с 1 сентября 2016 года попадает в черный список Роскомнадзора.

Этот перечень сегодня состоит из пиратских сайтов и сайтов, пропагандирующих незаконную деятельность либо действия, не соответствующие морально-этическим нормам (насилие, суицид, детское порно, экстремизм). Запрет на эти ресурсы вполне понятен.

Но многие предприятия, которые осуществляют абсолютно законную деятельность, возможно, не смогут перенести свои базы на российские ресурсы к указанной дате.

Еще одна цель этого закона – обеспечение безопасности персональных данных от действий американских спецслужб.

Этим государственным структурам иностранные ресурсы обязаны предоставлять всю имеющуюся информацию.

Однако, обеспечив безопасность персональных данных от проникновения сотрудников зарубежных спецслужб, закон создает немало неудобств и проблем для мелких, средних и крупных российских предприятий.

Сервисы для хранения данных

Большинство компаний сегодня осуществляют продажи, прибегая к интернет-маркетингу. Один из основных инструментов – email-рассылка. Владельцы корпоративных сайтов пользуются онлайн-сервисами для информирования своих клиентов о различных мероприятиях, которые проводятся в их компаниях.

Эта схема настолько распространена, что без нее сегодня сложно представить развитие какого бы то ни было бизнеса. Существует все же заблуждение, что владельцы сайтов не являются операторами, поскольку они не хранят персональные данные. Это за них делают специальные онлайн-сервисы.

Но ведь обрабатывает и формирует данные о пользователях именно владелец сайта. А потому он является оператором и в ближайшее время обязан перенести всю имеющуюся у него информацию о пользователях интернета на российские ресурсы.

Сделать это непросто, и подобные действия, прежде всего, сопряжены с немалыми финансовыми затратами.

Обратная сила закона

Устоявшиеся правовые принципы предполагают, что уже имеющиеся у операторов базы персональных данных, созданные до даты подписания закона, не являются нарушением. Однако использование персональных данных предполагает их обновление и изменение. Закон же гласит, что обрабатывать эту информацию оператор теперь вправе лишь на российском сервере.

Сбор информации

Оператор обязан осуществить локализацию всех данных на российском сервере. И эти действия, согласно формулировке в законе, тесно связаны со сбором персональных данных. Этот термин используется для обозначения целенаправленного получения информации о физических лицах.

Ее, как правило, предоставляет сам пользователь интернета. Но нередко случается, что данные попадают случайно. Например, в результате получения различных писем. Сбором информации также не являются данные об одном юридическом лице, полученные другой организацией.

Такая информация является контактной, и ее обработка необходима для осуществления совместной деятельности.

Передача данных за пределы РФ

Закон не затрагивает трансграничную передачу данных. Положения, которые были сформулированы еще в 2006 году, не утратили своей силы.

А потому операторы, как и прежде, вправе передавать данные, внесенные в базу, созданную на территории РФ, в другие, находящиеся за рубежом. Однако такие действия требуют соблюдения определенных норм.

Прежде всего, оператор должен убедиться в том, что страна, на территорию которой будет осуществляться передача данных, обладает адекватной защитой личной информации пользователей интернета.

Влияние нового закона на банковскую сферу

Многие покупки сегодня осуществляются через интернет. Покупатель часто оплачивает товары банковской картой. Сотовые компании и платежные системы находятся, как правило, на иностранных серверах. Российская платежная система пока отсутствует. И без нее соблюдать закон будет непросто.

Однако некоторые крупные компании все же хранят информацию на территории РФ. А обмениваясь данными с иностранными партнерами, они прибегают к обезличиванию.

Дата-центр

В настоящий момент в Московской области строится новый дата-центр, который станет самым крупным в России. В этот проект инвестируют средства крупные компании, поскольку они не могут недооценивать важность хранения персональных данных. Однако эти работы сопряжены с некоторыми трудностями. Построить быстро дата-центр невозможно.

Специалисты полагают, что новый закон необходимо дорабатывать. Иначе он не сможет действовать в полную силу. Главным его недостатком является очередной запрет, от которого особенно может пострадать малый и средний бизнес. А эта область сегодня и без того находится в довольно плачевном состоянии. Так или иначе, у нового закона немало противников, но есть и те, кому он не страшен.

Источник: http://fb.ru/article/228449/zakon-o-hranenii-personalnyih-dannyih-prostyimi-slovami-zaschita-personalnyih-dannyih-v-rossii

Требования закона о персональных данных | Ответственность за нарушение | Awara

Хранение персональных данных за рубежом с точки зрения российского права (Иванов А.А.)

Согласно изменениям в федеральный закон «О персональных данных», вступающим в силу 1 сентября 2015, компании, осуществляющие обработку персональных данных, должны обрабатывать персональные данные российских граждан с использованием баз данных, размещенных на территории России. Новые требования законодательства в первую очередь скажутся на деятельности IT компаний и их клиентов, использующих облачные сервисы для хранения информации.

Ниже мы ответим на самые частые вопросы по данной теме.

1. Что является персональными данными?

Персональными данными является любая информация о физическом лице, в том числе:

  1. Адрес электронной почты, содержащий в себе фамилию и/или название компании;
  2. Номер банковской карты, а также, в определенных случаях, код CVC;
  3. В некоторых случаях, номер мобильного телефона (так называемые «конфиденциальные персональные данные»)

Например:

Электронный адрес: ivan.ivanov@pochta.com – является персональными данными
Электронный адрес: ivan@pochta.com – не является персональными данными.

Необходимо отметить, что даже в случае, если информация, относящаяся к субъекту персональных данных, не позволяет идентифицировать физическое лицо, при определенных обстоятельствах такая информация может являться персональными данными.

В настоящий момент Роскомнадзор разрабатывает четкие критерии определения «персональные данные»1.

2. Какие компании попадают под действие новых требований закона?

  1. Компании, зарегистрированные в России;
  2. Иностранные компании, имеющие представительства и филиалы в России;
  3. Иностранные компании, деятельность которых направлена на территорию России и и/или включает в себя обработку персональных данных российских граждан.

Например:

Если гражданин России, работающий в российском представительстве иностранной компании, может просматривать и загружать информацию о себе на общий внутренний портал иностранной компании, и сервер, на котором обрабатывается и хранится данная информация, располагается за пределами России, то такая компания может быть признана нарушающей требования закона о локализации персональных данных на территории России.

3. Распространяются ли требования закона на «обезличенные» персональные данные?

Если компания передает зашифрованные персональные данные за рубеж, и при этом принимающий сервер ни при каких условиях не может осуществить дешифрацию полученных персональных данных, то такие действия компании не могут быть признаны нарушением требований закона о локализации персональных данных в России, поскольку в данном случае отсутствует факт передачи персональных данных за пределы России. Иными словами, за рубеж осуществляется передача не персональных данных, а зашифрованного кода.

Действия в части IT

  1. Провести IT-аудит:
    • Определить, где происходит сбор, обработка, и хранение персональной информации, и кто отвечает за эти процессы в компании;
    • Используя DLP-системы, определить, как организовано перемещение данных в компании;
    • Сравнить, какой объем информации находится на внутренних серверах компании, а какой — на серверах третьей стороны, поскольку часть данных может храниться у сторонней организации;
    • Проверить, насколько четко организована процедура резервного копирования и восстановления, и убедиться, что вам точно известно место хранения резервных копий;
    • Установить, какое программное обеспечение используется для сбора, обработки, и хранения персональных данных.
  2. Определить, какая информация, использующаяся в работе компании, попадает (или может попадать) под категорию персональных данных. Особенно это касается данных, задействованных в работе кадрового и расчетного отделов, отдела IT-безопасности, бухгалтерии, данных из CRM-систем и клиентских соглашений;
  3. Проанализировать IT-инфраструктуру компании с целью определить возможные «центры» обработки персональных данных за пределами России;
  4. Оценить риски;
  5. Основываясь на полученных результатах, разработать стратегию и план действий, а также определить размер бюджета для возможных преобразований.

Юридические действия

Для локализации персональных данных российских граждан на территории России, необходимо:

  1. Провести юридический аудит обрабатываемых компанией сведений о субъектах персональных данных для того, что бы определить, что из них относится к персональным данным в соответствии с применимым законодательством;
  2. Привести внутреннюю документацию компании в соответствие с новыми требованиями к процедуре обработки и хранения персональных данных, в частности:
    • политику о персональных данных компании или иной документ, оформляющий порядок обработки персональных данных;
    • согласия работников и иных субъектов персональных данных на обработку их персональных данных;
    • иные документы, регламентирующие процедуры обработки персональных данных в компании.
  3. Ознакомить сотрудников с новой версией документации по работе с персональными данными, и получить согласия работников на обработку и трансграничную передачу их персональных данных в соответствии с требованиями законодательства.
  4. Уведомить контролирующие органы о местонахождении баз данных, используемых для работы с персональными данными российских граждан.

5. Ответственность в случае нарушения закона

В случае нарушения закона для юридических лиц и сотрудников компании (например, генеральный директор или ответственный за работу с персональными данными) предусмотрен административный штраф в размере от 5 000 до 10 000 рублей.

В случае, если в руководящий состав компании входят иностранные граждане, обратите, пожалуйста, внимание на то, что иностранным гражданам, которые привлекались к административной ответственности 2 или более раза в течение 3х лет (вне зависимости от оснований привлечения), может быть отказано во въезде на территорию России.

На данный момент Госдумой принят в первом чтении законопроект об увеличении размера штрафа до 500 000 рублей за нарушение законодательства о персональных данных и увеличении штрафа за незаконную обработку персональных данных до 300 000 рублей.

Изменения в Закон о персональных данных предусматривают также возможность Роскомнадзора ограничить доступ к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных с использованием сети Интернет. Процедура ограничения доступа длительная и многоступенчатая.

Вместе с тем, поскольку закон не ограничивает возможность применения блокировки информации только для определенных категорий операторов персональных данных или ресурсов обработки персональных данных, с юридической точки зрения, существует возможность применить такую процедуру в том числе и ко внутренним системам хранения и обработки персональных данных работников компании (например, Intranet).

C уважением,

Антон Кабаков
Партнёр, Awara

Александр Ермаков
Партнёр, Awara IT Solutions

Контакты

  • +7 495 225 30 38 Москва
  • +7 812 244 75 49 Санкт-Петербург
  • +7 4822 63 00 62 Тверь
  1. http://pd.rkn.gov.ru/advisory-council/activity/subject1/newshtm

Источник: https://www.awaragroup.com/ru/blog/localization-of-personal-data-in-russia/

Хранение персональных данных на зарубежном хостинге: если можно, то как? ·

Хранение персональных данных за рубежом с точки зрения российского права (Иванов А.А.)

После изменения российского законодательства, регулирующего хранение и обработку персональных данных, следом за введением принципа локализации баз персональных данных и блокировкой LinkedIn среди ИТ-специалистов все чаще возникают вопросы о том, какую информацию можно держать на зарубежных серверах.

Поспешим успокоить наших свободолюбивых читателей: хранить персональные данные за пределами России все еще разрешено, но с оговорками.

И если вы хотите соблюдать российское законодательство и, вместе с тем, обезопасить данные от возможных административных атак недоброжелателей — этот пост для вас.

Мы сформулировали основные «правила игры», в соответствии с которыми сегодня осуществляется хранение и трансфер персональных данных граждан Российской Федерации за границу.

Персонализируй это: что подразумевается под термином «персональные данные»

Понять, чего именно требует российское законодательство, нелегко.

Минкомсвязи, правда, подготовило памятку по основным вопросам обработки персональных данных, но ясной и доходчивой ее не назовешь (обращаем ваше внимание, что по данной ссылке любой желающий может задать уточняющий вопрос экспертам министерства, не стоит пренебрегать этой возможностью). Начнем хотя бы с вопроса о том, что такое «персональные данные». Как люди культурные мы должны сперва определить предмет разговора.

В российском законе о персональных данных сказано следующее:

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»

Это калька со статьи 2 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. Но, в отличие от соответствующей бумаги, данная формулировка не прозрачна. И столь же не современна, как калька. О какой именно информации идет речь?

Минкомсвязи и Роскомнадзор избегают уточнять понятие «персональные данные», ссылаясь на отсутствие полномочий. Позиция ведомственных теоретиков от юриспруденции в этом случае сводится к известной шутке: «два юриста — три мнения». Так что желающим разобраться в вопросе на практике приходится самостоятельно изучать юридическую практику и принимать решения на свой страх и риск.

Первое, что бросается в глаза, — закон «О персональных данных» защищает только физических лиц. При этом информация о них (с точки зрения закона) становится «персональными данными» только в случае, если ее можно с уверенностью соотнести с конкретным человеком.

Как много и какие именно сведения необходимо собрать, чтобы они стали персональными данными, вопрос спорный. В странах Евросоюза персональными данными может стать практически любая информация, если она позволяет как-либо выделить человека, например, из массы пользователей сайта.

Хорошей аналогией тут будет детективная работа. Как только информации становится достаточно, чтобы указать на преступника, она превращается в персональные данные, даже если сыщик не знает настоящего имени того высокого джентльмена, что единственный из подозреваемых курит трубку.

Показателен в этом плане и вступающий в силу с 25 мая 2018 года регламент N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС».
В нем под термином «персональные данные» также понимается любая информация, относящаяся к идентифицированному физическому лицу, но этот термин подробно раскрывается:

«Идентифицируемое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица».

Таким образом, в Европе в качестве персональных могут рассматриваться и большие данные, если их достаточно, чтобы выделить человека из толпы.

Отметим, что Евгений Черешнев, руководитель компании Biolink Technologies, ввел в отечественный оборот термин «Цифровая ДНК», которым описывает совокупность «больших данных», позволяющую безошибочно определить данного конкретного пользователя. Я, как исследователь новых медиа, использую для того же явления термин «цифровой след».

Российская Федерация разделяет с европейскими странами базовое определение персональных данных, но подход к составлению их перечня в стране долгое время был формальным и от того более узким.

Персональными данными признавались фамилия, имя, отчество и номер телефона, дата рождения, дата регистрации, номер паспорта, ИНН, данные трудового договора в различных комбинациях, но не по отдельности.

Кроме того, персональными данными признаются специфические сведения вроде информации об отпечатках пальцев, о геноме человека или о его здоровье.

Но это не все.

Олег Ефимов, управляющий партнер правового партнерства «Ефимов и партнеры«, к которому мы обратились за консультацией по практической стороне вопроса, уточняет, что ранее суды этим и ограничивались, но с изменением позиции Роскомнадзора произошел переход к расширительному толкованию термина. Так, например, Роскомнадзор однозначно расценивает в качестве персональных данных сочетание имени и адреса электронной почты.

В обновленном европейском законодательстве предусмотрены также ограничения на обработку персональных данных, «раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, и обработку данных, касающихся состояния здоровья или половой жизни». Для операций с такой информацией необходимо получить отдельное согласие субъекта персональных данных.

Похожая норма закреплена и в статье 10 закона Российской Федерации «О персональных данных».

«Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается».

Эти данные можно обрабатывать с письменного согласия лица, которому они принадлежат, а также если они являются общедоступными или обезличенными.

Передача за рубеж: что ограничено, то не запрещено

Россия входит в число стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 года, — и значит, может обмениваться данными с другими участниками конвенции без дополнительных формальностей.
Передача данных в страну, не охваченную конвенцией, требует согласия их владельца. Его можно получить в письменном виде или запросить через форму на сайте.

Дополнительно в юридическом поле появляется термин трансграничной передачи данных.

«Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу».

Однако это определение может поменяться.

Наш эксперт Олег Ефимов подсказывает, что на данный момент существует проект Федерального закона, где эта формулировка заметно упрощается: «трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства». Т.е. изменилась привязка с местоположения лица, которому принадлежат сервера, на географическое положение сервера. Сейчас этот проект проходит процедуру оценки регулирующего воздействия.

Сохранность данных

Согласно разъяснениям Минкомсвязи, при трансграничной передаче персональных данных ответственность за их сохранность несет принимающая сторона.

Так, например, два дата-центра, с которыми мы плотно сотрудничаем, находятся в Чехии, подписавшей Конвенцию 1981 года, и принадлежат чешскому юрлицу.

И в нашем случае охрана информации будет осуществляться по чешским законам, обеспечивающим более надежную защиту от потенциальных рисков, включая, например, риски изъятия оборудования.

При этом передавать персональные данные можно без дополнительного согласия их обладателей.

Но юристы тут добавляют, что в соответствии со статьей 22 Федерального закона «О персональных данных» оператор персональных данных обязан уведомить Роскомнадзор о наличии трансграничной передачи персональных данных, а их субъект имеет право получить от оператора информацию об осуществленной или о предполагаемой трансграничной передаче данных.

Что подразумевается под локализацией

Вернемся к законам. В чем же заключается требование о локализации баз с персональными данными на территории Российской Федерации?

Прежде чем ответить на этот вопрос, уточним, что законодательно данными российских граждан признается вся информация, собранная на территории Российской Федерации, если оператор персональных данных специально не уточнял вопрос гражданства.

Оператор «обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».

Олег Ефимов сразу добавляет, что под «обработкой персональных данных» также понимают сбор, использование, обезличивание, блокирование, удаление, уничтожение персональных данных, на которые требования о локализации баз данных не распространяются.

При этом для целей профессиональных журналистов, СМИ, научной, литературной или иной творческой деятельности Федеральный закон «О персональных данных» предусматривает исключение из правила.

В остальных случаях оператор обязуется создавать базы, содержащие персональные данные российских граждан, и совершать с ними различные операции на территории России.

Изображение: NewWay.biz

Эту правовую норму придется учитывать при проектировании ИТ-инфраструктуры компании, но она не запрещает передавать базы персональных данных на сервера в других странах.

Источник: https://efimovlaw.ru/xranenie-personalnyx-dannyx-na-zarubezhnom-xostinge-esli-mozhno-to-kak/

Что относится к персональным данным с точки зрения российского регулятора (персональные данные в облаке, часть 1)

Хранение персональных данных за рубежом с точки зрения российского права (Иванов А.А.)

Что такое персональные данные (ПДн) и как этот термин трактуется с позиции российского законодательства? В этой статье мы уделили внимание тонкостям определений и подготовили развернутый пост-ответ, который поможет во многом разобраться.

Что такое ПДн

Почему так важно определиться с понятиями? Дело в том, что, если этого не сделать сейчас, в дальнейшем будет трудно о чем-либо договариваться. Важно понимать, что относится к персональным данным и что необходимо защищать при размещении их в облаке.

Итак, законодательство РФ понимает под персональными данными (ПДн) «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных».

Обратите внимание, что это определение довольно широкое и здесь не сказано про идентификацию конкретного лица.

Хотя на портале персональных данных, официальном сайте Роскомнадзора, вопрос подобного характера уже задавался и звучал так: каков минимальный набор персональных данных, достаточный для идентификации человека? На что Роскомнадзор ответил: «Указанный минимальный перечень действующим законодательством не установлен.

Более того, по результатам мониторинга законодательства, проведенного Роскомнадзором, было установлено, что 75 международных правовых актов, 13 кодексов РФ, более 100 федеральных законов и 250 актов Правительства Российской Федерации устанавливают различные перечни запрашиваемых персональных данных».

На этом также сделан акцент в научно-практическом комментарии к закону «О персональных данных». В документе поясняется, что «при буквальном трактовании рассматриваемой нормы к понятию «персональные данные» можно отнести широкий круг информации, в том числе выходящий за рамки разумно ожидаемого в данном контексте».

То есть здесь нет указания на связь между информацией, прямой или косвенной определенностью или «определяемостью» физического лица. Отсюда напрашивается вывод, что на сегодняшний день отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные относятся к персональным, а в каких — нет.

Как быть, если отсутствует однозначность определений

В таком случае следует обратиться к научно-практическому комментарию Роскомнадзора, который рекомендует использовать следующий подход:

Если совокупность данных необходима и достаточна для идентификации лица, эти данные следует считать персональными, даже если они не содержат никаких документов, удостоверяющих личность. Если же без дополнительной информации установить конкретное лицо, к которому относятся персональные данные, невозможно, их нельзя считать персональными данными.

Для лучшего понимания ситуации рассмотрим пример:

Иванов Иван Иванович — сочетание этих трех слов не является персональными данными, ведь если мы не знаем человека и не имеем о нем дополнительных сведений, невозможно определить, что это за личность. Если же говорить об Иванове Иване Ивановиче, менеджере по развитию в группе компаний «ИТ-ГРАД» — эти данные относятся к ПДн, поскольку явно определяют сотрудника, о котором идет речь.

Зачем Роскомнадзор вводит понятие “идентификатора”

И снова обратимся к научно-практическому комментарию Роскомнадзора: здесь вводится понятие идентификатора, или тех сведений, которые позволяют однозначно определить физическое лицо. Такой идентификатор присваивается каждому гражданину, носит название государственного идентификатора и представлен следующим списком:

идентификатора, или тех сведений, которые позволяют однозначно определить физическое лицо. Такой идентификатор присваивается каждому гражданину, носит название государственного идентификатора и представлен следующим списком:

  • Номер и серия паспорта.
  • Страховой номер индивидуального лицевого счета (СНИЛС).

  • Идентификационный номер налогоплательщика (ИНН).
  • Биометрические данные.
  • Банковский счет, номер банковской карты.

Кроме того, Роскомнадзор выделяет в отдельную категорию данные, которые рассматриваются как персональные, несмотря на то что в их отношении остается некоторый аспект вероятностного совпадения.

К ним относятся:

  • Фамилия, имя, отчество, дата рождения, место прописки.
  • Фамилия, имя, отчество, дата рождения, должность.
  • Фамилия, имя, отчество (возможно — фамилия и инициалы) плюс любая информация, которая однозначно выделяет среди прочих лиц для идентификации его как конкретной личности.

При этом фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения не могут в отдельности друг от друга рассматриваться как персональные данные.

Хотя в этом вопросе происходят определенные трансформации: в одном из интервью Роскомнадзора говорилось, что фамилия с электронным адресом (а иногда и электронный адрес) могут рассматриваться как персональные данные, если корпоративные правила компании предусматривают формирование электронной почты в виде сочетания полного имени, фамилии сотрудника и названия компании (например, ivanov.ivan@it-grad.ru). Такие данные с большой вероятностью позволяют определить конкретного человека. Следовательно, персональные данные считаются таковыми, когда имеются какие-либо признаки или идентификаторы, позволяющие установить конкретное лицо, к которому они относятся.

Файлы cookie и персональные данные

Также важно заметить, что за последние два года в отношении файлов cookie и следов, которые пользователь оставляет в Интернете, позиция Роскомнадзора радикально изменилась. На это стоит обратить внимание, поскольку появилась новая зона риска.

Теперь, по мнению регулятора, если используются файлы cookie и они передаются аналитическим службам типа Google Analytics, Webtrends, Яндекс.

Метрика, эти данные в совокупности после их обработки позволяют определить уникального пользователя сайта, сформировать сведения о его предпочтениях и поведении на сайте, что говорит об обработке персональных данных. Следовательно, необходимо получить согласие пользователя на обработку таких ПДн.

Теперь обратим внимание на то, что Google Analytics и Webtrends работают из американского облака, а США — это страна, не обеспечивающая адекватную защиту прав субъектов персональных данных, а значит, используя такие инструменты, нужно получить согласие в письменной форме или в форме электронного документа, подписанного в соответствии с законодательством.

Решение проблемы

Напрашивается единственный выход: если на сайте используются файлы cookie, необходимо предусмотреть пользовательское соглашение или баннер, который позволяет подтвердить, что пользователь, пусть даже анонимный, согласен с обработкой ПДн.

Пользователь должен поставить галочку в соответствующей форме, выражая тем самым согласие. В таком случае необходимо сделать раздел в отношении обработки следов в Интернете или сформировать отдельную политику в отношении файлов cookie. Чтобы понимать, какие данные, содержащие файлы cookie, относятся к персональным данным гражданина по мнению Роскомнадзора, приведем выписку:

  • Операционная система.
  • Часовой пояс и время браузера в 24-часовом формате.
  • Язык браузера.
  • Глубина цвета и разрешение экрана.
  • Поддерживает ли браузер и/или включен JavaScript.
  • Версия JavaScript, поддерживаемая браузером.
  • Тип соединения, используемый для передачи данных.
  • Размер окна браузера.

Новый европейский регламент GDPR

Правила, устанавливаемые относительно персональных данных на уровне закона, — не только российская тенденция. Так, 25 мая этого года вступает в силу новый европейский регламент GDPR (General Data Protection Regulation) — большой, сложный и подробный закон.

И, в частности, 30 пункт преамбулы к закону обращает внимание на то, что к персональным данным относятся онлайн-идентификаторы, поскольку они ассоциируются с конкретными физическими лицами, к которым относятся адреса интернет-протоколов (IP-адреса), идентификаторы cookies и другие следы, радиочастотные метки, предпочтения по выбору сайта и так далее.

В соответствии с новым европейским регламентом (как и с трактовкой российского регулятора) онлайн-идентификаторы позволяют идентифицировать конкретного интернет-пользователя. В целом же стоит признать, что однозначно определить персональные данные в полном объеме мы не можем, поскольку многие аспекты зависят от соответствующего контекста и контента.

Остались вопросы?

Проходите по ссылке на запись вебинара «Облако в соответствии с законом «О персональных данных» и следите за новыми материалами первого блога о корпоративном IaaS.

В следующих статьях мы расскажем о принципах и условиях обработки ПДн с точки зрения российского законодательства, поговорим о видах согласия со стороны субъекта ПДн и уделим внимание зонам ответственности заказчика и облачного провайдера при размещении персональных данных в облаке.

(8 5,00 из 5)
Загрузка…

Источник: https://iaas-blog.it-grad.ru/bezopasnost/chto-otnositsya-k-personalnym-dannym-s-tochki-zreniya-rossijskogo-regulyatora-personalnye-dannye-v-oblake-chast-1/

Поделиться:
Нет комментариев

Добавить комментарий

Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.