Хранение персональных данных за пределами рф: Как оператору исполнить обязанность по размещению баз с персональными данными на территории РФ

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации

Как следует из положений частей 2 и 3 статьи 105 Воздушного кодекса Российской Федерации, договор воздушной перевозки пассажира, договор воздушной перевозки груза или договор воздушной перевозки почты удостоверяется соответственно билетом и багажной квитанцией в случае перевозки пассажиром багажа, грузовой накладной, почтовой накладной; билет, багажная квитанция, иные документы, используемые при оказании услуг по воздушной перевозке пассажиров, могут быть оформлены в электронном виде (электронный перевозочный документ) с размещением информации об условиях договора воздушной перевозки в автоматизированной информационной системе оформления воздушных перевозок. Таким образом, авиаперевозчикам в целях реализации вышеуказанных положений закона, требуется осуществление деятельности по обработке персональных данных пассажира в целях оформления документов, удостоверяющих заключение договора воздушной перевозки.

В соответствии со ст. 85.1 Воздушного кодекса Российской Федерации, в целях обеспечения авиационной безопасности перевозчики обеспечивают передачу персональных данных пассажиров воздушных судов в автоматизированные централизованные базы персональных данных о пассажирах в соответствии с законодательством Российской Федерации о транспортной безопасности и законодательством Российской Федерации в области персональных данных, при международных воздушных перевозках также в уполномоченные органы иностранных государств в соответствии с международными договорами Российской Федерации или законодательством иностранных государств вылета, назначения или транзита в объеме, предусмотренном законодательством Российской Федерации, если иное не установлено международными договорами Российской Федерации. При этом следует иметь ввиду, что Российская Федерация является стороной ряда международных конвенций в области авиаперевозок, в частности, Чикагской конвенции («Конвенция о международной гражданской авиации» заключена в Чикаго 7 декабря 1944 года, вступила в силу для Российской Федерации 16 августа 2005 года – «Собрание законодательства РФ», 30.10.2006, №44) , Варшавской конвенции («Конвенция об унификации некоторых правил, касающихся международных воздушных перевозок» заключена в Варшаве 12 октября 1929 года, вступила в силу для СССР 13 февраля 1933 года, Сборник действующих договоров, соглашений и конвенций, заключенных СССР с иностранными государствами, Вып. VIII, — М., 1935, с. 326 – 339.) и Гваладахарской конвенции («Конвенция, дополнительная к Варшавской конвенции, для унификации некоторых правил, касающихся международных воздушных перевозок, осуществляемых лицом, не являющимся перевозчиком по договору» заключена в Гвадалахаре 18 сентября 1961 года, вступила в силу для СССР 21 декабря 1983 года, «Ведомости ВС СССР», 15.02.1984, №7), которые также составляют неотъемлемую часть правового регулирования деятельности авиаперевозчиков и связанных с нею информационных процессов.

Исходя из вышеизложенного, требования ч. 5 ст. 18 ФЗ «О персональных данных» не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, так как они подпадают под исключение, предусмотренное п. 2 ч. 1 ст. 6 ФЗ «О персональных данных».

Требования ч. 5 ст. 18 ФЗ «О персональных данных» также не распространяются на деятельность лиц, действующих от имени авиаперевозчика (уполномоченный агент), деятельность которых предусмотрена пунктом 6 Общих правил воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Минтранса России №82 от 28 июня 2007 года «Об утверждении Федеральных авиационных правил «Общие правила воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей», а также иных лиц, в части обработки персональных данных граждан-пассажиров исключительно для целей бронирования, оформления и выдачи последним авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, в том числе в электронном виде при внутрироссийских и международных перелетах, в случае, если вышеуказанная деятельность данных лиц предусмотрена законодательством Российской Федерации или соответствующим международным договором, в том числе для целей обеспечения авиационной безопасности.

Частые вопросы

ВОПРОСЫ И ОТВЕТЫ

• Что в точности предполагается под термином “Персональные данные”?
• Подпадает ли идентификационный номер автомобиля под определение «персональные данные», если он содержит лишь техническую информацию (например, историю ремонта транспортного средства)?
• Как повлияет 242-ФЗ на право субъектов персональных данных самостоятельно распоряжаться данные о себе и в связи с этим на права операторов персональных данных?
• Какие существуют возможности для внесения поправок в закон / участия в разработке НПА на данном этапе?
• Любые разъяснения и официальная позиция (Роскомнадзора или Минкомсвязи. Насколько возможно взаимодействие с Верховным Судом для издания постановления Пленума?) – будут весьма полезны и позитивно восприняты отраслью, даже если они будут даны в виде вроде: “…те организации, которые предпринимают определенные усилия для выполнения требований закона к 1 сентября не будут подвергаться давлению; в то время как те организации, которые не идут на контакт и не предпринимают никаких усилий – будет первым в очереди на выяснение соответствия их действий требованиям закона…”
• Насколько мы понимаем 242-ФЗ не вводит обязанности операторов персональных данных по передаче данных только на территорию Российской Федерации. Закон запрещает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, не находящихся на территории Российской Федерации, только при сборе. Однако законом допускается передача персональных данных граждан Российской Федерации на территорию иностранного государства, и закон не запрещает их копирование и передачу. То есть, оператор персональных данных при хранении персональных данных в России впоследствии может передать их и за границу: 6.1) Правильно ли мы понимаем, что после осуществления сбора персональных данных граждан Российской Федерации с использованием баз данных на территории Российской Федерации оператор вправе передать такие данные за рубеж, руководствуясь положениями статьи 12 Федерального закона «О персональных данных»? 6.2) Принимая во внимание предыдущий вопрос, правильно ли мы понимаем, что возможно хранение вне территории Российской Федерации персональных данных граждан Российской Федерации, собранных с использованием баз данных на территории Российской Федерации и переданных впоследствии оператором в соответствии с положениями статьи 12 Федерального закона «О персональных данных»? 6.3) Правильно ли мы понимаем, с учетом предыдущих двух вопросов, что при условии сбора персональных данных граждан Российской Федерации с использованием баз данных на территории Российской Федерации и их последующей передачей на территорию иностранного государства, возможно параллельное (одновременное) функционирование двух баз данных – одной, находящейся на территории Российской Федерации (которая формируется и ведется (в том числе актуализируется/изменяется) с учетом положений 242-ФЗ), и другой, находящейся за пределами Российской Федерации (информация в которую передается после сбора персональных данных с использованием баз данных на территории Российской Федерации, выполненного с учетом положений 242-ФЗ)?
• Позволяет ли 242-ФЗ передавать/отражать персональные данные российских граждан после их сбора, обработки и хранения на территории РФ на иностранный сервер (стран-участниц Конвенции 108 и иных государств)? Если да, то на каких условиях?
• Каково соотношение понятий «передача», «копирование» и «хранение» персональных данных? Как можно хранить данные в России и при этом не запрещается трансграничная передача данных, ведь передача данных за границу предполагает их хранение не на территории России?
• В случае если персональные данные собраны и записаны в российскую базу данных, после чего переданы иностранной компании, будет ли иметь место нарушение каких-либо требований, если российская компания (осуществившая сбор) будет осуществлять доступ и использовать данные из иностранной базы данных? Например, в случае если создан глобальный справочник работников группы компаний и сотрудники российского офиса могут скачать мобильное приложение, которое будет обращаться к иностранной (а не российской) базе данных, будет ли это являться нарушением?
• Правильно ли мы понимаем, что требования 242-ФЗ распространяются на персональные данные работников-российских граждан, работающих (i) в российских компаниях, (ii) работающих в представительствах и филиалах иностранных компанией, но не распространяются на персональные данные работников-российских граждан, трудоустроенных в иностранных компаниях за рубежом?
• Правильно ли мы понимаем, что при сборе зарубежными офисами иностранной компании персональных данных российского гражданина, находящегося в командировке, обработка персональных данных осуществляется в соответствии с иностранным законодательством по месту нахождения офиса без учета 242-ФЗ?
• Правильно ли мы понимаем, что направления повторного или дополнительного уведомления об обработке персональных данных после 1 сентября 2015 года не потребуется (т.е. не нужно дополнительно сообщать, где находятся базы данных)?
• Иностранное юридическое лицо без присутствия на территории РФ реализует оферту для российских юридических лиц (не физлиц!). Клиенты (физлица) Российских юридических лиц, принявших оферту от иностранного юридического лица без присутствия на территории РФ, становятся выгодоприобретателями услуг предоставляемых иностранным юридическим лицом без присутствия на территории РФ. В рамках предоставления данных услуг, клиенты (физлица) Российских юридических лиц передают свои персональные данные иностранному юридическому лицу без присутствия на территории РФ. Распространяются ли требования закона 242-ФЗ на такое иностранное юридическое лицо?
• Какой срок и процедура для восстановления доступа к заблокированному сайту/странице сайта?
• Насколько с точки зрения Роскомнадзора вероятна возможность перенесения ответственности за невыполнение норм законодательства о персональных данных в части передачи персональных данных за рубеж (новелл 242-ФЗ) до 1 сентября 2016 года?
• Будет ли применяться 242-ФЗ непосредственно к российским структурным подразделениям (филиалы и представительства) иностранных юридических лиц? (а) если представительства и филиалы сами не собирают и не обрабатывают персональные данные, однако, вовлечены в осуществление основной деятельности иностранной компании, для которой данные собираются/обрабатываются? (б) если представительства и филиалы сами не собирают и не обрабатывают персональные, и не вовлечены в осуществление основной деятельности иностранной компании, для которой данные собираются/обрабатываются?
• Если база данных с персональными данными граждан РФ изначально собрана, хранится и обрабатывается в РФ, можно ли извлекать из этой базы данных персональные данные и направлять их для целей обработки (в частности, для хранения и использования в целях исполнения договора с субъектом персональных данных) за рубеж? Будет ли возникать в таком случае риск привлечения к ответственности за нарушение правила о локализации: (а) у иностранного получателя данных и/или (б) у российского оператора, который передал данные иностранной компании. Презюмируется, что согласия субъектов получены надлежащим образом, между компаниями имеются договоры, которые регулируют вопросы передачи данных, иностранная компания соблюдает законы своей юрисдикции в сфере обработки персональных данных.
• Если российский гражданин выезжает за границу и желает воспользоваться сервисом за пределами РФ, возможно ли «копирование» его персональных данных из российской базы данных для того, чтобы он мог воспользоваться сервисом за границей, или ему будет необходимо создать новый аккаунт? Например, если российский гражданин путешествует из Москвы в Амстердам и желает воспользоваться сервисом в Амстердаме – возможно ли в таком случае копирование информации из российского дата-центра в дата-центр, расположенный в Амстердаме, для того, чтобы данный пользователь смог воспользоваться сервисом, либо он будет вынужден регистрировать новый аккаунт?
• Если одна организация проводит бумажное анкетирование субъектов персональных данных, а другая — вносит данную информацию в базу данных, осуществляет ли вторая организация сбор персональных данных и несет ли она обязанности, предусмотренные 242-ФЗ? Если третья организация сделает выборку некоторых данных из раннее созданной базы данных (например, для создания глобальной директории сотрудников группы или клиентов/физ лиц), осуществляет ли она сбор персональных данных, и подпадает ли такая деятельность под действие 242-ФЗ?
• Как нужно подготовиться в документальном плане российским оператором для целей соответствия 242-ФЗ? Что следует указывать в (а) локальных нормативных актах, (б) политиках по обработке персональных данных, (в) согласиях, (г) уведомлениях в Роскомнадзор?
• Что следует понимать под «хранением» персональных данных?
• Какие категории персональных данных, подпадающие под сферу действия 242-ФЗ?
• Какой порядок применения 242-ФЗ в сфере туриндустрии?
• Имеется ли переходный период для компаний, чтобы они могли обеспечить выполнение новых требований?
• Имеются ли еще какие-либо предписания/ограничения для деятельности серверов на территории России?
• Должны ли иностранные операторы персональных данных (которые не имеют представительств на территории РФ), осуществляющие или планирующие осуществлять сбор и обработку персональных данных граждан РФ с использованием WEB-сайтов, осуществлять такую обработку и хранение на территории РФ?. Например, будет ли сайт, в случае сбора данных российских посетителей, подпадать под требования о локальном хранении? (называю это условно «локальным хранением»)
• Можно ли в качестве базы данных использовать облачные технологии (SaaS, PaaS, SAP)? В том числе если эти технологии предоставляются компаниями, у которых, в том числе, есть в России свои или арендуемые серверы (как у того же SAP), но у клиента нет точной информации о том, какие именно серверы будут задействованы в конкретный миг работы?
• Может ли быть размещен в материнской компании в Германии регистр сотрудников дочернего предприятия, содержащий, в частности, имена, рабочие телефоны и адреса электронной почты российских сотрудников?
• Считается ли материнская компания международного концерна «третьей стороной», в соответствии с новым российским законом «о защите персональных данных»?
• По каким критериям система должна определять, что человек является гражданином РФ (по месту жительства, месту рождения)?
• Что понимается под «сбором данных»?
• Каков порядок использования международных территориально распределенных систем, в том числе при оказании услуг по кадровому и бухгалтерскому учету в рамках аутсорсинга с использованием системы SAR HR?
• Что понимается под «базой данных»?
• Распространяются ли положения 242-ФЗ на государственные и муниципальные базы данных?
• Что понимается под «оператором»?
• Какие особенности обработки общедоступных персональных данных и применимости к ним требований конфиденциальности?
• Утверждена ли форма для уведомления о месте расположения баз данных? Форма уведомления о внесении изменений в сведения об операторе (Приложение № 3 к Административному регламенту Роскомнадзора) не содержит графу «местонахождение» сервера/ базы данных. Если организация ранее направила в РКН уведомление об обработке персональных данных, то после вступления закона в силу, в какой форме нужно сообщить сведения о месте нахождения базы данных?
• Добрый день! в настоящий момент наш корпоративный сайт, обслуживающий российские офисы, www.aircharter.ru размещен на местном хостинге. Но по внутреннему распоряжению компании все локальные сайты переносятся на новую платформу, которая позволяет сайтам сообщаться между собой и выдавать контент на различных языках и в различной последовательности в зависимости от местонахождения пользователя (сайт использует куки). Эта новая платформа едина для всех локальных сайтов компании и хостится на Амазоне в США, соответственно, все локальные сайты компании во всех доменных зонах также будут иметь хостинг на Амазоне. Регистрация пользователей на сайте не предусмотрена. В связи с вступлением в силу закона, должны ли мы обеспечить локальный хостинг корпоративному сайту в зоне *.ru, как это, например, требуется в Казахстане и Китае? Заранее благодарю! С уважением, Галина
• Допустим у меня есть интернет магазин, хостинг которого находится в германии. На стороне хостинга накапливаются личная информация пользователя, однако раз в сутки эта информация выгружается на сервер, который находится на территории РФ. Буду ли я нарушать 242-ФЗ если ничего не стану менять?
• Здравствуйте. Подскажите пожалуйста, по новому закону, если имеется вебкомпания, разработчик сайтов, у которой есть разработанных сайты для граждан РФ, нужно ли этой компании по новому закону все сайты для граждан РФ размещать на российском хостинге обязательно или достаточно хранить базу данных о клиентах (только информацию о юр и физ реквизитах) на российском хостинге. Опишите, пожалуйста, все нюансы и варианты.
• Если сбор данных осуществляется через российский сайт веб-компании в виде регистрации пользователя на сайте, например e-mail, название компании, пароль и, возможно, телефон, подходит ли этот сбор данных под персональные данные?
• Если в дальнейшем российская компания заключает договор с российским юридическим лицом посредством полученных данных по e-mail, подходит ли это под сбор персональных данных?
• Разъясните подробнее, что подразумевается под «персональными данными» и что подразумевается под «сбором персональных данных»?
• В каком виде должна быть оформлена база данных по сбору персональных данных по новому закону о персональных данных? В каком виде эта база данных должна храниться на российском хостинге, в виде файла или в виде сайта и т.д.?

ВОПРОСЫ-ОТВЕТЫ

Иностранное юридическое лицо без присутствия на территории РФ реализует оферту для российских юридических лиц (не физлиц!). Клиенты (физлица) Российских юридических лиц, принявших оферту от иностранного юридического лица без присутствия на территории РФ, становятся выгодоприобретателями услуг предоставляемых иностранным юридическим лицом без присутствия на территории РФ. В рамках предоставления данных услуг, клиенты (физлица) Российских юридических лиц передают свои персональные данные иностранному юридическому лицу без присутствия на территории РФ. Распространяются ли требования закона 242-ФЗ на такое иностранное юридическое лицо?

Требования 242-ФЗ распространяется на такое иностранное юридическое лицо, поскольку оно осуществляет сбор данных граждан Российской Федерации и оказывает услуги через российские юридические лица на территории Российской Федерации.

Здравствуйте. Подскажите пожалуйста, по новому закону, если имеется вебкомпания, разработчик сайтов, у которой есть разработанных сайты для граждан РФ, нужно ли этой компании по новому закону все сайты для граждан РФ размещать на российском хостинге обязательно или достаточно хранить базу данных о клиентах (только информацию о юр и физ реквизитах) на российском хостинге. Опишите, пожалуйста, все нюансы и варианты.

242-ФЗ устанавливает обязанность оператора персональных данных при сборе персональных данных граждан Российской Федерации обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение с использованием баз данных, находящихся на территории Российской Федерации.

Закон не содержит требований по размещению всех сайтов для граждан Российской Федерации на российском хостинге. Достаточно хранить сами персональные данные граждан Российской Федерации в базах данных, находящихся на территории Российской Федерации (например, на российском хостинге). Одновременно следует принимать меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона «О персональных данных».

При этом следует учитывать, что указанные требования к хранению персональных данных предъявляются к операторам персональных данных только при сборе персональных данных. Реализация обязанности «при сборе данных» означает, что оператор должен их получать непосредственно у первоисточника, то есть у субъекта персональных данных или его представителя.

Также следует учитывать, что 242-ФЗ обратной силы не имеет. Поэтому если база данных до 01 сентября 2015 г. расположена вне территории Российской Федерации, уже собрана и не будет актуализироваться после вступления закона в силу, то базу данных можно не переводить на территорию Российской Федерации. Если актуализация персональных данных продолжится, то обработка должна осуществляться в соответствии с 242-ФЗ.

Какие особенности обработки общедоступных персональных данных и применимости к ним требований конфиденциальности?

Согласно п.10 ч.1 ст. 6 Федерального закона «О персональных данных» допускается без согласия субъекта персональных данных обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе. Соответственно, требование конфиденциальности, установленное ст. 7 Федерального закона «О персональных данных», на обработку указанных сведений не распространяется.

К примеру, публикация на сайте российской компании контактных данных сотрудников, а именно фамилии и имени, корпоративного номера телефона и корпоративного адреса электронной почты, размещенные с согласия указанных работников не требует соблюдения требований конфиденциальности и не является трансграничной передачей, поскольку размещение и хранение осуществляется на российской площадке.

Относительно применения требований 242-ФЗ к обработке общедоступных сведений необходимо отметить, что ст. 2 указанного закона не установлены исключения применительно п.10 ч.1 ст. 6 Федерального закона «О персональных данных». Таким образом, при осуществлении сбора общедоступных персональных данных на деятельность оператора требования 242-ФЗ распространяются в полном объеме.

Если одна организация проводит бумажное анкетирование субъектов персональных данных, а другая — вносит данную информацию в базу данных, осуществляет ли вторая организация сбор персональных данных и несет ли она обязанности, предусмотренные 242-ФЗ?

Если третья организация сделает выборку некоторых данных из раннее созданной базы данных (например, для создания глобальной директории сотрудников группы или клиентов/физ лиц), осуществляет ли она сбор персональных данных, и подпадает ли такая деятельность под действие 242-ФЗ?

Первоначально важна природа правоотношений, которые связывают первого оператора и второго оператора. Если это договор поручения, на основании которого первый оператор проводит бумажное анкетирование от лица второго оператора, то требования 242-ФЗ на второго оператора распространяются.

Если и первый оператор, и второй оператор действуют как самостоятельные юридические лица необходимо понимание, на основании каких правовых норм первый оператор передает сведения, которые были собраны с помощью бумажного анкетирования (согласие, требование федерального закона и т.п.). В случае правовой легитимности соответствующей передачи требования 242-ФЗ подлежат оценке цели обработки персональных данных и если передача персональных данных осуществляется для достижения целей на этапе бумажного анкетирования, то обязанность по локализации персональных данных в рамках всего процесса обработки возлагается на первичного оператора. В случае разности целей обработки-эта обязанность распространяется на обоих операторов.
В случае участия третьей организации подход аналогичный.

Может ли быть размещен в материнской компании в Германии регистр сотрудников дочернего предприятия, содержащий, в частности, имена, рабочие телефоны и адреса электронной почты российских сотрудников?

Применительно к указанной ситуации необходимо понимать, что взаимоотношения внутри транснациональных компаний как минимум предполагают две стороны: представительство, которое зарегистрировано в Российской Федерации как юридическое лицо, и непосредственно головной офис, находящийся за пределами Российской Федерации.
Соответственно, требования 242-ФЗ прежде всего адресованы к лицу, осуществляющему сбор персональных данных на территории Российской Федерации, которым в указанном случае выступает российское представительство.
Относительно передачи и дальнейшего хранения персональных данных за пределами Российской Федерации необходимо руководствоваться требованиями ст. 12 Федерального закона «О персональных данных», то есть правилами трансграничной передачи данных.

Дополнительно необходимо отметить, что головной офис по отношению к работникам, работающим на территории Российской Федерации, не является их прямым работодателем, соответственно при передаче их персональных данных за пределы Российской Федерации представительство, которое зарегистрировано в Российской Федерации как юридическое лицо обязано руководствоваться требованиями Трудового кодекса Российской Федерации и ч. 3 ст. 6 Федерального закона «О персональных данных» в части наличия согласия работника и договора, заключенного с головным офисом, содержащего условия конфиденциальности и безопасности.

Как повлияет 242-ФЗ на право субъектов персональных данных самостоятельно распоряжаться данные о себе и в связи с этим на права операторов персональных данных?

Право субъекта персональных данных самостоятельно распоряжаться данными о себе 242-ФЗ не аннулирует. Граждане вправе предоставлять свои данных в базы иностранных организаций, праве осуществлять бронирование иностранных гостиниц, проходить лечение за границей, предоставлять этим данным общий доступ, входить в адресные справочники и прочие примеры. 242-ФЗ не запрещает гражданам распоряжаться персональными данными по их собственному усмотрению в их интересе и воле.

Однако право субъекта персональных данных самостоятельно распоряжаться своими персональными данными, не означает, что оператор персональных данных может использовать это право в качестве правовой коллизии в целях неисполнения рассматриваемого положения 242-ФЗ. Польку оператор персональных данных изначально в силу 242-ФЗ должен обеспечить нахождение баз данных с информацией о российских гражданах на территории Российской Федерации. В случае возникновения необходимости в передаче этих данных в целях обработки на территорию иностранного государства, такая передача может быть осуществлена в соответствии с правилами Федерального закона «О персональных данных».

Будет ли применяться 242-ФЗ непосредственно к российским структурным подразделениям (филиалы и представительства) иностранных юридических лиц?
(а) если представительства и филиалы сами не собирают и не обрабатывают персональные данные, однако, вовлечены в осуществление основной деятельности иностранной компании, для которой данные собираются/обрабатываются?
(б) если представительства и филиалы сами не собирают и не обрабатывают персональные, и не вовлечены в осуществление основной деятельности иностранной компании, для которой данные собираются/обрабатываются?

242-ФЗ будет распространяться на российское представительство, вовлеченное в процесс сбора персональных данных. В иных случаях обязанность локализации баз персональных данных, собранных на территории Российской Федерации, возлагается на иностранное лицо.

Имеется ли переходный период для компаний, чтобы они могли обеспечить выполнение новых требований?

Положения ФЗ-242 вступают в силу с 1 сентября 2015 года. Никаких исключений или переходных периодов ни 242-ФЗ, ни 526-ФЗ, внесший изменения в 242-ФЗ в части уточнения времени вступления его в законную силу, не установлено.

Если база данных с персональными данными граждан РФ изначально собрана, хранится и обрабатывается в РФ, можно ли извлекать из этой базы данных персональные данные и направлять их для целей обработки (в частности, для хранения и использования в целях исполнения договора с субъектом персональных данных) за рубеж?

Будет ли возникать в таком случае риск привлечения к ответственности за нарушение правила о локализации:
(а) у иностранного получателя данных и/или
(б) у российского оператора, который передал данные иностранной компании. Презюмируется, что согласия субъектов получены надлежащим образом, между компаниями имеются договоры, которые регулируют вопросы передачи данных, иностранная компания соблюдает законы своей юрисдикции в сфере обработки персональных данных.

242-ФЗ не вносит изменений в статью 12 Федерального закона «О персональных данных», которая регламентирует вопрос трансграничной передачи персональных данных. В связи с чем возможна трансграничная передача персональных данный в соответствии с указанной статьей.

Что в точности предполагается под термином “Персональные данные”?

Определение персональных данных приведено в тексте ст. 3 Федерального закона «О персональных данных». Исходя из данного определения и по сложившейся судебной практике, в частности, фамилия и инициалы, без дополнительной информации, не являются персональными данными. Аналогичный подход применим к сведениям, содержащим номер ID абонента либо номер телефона.

При определении объема сведений, которые могут быть отнесены к персональным данных, в каждой конкретной ситуации необходимо руководствоваться индивидуальным подходом, в том числе с учетом отраслевого законодательства.

Правильно ли мы понимаем, что требования 242-ФЗ распространяются на персональные данные работников-российских граждан, работающих (i) в российских компаниях, (ii) работающих в представительствах и филиалах иностранных компанией, но не распространяются на персональные данные работников-российских граждан, трудоустроенных в иностранных компаниях за рубежом?

Да, правильно. Следует также учитывать, что при обработке персональных данных работников они могут быть использованы только в рамках трудовых отношений.

Допустим у меня есть интернет магазин, хостинг которого находится в германии. На стороне хостинга накапливаются личная информация пользователя, однако раз в сутки эта информация выгружается на сервер, который находится на территории РФ. Буду ли я нарушать 242-ФЗ если ничего не стану менять?

База данных, которая находится на территории иностранного государства, может актуализироваться, систематизироваться, обновляться, только после проведения соответствующей процедуры на территории Российской Федерации и передачи обновленных данных посредством трансграничной передачи на территорию иностранного государства. Поэтому в данном случае будет допущено нарушение требований 242-ФЗ.

Какие категории персональных данных, подпадающие под сферу действия 242-ФЗ?

Положения 242-ФЗ относятся к любой информации, относящейся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), а не к отдельным категориям персональных данных (специальных персональных данных, биометрических персональных данных).

Каково соотношение понятий «передача», «копирование» и «хранение» персональных данных?
Как можно хранить данные в России и при этом не запрещается трансграничная передача данных, ведь передача данных за границу предполагает их хранение не на территории России?

В данном случае следует представлять хранение и передачу данных как отдельные процессы обработки данных и рассмотреть суть этих понятий и процессов.
Требования 242-ФЗ закрепляют обязательное хранение персональных данных на территории Российской Федерации, при осуществлении их сбора.
При этом 242-ФЗ не запрещает «копирование» и «передачу» данных.
Понятие «копирование» представляет собой процесс, имеющий иные характеристики по сравнению с понятием «хранение», значения данных слов не являются идентичными, то есть данные слова не являются синонимами (слова или словосочетания, не совпадающие по звучанию и написанию, но имеющее одинаковое или очень близкое значение).
Например, согласно Методическим рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации, утв. Генпрокуратурой России, копирование информации – это создание копии имеющейся информации на другом носителе, то есть перенос информации на обособленный носитель при сохранении неизменной первоначальной информации, воспроизведение информации в любой материальной форме — от руки, фотографированием текста с экрана дисплея, а также считывания информации путем любого перехвата информации и т.п.
Упрощая данное Генеральной прокуратурой Российской Федерации понятие «копирование информации» можно сказать, что «копирование» представляет собой процесс, характеризующийся созданием дубликата документа или информации. То есть основным свойством данного действия является создание дубликата вне зависимости от способа и цели его создания или места нахождения дублирующей информации. Таким образом, скопированные персональные данные, подлежат хранению в соответствии с правилами Федерального закона «О персональных данных».
Понятие «ПЕРЕДАЧА» представляет собой процесс по направления информации или документов какому-либо лицу каким-либо способом.
В 242-ФЗ в перечень действий, которые оператор персональных данных обязан обеспечить с использованием баз данных, находящихся на территории России, «передача данных» не входит. Таким образом, 242-ФЗ не запрещает осуществлять передачу данных, в том числе трансграничную передачу данных из одной базы данных, в другую.
При этом согласно ГОСТ Р ИСО 15489-1-2007. Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования, Приказом Ростехрегулирования от 12.03.2007 N 28-ст, ПЕРЕДАЧА (TRANSFER) (в отношении способа хранения): изменение способа хранения документов, права собственности и (или) ответственности за документы. То есть если рассматривать процесс передачи более детально, он, безусловно, представляет собой перенос ответственности или части ответственности за информацию на другое лицо и изменение способа и места хранения этой информации.
Таким образом, оператор персональных данных, осуществляя хранение персональных данных в России, может впоследствии произвести их передачу за границу, посредством «копирования» и « трансграничной передачи» информации.
Эти действия оператора будут правомерны. И оператор должен лишь соблюсти требования, предъявляемые Федеральным законом «О персональных данных» к порядку и условиям такой передаче данных.
Условно, можно сказать, что Оператор № 1, собравший данные в России, отвечает только за свои действия в отношении этих данных, после их передачи за границу владелец данных изменится и им станет Оператор № 2, который будет отвечать за переданные ему данные. Оператор № 1 не будет нести ответственность за действия Оператора № 2.
В дальнейшем Оператор № 2 будет осуществлять обработку полученных данных в соответствии с законодательством своей страны, и на тех условиях, о которых он договорился с Оператором №1.
Важным в данном случае для Оператора №1 будет являться соблюдение правил трансграничной передачи данных.
Таким образом, оператор может осуществить трансграничную передачу данных, не нарушая при этом требований 242-ФЗ, предъявляемых к хранению персональных данных на территории Российской Федерации. Ведь база персональных данных по-прежнему будет находиться в Российской Федерации, а содержащаяся в ней информация будет актуализироваться.
У Оператора № 2 будет храниться и обрабатываться копия информации, и актуализироваться она будет только после соответствующей актуализации российской базы.

По вопросу копирования персональных данных следует заметить, что «копирование» представляет собой процесс, характеризующийся созданием дубликата документа или информации. То есть основным свойством данного действия является создание дубликата вне зависимости от способа и цели его создания или места нахождения дублирующей информации. Таким образом, скопированные персональные данные, подлежат хранению в соответствии с правилами Федерального закона «О персональных данных». Кроме того, понятие «дублирующая база данных» 242-ФЗ не содержит.

Позволяет ли 242-ФЗ передавать/отражать персональные данные российских граждан после их сбора, обработки и хранения на территории РФ на иностранный сервер (стран-участниц Конвенции 108 и иных государств)? Если да, то на каких условиях?

Требования 242-ФЗ не исключают трансграничную передачу персональных данных, более того не затрагивают положений, связанных с вопросами передачи персональных данных на территорию иностранного государства.
Так, в соответствии с международными обязательствами, взятыми на себя Российской Федерацией при ратификации Конвенции о защите физических лиц при автоматизированной обработке персональных данных российская Сторона не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой Стороны, с единственной целью защиты частной жизни.
Также аналогичные положения содержатся в российском законодательстве, так, согласно ст.12 Федерального закона «О персональных данных» трансграничная передача персональных данных на территории иностранных государств – участников Конвенции, а также иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется без дополнительного согласия субъектов персональных данных.

Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (это страны не являющиеся стороной Конвенции и не входящие Перечень стран, обеспечивающих адекватную защиту персональных данных), может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных;
2) предусмотренных международными договорами Российской Федерации;
3) предусмотренных федеральными законами;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных.

Трансграничная передача данных в разрезе положений 242-ФЗ представляет собой передачу сведений из одной базы данных, расположенных на территории России, в другую базу данных, расположенных на территории иностранного государства. Такая передача данных должна иметь заранее определенную цель обработки, при достижении которой субъекту персональных данных должно быть гарантировано уничтожение переданных данных на территории иностранного государства. При соблюдении указанных требований ответственность, предусмотренная российским законодательством, применима к оператору, находящемуся на территории Российской Федерации, в случае нарушения порядка и условий, установленных для договора-поручения, поскольку в иных случаях обработка персональных данных осуществляется иностранным лицом в соответствии с национальным законодательством, если иное не предусмотрено международными договорами или соглашениями сторон.
Также необходимо отметить, что при получении согласия на трансграничную передачу персональных данных указание конкретных лиц, которым передаются персональные данные, не требуется, достаточно указания цели, перечня действий и иных признаков, предусмотренных Федеральным законом «О персональных данных».
Указанное согласие может быть отозвано либо прекращает свое действие с момента достижения цели для которой оно предоставлялось.

Необходимо также обратить внимание, что ст. 2 ФЗ-242 предусмотрены исключения из обязанности оператора персональных данных хранить данные на территории Российской Федерации в том числе, при осуществлении деятельности в рамках международных договоров, а также во исполнение функций прав и обязанностей, возложенных на оператора законодательством Российской Федерации.
При этом конкретное условия такого исключения должно содержаться в международных договорах Российской Федерации. Следует иметь ввиду, что к международным договорам Российской Федерации относятся также межведомственные соглашения.
Относительно соглашения о воздушных сообщения, если они содержат указание на обработку персональных данных, условия которой исключают применение 242-ФЗ, то применяются положения международного соглашения.

Любые разъяснения и официальная позиция (Роскомнадзора или Минкомсвязи. Насколько возможно взаимодействие с Верховным Судом для издания постановления Пленума?) – будут весьма полезны и позитивно восприняты отраслью, даже если они будут даны в виде вроде:
“…те организации, которые предпринимают определенные усилия для выполнения требований закона к 1 сентября не будут подвергаться давлению; в то время как те организации, которые не идут на контакт и не предпринимают никаких усилий – будет первым в очереди на выяснение соответствия их действий требованиям закона…”

Роскомнадзор не является уполномоченным органом по разъяснению положений 242-ФЗ в части обработки персональных данных. В соответствии с Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций на Роскомнадзор возложены полномочия по разъяснению вопросов, связанных с правоприменительной практики, которая будет сформирована только после вступления в силу 242-ФЗ.

Правильно ли мы понимаем, что при сборе зарубежными офисами иностранной компании персональных данных российского гражданина, находящегося в командировке, обработка персональных данных осуществляется в соответствии с иностранным законодательством по месту нахождения офиса без учета 242-ФЗ?

Да, правильно. 242-ФЗ не распространяется на случаи, когда обработка персональных данных граждан Российской Федерации осуществляется на территории иностранного государства при осуществлении иностранным лицом сбора персональных данных граждан Российской Федерации (например, при заселении в гостиницу).

Что понимается под «оператором»?

Понятие «оператор» содержится в ст. 3 Федерального закона «О персональных данных», под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Таким образом, в свете применения 242-ФЗ, оператором является лицо, осуществляющее сбор персональных данных, либо его поручившее третьему лицу на основании договора поручения.

Должны ли иностранные операторы персональных данных (которые не имеют представительств на территории РФ), осуществляющие или планирующие осуществлять сбор и обработку персональных данных граждан РФ с использованием WEB-сайтов, осуществлять такую обработку и хранение на территории РФ?. Например, будет ли сайт, в случае сбора данных российских посетителей, подпадать под требования о локальном хранении? (называю это условно «локальным хранением»)

242-ФЗ действует на территории Российской Федерации, в отношении юридических лиц, в том числе иностранных организаций, осуществляющих предпринимательскую деятельность на территории Российской Федерации, в том числе иностранных организаций, не связанных с деятельностью через постоянное представительство в Российской Федерации.
Иными словами, не важно, расположена ли иностранная компания в России или нет, если она распространяет свою деятельность именно на российский сегмент, рассчитанный на российского потребителя, то 242-ФЗ будет к ней применяться.
В связи с чем, сбор и обработка персональных данных российских граждан, территориально находящихся в Российской Федерации, должен осуществляться на территории России.

В случае, если российские граждане находятся за пределами территории России, то они находятся в юрисдикции той страны, на территории которой пребывают в момент предоставления данных о себе. В таком случае, сбор и обработка данных будет осуществляться в соответствии с требованиями иностранного государства и требования российского законодательства на такую обработку данных распространяться не будет.
Вне зависимости от того, обеспечивается хостинг российской компанией или иностранных, идентифицируются ими персональные данные или нет, технические средства этих компаний должны находиться на территории Российской Федерации, в случае если сбор и хранение данных производится на территории России.

В случае если персональные данные собраны и записаны в российскую базу данных, после чего переданы иностранной компании, будет ли иметь место нарушение каких-либо требований, если российская компания (осуществившая сбор) будет осуществлять доступ и использовать данные из иностранной базы данных? Например, в случае если создан глобальный справочник работников группы компаний и сотрудники российского офиса могут скачать мобильное приложение, которое будет обращаться к иностранной (а не российской) базе данных, будет ли это являться нарушением?

Данный доступ возможен только сотрудникам российского представительства, на которых возложены полномочия по обработке персональных данных работников. Следует отметить, что правомерность указанного доступа определяется соблюдением российским представительством требований трудового законодательства Российской Федерации, Федерального закона «О персональных данных» в части наличия письменного согласия, а также требований, предъявляемых к порядку трансграничной передачи персональных данных.

Подпадает ли идентификационный номер автомобиля под определение «персональные данные», если он содержит лишь техническую информацию (например, историю ремонта транспортного средства)?

Совокупность данных должна быть необходима и достаточна для идентификации лица. Именно такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность. При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо.

Вместе с тем идентификационный номер автомобиля, а именно государственный номер автомобиля, иная техническая информация, включая историю ремонта транспортного средства, не относится к персональным данным, поскольку не позволяет идентифицировать конкретное физическое лицо. Так, указанные сведения относятся не к субъекту персональных данных, а автомобильному средству.

Правильно ли мы понимаем, что направления повторного или дополнительного уведомления об обработке персональных данных после 1 сентября 2015 года не потребуется (т.е. не нужно дополнительно сообщать, где находятся базы данных)?

Понятия «повторного» или «дополнительного» уведомления не существует. Статьей 22 Федерального закона «О персональных данных» установлена обязанность оператора до начала обработки персональных данных направить уведомление. В части 2 указанной статьи приведен ряд исключений, когда такого уведомления не требуется. 242-ФЗ вносятся изменения в часть 3, которая определяет требования к содержанию уведомления. Если организация ранее направила в РКН уведомление об обработке персональных данных, то после вступления закона в силу операторы руководствуюсь частью 7 данной статьи, должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.

Если в дальнейшем российская компания заключает договор с российским юридическим лицом посредством полученных данных по e-mail, подходит ли это под сбор персональных данных?

Для ответа на вопрос следует уточнить предмет договора между данными организациями.

Добрый день!
в настоящий момент наш корпоративный сайт, обслуживающий российские офисы, www.aircharter.ru размещен на местном хостинге. Но по внутреннему распоряжению компании все локальные сайты переносятся на новую платформу, которая позволяет сайтам сообщаться между собой и выдавать контент на различных языках и в различной последовательности в зависимости от местонахождения пользователя (сайт использует куки). Эта новая платформа едина для всех локальных сайтов компании и хостится на Амазоне в США, соответственно, все локальные сайты компании во всех доменных зонах также будут иметь хостинг на Амазоне.

Регистрация пользователей на сайте не предусмотрена.
В связи с вступлением в силу закона, должны ли мы обеспечить локальный хостинг корпоративному сайту в зоне *.ru, как это, например, требуется в Казахстане и Китае?

Заранее благодарю!
С уважением,
Галина

Закон не содержит требований по обеспечению локального хостинга сайта в сети «Интернет» на территории Российской Федерации.

При этом если Ваша организация осуществляет сбор персональных данных граждан Российской Федерации, в том числе посредством сайта в сети «Интернет, то их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) необходимо обеспечить с использованием баз данных, находящихся на территории Российской Федерации.

Факт отсутствия регистрации пользователей на сайте в сети «Интернет» может не означать, что их персональные данные не собираются другим способом (например, посредством заполнения формы на сайте).

Какой срок и процедура для восстановления доступа к заблокированному сайту/странице сайта?

Сроки и порядок восстановления доступа к заблокированному сайту будет определен нормативным правовым актом Правительства Российской Федерации, разработанным во исполнение 242-ФЗ, который сейчас находится на стадии утверждения.

В каком виде должна быть оформлена база данных по сбору персональных данных по новому закону о персональных данных? В каком виде эта база данных должна храниться на российском хостинге, в виде файла или в виде сайта и т.д.?

242-ФЗ вносит изменение только в части места нахождения базы данных при осуществлении определенных видов обработки, и не вносит изменений в Федеральный закон «О персональных данных» в части, касающейся мер (в том числе технических) по обеспечению безопасности персональных данных при их обработке (см. ст. 19 Федерального закона «О персональных данных»).

Распространяются ли положения 242-ФЗ на государственные и муниципальные базы данных?

В 242-ФЗ отсутствуют положения о том, что он не распространяется на государственные и муниципальные базы данных. Кроме того, согласно ст. 1 Федерального закона «О персональных данных» положения данного закона распространяются на органы государственной власти и местного самоуправления. Учитывая, что 242-ФЗ вносит изменения в Федеральный закон «О персональных данных», положения 242-ФЗ не могут не распространяться на порядок формирования и ведения государственных и муниципальных баз данных.

В ст. 2 № 242-ФЗ устанавливается исключение, допустимое из требования об обеспечении записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Данное исключение относится, в том числе, к случаю, когда это необходимо для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг.
Таким образом, в случае если в нормативных правовых актах Российской Федерации будет установлено, что орган государственной власти должен обрабатывать персональные данные, в том числе путем записи, систематизации, накопления, хранения, уточнения, извлечения на территории иностранного государства, то правило 242-ФЗ не будет распространяться на такие отношения.

Следует также заметить, что в соответствии с 149-ФЗ база данных является, в ряде случаев, составной частью информационной системы, в случаях, когда речь идет о государственных информационных системах (ГИС) порядок их формирования и ведения регламентирован нормативными правовыми актами, в ряде случаев даже федеральными законами. Например, ГИС «жилищно-коммунального хозяйства», правовой режим которой регламентирован 209-ФЗ, ГИС «топливно-энергетического комплекса», правовой режим регламентирован 382-ФЗ, ГИС «Обеспечения транспортной безопасности», правовой режим регламентирован 16-ФЗ.
При этом к ГИС предъявляются более высокие требования по сравнению с информационным системам и базам данных коммерческих организаций, в том числе все ГИС подлежат государственной регистрации, к ряду ГИС предъявляются требования не только по их размещению на территории России, но и обработки исключительно российскими юридическими лицами, например, ГИС «Обеспечения транспортной безопасности», в состав которой входят автоматизированные централизованные базы персональных данных о пассажирах и персонале (экипаже) транспортных средств.
Таким образом, опасения относительно несоответствия порядка и правил формирования и ведения государственных и муниципальных баз данных целям 242-ФЗ, а именно повышение безопасности обработки персональных данных не находят своего подтверждения.

Какие существуют возможности для внесения поправок в закон / участия в разработке НПА на данном этапе?

Внесение изменений в законодательные акты осуществляется субъектами законодательной инициативы в порядке, установленном законодательством Российской Федерации.

Утверждена ли форма для уведомления о месте расположения баз данных? Форма уведомления о внесении изменений в сведения об операторе (Приложение № 3 к Административному регламенту Роскомнадзора) не содержит графу «местонахождение» сервера/ базы данных. Если организация ранее направила в РКН уведомление об обработке персональных данных, то после вступления закона в силу, в какой форме нужно сообщить сведения о месте нахождения базы данных?

Статьей 22 Федерального закона «О персональных данных» установлена обязанность оператора до начала обработки персональных данных направить уведомление. В части 2 указанной статьи приведен ряд исключений, когда такого уведомления не требуется.

242-ФЗ вносятся изменения в часть 3, которая определяет требования к содержанию уведомления. Если организация ранее направила в Роскомнадзор уведомление об обработке персональных данных, то после вступления закона в силу операторы руководствуюсь частью 7 данной статьи, должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.

Каким образом указывать место нахождения базы данных будет определено в подзаконном нормативном правовом акте, который находится в стадии принятия.

Насколько с точки зрения Роскомнадзора вероятна возможность перенесения ответственности за невыполнение норм законодательства о персональных данных в части передачи персональных данных за рубеж (новелл 242-ФЗ) до 1 сентября 2016 года?

Закон не предусматривает переходные положения, поэтому никакого перенесения ответственности за невыполнение норм законодательства о персональных данных не будет. Вместе с тем как было указано выше в случае выявления нарушений 242-ФЗ операторам персональных данных будут давать предписания по их устранению в определенный срок, который будет установлен подзаконным нормативным правовым актом.

Имеются ли еще какие-либо предписания/ограничения для деятельности серверов на территории России?

Деятельность технических площадок (серверов, центров обработки данных) на территории Российской Федерации должна соответствовать установленным требованиям конфиденциальности и безопасности персональных данных, обрабатываемых с использованием вышеуказанных технических мощностей.
Руководящие документы по обеспечению безопасности размещены на официальных сайтах ФСТЭК России и ФСБ России http://fstec.ru/, http://www.fsb.ru/.

Какой порядок применения 242-ФЗ в сфере туриндустрии?

Согласно ст. 10 Федерального закона «Об основах туристской деятельности в Российской Федерации» реализация туристского продукта осуществляется на основании договора, заключаемого в письменной форме между туроператором и туристом и (или) иным заказчиком, а также в случаях, предусмотренных федеральным законом, между турагентом и туристом и (или) иным заказчиком.

В соответствии с гл. 49 Гражданского кодекса Российской Федерации турагентство может совершать юридически значимые действия и заключать договоры о реализации туристского продукта от имени туроператора.
На основании п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператором признается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Учитывая изложенное, оператором, на которого распространяются требования ФЗ- 242 по локализации баз данных на территории Российской Федерации, является туроператор.
Также в соответствии с гл. 51 Гражданского кодекса Российской Федерации турагентство может совершать юридически значимые действия и заключать договоры о реализации туристского продукта от своего имени.
При реализации данных правоотношений первичным оператором выступает турагентство, на которого распространяются требования ФЗ-242 по локализации баз данных на территории Российской Федерации.

Дальнейшее взаимодействие первичного оператора с партнерами предполагает соблюдение требований других нормативно-правовых актов, в частности, ст. 12 Федерального закона «О персональных данных», определяющей порядок трансграничной передачи персональных данных субъектов.
Необходимо отметить, что в случае привлечения третьего лица (турагента), действующего в интересах туроператора либо турагентства, действие 242-ФЗ определяется в зависимости от одной из вышеуказанных схем.
Согласно п. 1 ч. 1 ст. 6 Федерального закона «О персональных данных» предусмотрено наличие у работодателя письменного согласия субъектов на обработку их персональных данных, в том числе передачу третьим лицам и трансграничную передачу.
Деятельность работодателя определяется в соответствии с положениями Трудового кодекса Российской Федерации. Вместе с тем трудовым законодательством не регулируются правоотношения, связанные с приобретением работодателем туристского продукта в интересах работников.
Таким образом, совершение указанных действий требует наличия письменного согласия субъектов и доверенности, выданной в соответствии с Гражданским кодексом Российской Федерации.

Необходимо отметить, что работодатель по отношению к работникам не является первичным оператором, поскольку осуществляет обработку персональных данных, полученных на этапе оформления трудовых отношений.
Соответственно, требования ФЗ-242 по локализации баз данных на территории Российской Федерации при реализации схемы корпоративного туристского продукта возлагается на туроператора или турагентство в зависимости от одной из избранных схем, установленных ст. 10 Федерального закона «Об основах туристской деятельности в Российской Федерации».

По каким критериям система должна определять, что человек является гражданином РФ (по месту жительства, месту рождения)?

Законодатель предоставил возможность операторам персональных данных самостоятельно определять процедуру установления гражданства в соответствии со спецификой деятельности каждого юридического лица, осуществляющего сбор персональных данных граждан России. В связи с чем, полагаем, что дополнительного законодательного регулирования данный вопрос не требует.

Вместе с тем в случае, если оператору персональных данных крайне затруднительно выделить среди множества субъектов персональных данных, тех в отношении кого необходимо осуществлять хранение данных на территории Российской Федерации, возможно применение принципа действия закона на всей территории Российской Федерации. Так, в случае сбора данных на территории России, оператор персональных данных может осуществлять их хранение в базах данных, размещенных на технических средствах в Российской Федерации, вне зависимости от гражданства субъектов персональных данных.

Что понимается под «сбором данных»?

«Сбор данных» — это получение данных непосредственно от субъекта персональных данных и оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение с использованием баз данных на территории Российской Федерации, указанные виды обработки составляют единый процесс формирования и поддержания в актуальном состоянии базы данных, что должно осуществляться на территории Российской Федерации.

Необходимо отметить, что параллельный ввод собранных персональных данных в российскую информационную систему и систему, находящуюся на территории иностранного государства не отвечает требованиям 242-ФЗ, поскольку после сбора посредством российской информационной системы указанные сведения могут быть переданы в иностранную информационную систему только посредством трансграничной передачи.

Относительно возможности поручения иностранным лицом российскому юридическому лицу осуществить сбор персональных данных в России такие правоотношения возможны при условии неукоснительного соблюдения требований ч. 3 ст. 6 Федерального закона «О персональных данных».
При этом ответственность согласно ч.5 ст.6 Федерального закона «О персональных данных» за нарушение требований законодательства несет лицо, поручившее осуществлять сбор.

Насколько мы понимаем 242-ФЗ не вводит обязанности операторов персональных данных по передаче данных только на территорию Российской Федерации. Закон запрещает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, не находящихся на территории Российской Федерации, только при сборе. Однако законом допускается передача персональных данных граждан Российской Федерации на территорию иностранного государства, и закон не запрещает их копирование и передачу.
То есть, оператор персональных данных при хранении персональных данных в России впоследствии может передать их и за границу:

6.1) Правильно ли мы понимаем, что после осуществления сбора персональных данных граждан Российской Федерации с использованием баз данных на территории Российской Федерации оператор вправе передать такие данные за рубеж, руководствуясь положениями статьи 12 Федерального закона «О персональных данных»?

6.2) Принимая во внимание предыдущий вопрос, правильно ли мы понимаем, что возможно хранение вне территории Российской Федерации персональных данных граждан Российской Федерации, собранных с использованием баз данных на территории Российской Федерации и переданных впоследствии оператором в соответствии с положениями статьи 12 Федерального закона «О персональных данных»?

6.3) Правильно ли мы понимаем, с учетом предыдущих двух вопросов, что при условии сбора персональных данных граждан Российской Федерации с использованием баз данных на территории Российской Федерации и их последующей передачей на территорию иностранного государства, возможно параллельное (одновременное) функционирование двух баз данных – одной, находящейся на территории Российской Федерации (которая формируется и ведется (в том числе актуализируется/изменяется) с учетом положений 242-ФЗ), и другой, находящейся за пределами Российской Федерации (информация в которую передается после сбора персональных данных с использованием баз данных на территории Российской Федерации, выполненного с учетом положений 242-ФЗ)?

6.1) В рассматриваемой норме 242-ФЗ не вводится обязанность оператора персональных данных осуществлять передачу данных только в базы данных на территории Российской Федерации.
242-ФЗ не вносит изменений в статью 12 Федерального закона «О персональных данных», которая регламентирует вопрос трансграничной передачи персональных данных. В связи с чем, трансграничная передача персональных данных российских граждан, полученных при сборе с использованием баз данных, расположенных на территории Российской Федерации, может осуществляться при соблюдении принципа соответствия целям обработки персональных данных, собранных на территории Российской Федерации.

6.2) Хранение персональных данных на территории иностранного государства в контексте 242-ФЗ не запрещено при условии соблюдения условий сбора персональных данных на территории Российской Федерации и соблюдения порядка трансграничной передачи персональных данных, установленных ст. 12 Федерального закона «О персональных данных».

6.3) Параллельное функционирование баз данных, находящихся на территории Российской Федерации и иностранного государства, применительно к требованиям 242-ФЗ невозможно.
Существует база данных, которая формируется посредством сбора на территории Российской Федерации. В дальнейшем, указанная база данных локализуется на территории Российской Федерации и, при наличии необходимости, может передаваться на территорию иностранного государства с соблюдением условий ст. 12 Федерального закона «О персональных данных». При этом следует понимать, что та база данных, которая находится на территории иностранного государства, может актуализироваться, систематизироваться, обновляться, только после проведения соответствующей процедуры на территории Российской Федерации и передачи обновленных данных посредством трансграничной передачи на территорию иностранного государства.

Считается ли материнская компания международного концерна «третьей стороной», в соответствии с новым российским законом «о защите персональных данных»?

В отношении деятельности по обработке персональных данных работников российского представительства и клиентов, имеющих прямые правоотношения с российским представительством, материнская компания международного концерна является третьей стороной.
Применительно к нормам ч. 3 ст. 6 Федерального закона «О персональных данных» предусмотрена возможность поручения российским представительством материнской компании осуществлять отдельные действия по обработке персональных данных.

Что понимается под «базой данных»?

При определении понятия «база данных» следует учитывать, что в российском законодательстве определено множество понятий баз данных (не только в ГК РФ и ГОСТ Р 20886-85), тем не менее, все они сводятся к широкому пониманию данного термина. Более того, согласно Модельному закону о персональных данных, принятому в г. Санкт-Петербурге 16.10.1999 Постановлением 14-19 на 14-ом пленарном заседании Межпарламентской Ассамблеи государств-участников СНГ, «база персональных данных» — это упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных).

Следует руководствоваться понятием, которое дано в модельном законе.
Так, базой данных можно считать таблицу в формате Excel, word, в которой содержится информация о персональных данных граждан или иным образом упорядоченный массив персональных данных, в том числе поддающийся обработке при помощи ЭВМ. Такое понимание базы данных позволяет распространить требования законодательства о персональных данных на все материалы, содержащие персональные данные, вне зависимости от того, каким образом они скомпонованы и каком формате обрабатываются бумажном или электронном.
При этом, единственным законным признаком, которым должна обладать база данных, является ее место нахождения – территория Российской Федерации.

Разъясните подробнее, что подразумевается под «персональными данными» и что подразумевается под «сбором персональных данных»?

В соответствии с п. 1 ст. 3 Федерального закона «О персональных данных» персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность. При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо. К числу данных, которые не могут рассматриваться, по крайне мере, по отдельности друг от друга в качестве персональных, могут быть отнесены: фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения. Такие данные должны быть отнесены к персональным данным только в случае, если они хранятся и обрабатываются совместно с идентификаторами, которые сами по себе определяют физическое лицо.

«Сбор персональных данных» — это получение персональных данных непосредственно от субъекта персональных данных и оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение с использованием баз данных на территории Российской Федерации, указанные виды обработки составляют единый процесс формирования и поддержания в актуальном состоянии базы данных, что должно осуществляться на территории Российской Федерации.

Можно ли в качестве базы данных использовать облачные технологии (SaaS, PaaS, SAP)? В том числе если эти технологии предоставляются компаниями, у которых, в том числе, есть в России свои или арендуемые серверы (как у того же SAP), но у клиента нет точной информации о том, какие именно серверы будут задействованы в конкретный миг работы?

242-ФЗ, а также проекты подзаконных актов, разработанных во исполнение указанного закона, не устанавливают каких-либо технических требований, предписывающих необходимость оператора персональных данных использовать какие-то конкретные технологии при сборе и хранении персональных данных. Так, оператор может использовать облачные технологии, но при этом обязан обеспечить, и при необходимости знать и иметь возможность документально подтвердить нахождение баз персональных данных на территории Российской Федерации.

Что следует понимать под «хранением» персональных данных?

Учитывая, что Федеральный закон «О персональных данных» не содержит термина «хранение», полагаем, что законодатель вкладывал в понятие данного слова, обычно используемое в повседневной жизни значение, которое не требует каких-либо дополнительных разъяснений. В связи с чем, при определении значения слова и применения нормы законодательства следует использовать буквальное толкование существительного «хранение». Однако, учитывая неопределенность в понимании данного понятия, полагаем возможным обратить внимание на ряд моментов, связанных с толкованием в праве аналогичного термина, однако применимого, например, к документам.

Так, согласно ГОСТ Р 51141-98. Государственный стандарт Российской Федерации. Делопроизводство и архивное дело. Термины и определения, утв. Постановлением Госстандарта России от 27.02.1998 № 28, а также ГОСТ Р 7.0.8-2013. Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Делопроизводство и архивное дело. Термины и определения, утв. Приказом Росстандарта от 17.10.2013 № 1185-ст, ХРАНЕНИЕ ДОКУМЕНТОВ представляет собой обеспечение рационального размещения и сохранности документов. При этом указанный ГОСТ, в рамках единого процесса хранения документов разделяет архивное хранение, оперативное хранение, ведомственное хранение документов и иные виды хранения документов в зависимости от сроков хранения (оперативное, архивное), от лиц, которые осуществляют хранение (ведомственное, архивное).

Иными словами, «хранение» представляет собой срочный или бессрочный процесс, подразумевающий нахождение документов в какой-либо организации или месте.
Применяя аналогию права к отношениям в области персональных данных, можно сказать, что «хранение» представляет собой срочный или бессрочный процесс, подразумевающий нахождение персональных данных в какой-либо организации или месте.

Хранение персональных данных должно быть ограничено достижением цели обработки. Федеральным законом «О персональных данных» (ч.4 ст.21) предусмотрено, что в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональных данных в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных.
В случае отсутствия возможности уничтожения персональных данных в течение указанного срока оператор осуществляет блокирование персональных данных и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев.
Необходимо отметить, что в 242-ФЗ отсутствуют понятия «временное хранение», «постоянное хранение».

Если российский гражданин выезжает за границу и желает воспользоваться сервисом за пределами РФ, возможно ли «копирование» его персональных данных из российской базы данных для того, чтобы он мог воспользоваться сервисом за границей, или ему будет необходимо создать новый аккаунт? Например, если российский гражданин путешествует из Москвы в Амстердам и желает воспользоваться сервисом в Амстердаме – возможно ли в таком случае копирование информации из российского дата-центра в дата-центр, расположенный в Амстердаме, для того, чтобы данный пользователь смог воспользоваться сервисом, либо он будет вынужден регистрировать новый аккаунт?

В случае, если отношения между российским гражданином и компанией, оказывающей соответствующие услуги, регламентируется договором, то трансграничная передача допустима по основанию, предусмотренному ст. 12 Федерального закона «О персональных данных» при условии, что соответствующая передача предусмотрена в условиях договора.

Если сбор данных осуществляется через российский сайт веб-компании в виде регистрации пользователя на сайте, например e-mail, название компании, пароль и, возможно, телефон, подходит ли этот сбор данных под персональные данные?

Полагаем, что приведенный набор данных не является персональными данными, поскольку их совокупность не достаточна для идентификации физического лица.

Как нужно подготовиться в документальном плане российским оператором для целей соответствия 242-ФЗ? Что следует указывать в (а) локальных нормативных актах, (б) политиках по обработке персональных данных, (в) согласиях, (г) уведомлениях в Роскомнадзор?

В документальном плане после вступления в силу 242-ФЗ операторам персональных данных следует в соответствии с частью 7 статьи 22 Федерального закона «О персональных данных» в течение десяти рабочих дней сообщить в РКН сведения о месте нахождения базы данных. Каким образом и в каком объеме необходимо представлять в уполномоченный орган информацию о местонахождении базы данных будет определено в подзаконном нормативном правовом акте.

Каков порядок использования международных территориально распределенных систем, в том числе при оказании услуг по кадровому и бухгалтерскому учету в рамках аутсорсинга с использованием системы SAR HR?

Указанные действия в рамках территориально распределенной системы должны быть обеспечены при сборе персональных данных российских пользователей с использованием сервера, расположенном на территории Российской Федерации.
При реализации деятельности по кадровому учету и расчету заработной платы, в том числе с участием аффилированного лица, оператор в соответствии с требованиями 242-ФЗ обязан обеспечить сбор указанных данных на сервере, расположенном на территории Российской Федерации. Последующая трансграничная передача в базу SAR HR должна осуществляться согласно требованиям ст. 12 Федерального закона «О персональных данных».

если можно, то как? / Хабр

После изменения российского законодательства, регулирующего хранение и обработку персональных данных, следом за введением принципа локализации баз персональных данных и блокировкой LinkedIn среди ИТ-специалистов все чаще возникают вопросы о том, какую информацию можно держать на зарубежных серверах.

Поспешим успокоить наших свободолюбивых читателей: хранить персональные данные за пределами России все еще разрешено, но с оговорками. И если вы хотите соблюдать российское законодательство и, вместе с тем, обезопасить данные от возможных административных атак недоброжелателей — этот пост для вас. Мы сформулировали основные «правила игры», в соответствии с которыми сегодня осуществляется хранение и трансфер персональных данных граждан Российской Федерации за границу.

Персонализируй это: что подразумевается под термином «персональные данные»

Понять, чего именно требует российское законодательство, нелегко. Минкомсвязи, правда, подготовило

памятку по основным вопросам обработки персональных данных

, но ясной и доходчивой ее не назовешь (обращаем ваше внимание, что по данной ссылке любой желающий может задать уточняющий вопрос экспертам министерства, не стоит пренебрегать этой возможностью). Начнем хотя бы с вопроса о том, что такое «персональные данные». Как люди культурные мы должны сперва определить предмет разговора.

В российском законе о персональных данных сказано следующее:

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»

Это калька

со статьи 2 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г.

Но, в отличие от соответствующей бумаги, данная формулировка не прозрачна. И столь же не современна, как калька. О какой именно информации идет речь?

Минкомсвязи и Роскомнадзор избегают уточнять понятие «персональные данные», ссылаясь на отсутствие полномочий. Позиция ведомственных теоретиков от юриспруденции в этом случае сводится к известной шутке: «два юриста — три мнения». Так что желающим разобраться в вопросе на практике приходится самостоятельно изучать юридическую практику и принимать решения на свой страх и риск.

Первое, что бросается в глаза, — закон «О персональных данных» защищает только физических лиц. При этом информация о них (с точки зрения закона) становится «персональными данными» только в случае, если ее можно с уверенностью соотнести с конкретным человеком.

Как много и какие именно сведения необходимо собрать, чтобы они стали персональными данными, вопрос спорный. В странах Евросоюза персональными данными может стать практически любая информация, если она позволяет как-либо выделить человека, например, из массы пользователей сайта.

Хорошей аналогией тут будет детективная работа. Как только информации становится достаточно, чтобы указать на преступника, она превращается в персональные данные, даже если сыщик не знает настоящего имени того высокого джентльмена, что единственный из подозреваемых курит трубку.

Показателен в этом плане и вступающий в силу с 25 мая 2018 года регламент N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС».
В нем под термином «персональные данные» также понимается любая информация, относящаяся к идентифицированному физическому лицу, но этот термин подробно раскрывается:

«Идентифицируемое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица».

Таким образом, в Европе в качестве персональных могут рассматриваться и большие данные, если их достаточно, чтобы выделить человека из толпы. Отметим, что Евгений Черешнев, руководитель компании Biolink Technologies, ввел в отечественный оборот термин «Цифровая ДНК», которым описывает совокупность «больших данных», позволяющую безошибочно определить данного конкретного пользователя. Я, как исследователь новых медиа, использую для того же явления

термин «цифровой след»

.

Российская Федерация разделяет с европейскими странами базовое определение персональных данных, но подход к составлению их перечня в стране долгое время был формальным и от того более узким.

Персональными данными признавались фамилия, имя, отчество и номер телефона, дата рождения, дата регистрации, номер паспорта, ИНН, данные трудового договора в различных комбинациях, но не по отдельности.

Кроме того, персональными данными признаются специфические сведения вроде информации об отпечатках пальцев, о геноме человека или о его здоровье.

Но это не все. Олег Ефимов, управляющий партнер правового партнерства «Ефимов и партнеры», к которому мы обратились за консультацией по практической стороне вопроса, уточняет, что ранее суды этим и ограничивались, но с изменением позиции Роскомнадзора произошел переход к расширительному толкованию термина. Так, например, Роскомнадзор однозначно расценивает в качестве персональных данных сочетание имени и адреса электронной почты.

В обновленном европейском законодательстве предусмотрены также ограничения на обработку персональных данных, «раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, и обработку данных, касающихся состояния здоровья или половой жизни». Для операций с такой информацией необходимо получить отдельное согласие субъекта персональных данных.

Похожая норма закреплена и в статье 10 закона Российской Федерации «О персональных данных».

«Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается».

Эти данные можно обрабатывать с письменного согласия лица, которому они принадлежат, а также если они являются общедоступными или обезличенными.

Передача за рубеж: что ограничено, то не запрещено

Россия входит в число стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 года, — и значит, может обмениваться данными с другими участниками конвенции без дополнительных формальностей.

Передача данных в страну, не охваченную конвенцией, требует согласия их владельца. Его можно получить в письменном виде или запросить через форму на сайте.

Дополнительно в юридическом поле появляется термин трансграничной передачи данных.

«Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу».

Однако это определение может поменяться. Наш эксперт Олег Ефимов подсказывает, что на данный момент существует проект Федерального закона, где эта формулировка заметно упрощается: «трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства». Т.е. изменилась привязка с местоположения лица, которому принадлежат сервера, на географическое положение сервера. Сейчас этот проект проходит процедуру оценки регулирующего воздействия.

Сохранность данных

Согласно

разъяснениям Минкомсвязи

, при трансграничной передаче персональных данных ответственность за их сохранность несет принимающая сторона. Так, например, два дата-центра, с которыми мы плотно сотрудничаем, находятся в Чехии, подписавшей Конвенцию 1981 года, и принадлежат чешскому юрлицу. И в нашем случае охрана информации будет осуществляться по чешским законам, обеспечивающим более надежную защиту от потенциальных рисков, включая, например, риски изъятия оборудования.

При этом передавать персональные данные можно без дополнительного согласия их обладателей. Но юристы тут добавляют, что в соответствии со статьей 22 Федерального закона «О персональных данных» оператор персональных данных обязан уведомить Роскомнадзор о наличии трансграничной передачи персональных данных, а их субъект имеет право получить от оператора информацию об осуществленной или о предполагаемой трансграничной передаче данных.

Что подразумевается под локализацией

Вернемся к законам. В чем же заключается требование о локализации баз с персональными данными на территории Российской Федерации?

Прежде чем ответить на этот вопрос, уточним, что законодательно данными российских граждан признается вся информация, собранная на территории Российской Федерации, если оператор персональных данных специально не уточнял вопрос гражданства.

Оператор «обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».

Олег Ефимов сразу добавляет, что под «обработкой персональных данных» также понимают сбор, использование, обезличивание, блокирование, удаление, уничтожение персональных данных, на которые требования о локализации баз данных не распространяются.

При этом для целей профессиональных журналистов, СМИ, научной, литературной или иной творческой деятельности Федеральный закон «О персональных данных» предусматривает исключение из правила.

В остальных случаях оператор обязуется создавать базы, содержащие персональные данные российских граждан, и совершать с ними различные операции на территории России.

Изображение: NewWay.biz

Эту правовую норму придется учитывать при проектировании ИТ-инфраструктуры компании, но она не запрещает передавать базы персональных данных на сервера в других странах.

Комментарий экспертов тут таков:

Для соблюдения закона важно, чтобы на территории России оставалась основная, наиболее полная и актуальная база персональных данных. На прочих серверах можно размещать ее копии или части. Причем в таких дочерних базах персональные данные можно не только хранить, но и обрабатывать, но при условии, что данные будут использоваться в тех же целях, что и в основной базе данных.

Поскольку в российском законодательстве нет узких определений баз данных и точных требований к тому, как именно с технической точки зрения должны храниться персональные данные, у компании, работающей с ними, остается возможность выбора.

Ни гражданский кодекс, ни ГОСТ Р 20886-85, ни Модельный закон о персональных данных никак не ограничивают форму хранения данных и позволяют называть локализованной базой данных все: от полноценного цифрового хранилища любой архитектуры до таблиц в Excel или бумажной картотеки.

В сухом остатке

Изъятие оборудование, длительные отключения, незаконные блокировки —  этим списком не исчерпываются проблемы, с которыми сталкиваются пользователи российских хостингов. В этом контексте решением проблемы видится зарубежный сервер.

Как с точки зрения субъекта персональных данных, так и с позиции компании, оперирующей его данными, то же чешское законодательство как нельзя лучше подходит для размещения баз данных с такой важной информацией, как персональные данные. Например, доступ к любой информации или инфраструктуре клиента, размещенной в этой стране, возможен исключительно по решению чешского суда.

Кроме того, местное законодательство позволяет использовать шифрование, которое в Российской Федерации потребовало бы дополнительной сертификации.

Действующие в ЕС международные стандарты обеспечивают безопасность баз данных и беспрепятственную работу с ними с территории Российской Федерации, что также не противоречит требованиям российского закона о локализации персональных данных, который направлен на то, чтобы обеспечить присутствие иностранных компаний в России.

Выполнение требований закона для отечественных организаций не столь обременительно и, при грамотном подходе, не мешает использовать иностранные хостинги так, как этого требуют бизнес-процессы и элементарные соображения безопасности бизнеса.

Вводится запрет на хранение и обработку персональных данных граждан России в базах данных, расположенных за пределами Российской Федерации

21 июля 2014 года Президент Российской Федерации подписал Федеральный закон № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (далее – «Закон»), предусматривающий изменения в регулировании порядка обработки персональных данных в информационно-телекоммуникационных сетях, а также обработки персональных данных в базах данных. Закон вступит в силу 1 сентября 2016 года.

Предлагаются следующие изменения в законодательстве:

• Обработка персональных данных граждан РФ исключительно в российских базах данных

В соответствии с поправками к Федеральному Закону от 27.07.2006 N 152-ФЗ ”О персональных данных” оператор будет обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ в базах данных, расположенных на территории РФ.

Предусматриваются исключения из этого правила в связи с определенными целями обработки персональных данных, такими как, достижение целей международных договоров или законов, выполнение законных полномочий и обязанностей оператора; осуществление правосудия; выполнение функций публично-правовых образований и организаций, предоставляющих государственные и муниципальные услуги; осуществление профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.

Обязанность оператора обеспечить нахождение баз данных информации, посредством которых осуществляется обработка персональных данных граждан РФ, на территории РФ также закрепляется в Федеральном законе от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». При уведомлении уполномоченного органа по защите прав субъектов персональных данных («Роскомнадзор») о начале обработки персональных данных оператор должен будет предоставить данные о месте нахождения базы данных, содержащей персональную информацию граждан РФ. Согласно действующему законодательству направление уведомления не требуется в ряде случаев, в частности, при обработке персональных данных в соответствии с трудовым законодательством, в связи с заключением договора, стороной которого является субъект персональных данных, при сборе исключительно Ф.И.О. субъектов персональных данных.

• Создание «Реестра нарушителей прав субъектов персональных данных»

На основании Закона Роскомнадзором будет создан «Реестр нарушителей прав субъектов персональных данных», в который, на основании судебного решения, будет включаться информация о нарушителях, в частности доменные имена или иные указатели страниц сайтов в сети интернет, на которых содержится информация, обрабатываемая с нарушениями; сетевые адреса, позволяющие идентифицировать такие сайты и другие данные.

На основании такого судебного решения субъект персональных данных вправе подать заявление о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства о персональных данных. Законопроектом устанавливается процедура по взаимосвязи Роскомнадзора, провайдера хостинга и владельца информационного ресурса, в результате которой принимаются меры по ограничению доступа к информации. В случае непринятия таких мер доступ к соответствующему информационному ресурсу ограничивается.

Эти изменения, в частности, призваны реализовать признанное на европейском уровне право субъекта персональных данных «быть забытым» в информационно-коммуникационной сети интернет.

Следует отметить, что сбор персональных данных и формирование базы данных может осуществляться оператором как посредством информационно-телекоммуникационной сети интернет, так и другими способами. Мы полагаем, что изменения могут коснуться не только деятельности компаний, ведущих свою деятельность непосредственно в сети интернет (таких как интернет-магазины, агентства по реализации билетов и услуг бронирования физическим лицам), но и операторов, формирующих базы персональных данных иными способами (например, работодателей, хранящих персональные данные работников и клиентов на иностранных серверах, а также провайдеров услуг хранения и обработки данных в информационно-коммуникационных сетях).

Представляется, что в представленных случаях оператор должен будет обрабатывать персональные данные российских граждан путем записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения (из базы данных) только на территории РФ. Несоблюдение этого требования может повлечь санкции для оператора. В частности, специалисты соглашаются с тем, что с вступлением в силу Закона существует риск блокировки (на основании судебного решения) иностранных сайтов, содержащих персональные данные российских граждан.

Следует отметить, что Закон не исключает возможность доступа к расположенным на территории России базам данных из-за рубежа, а также не предусматривает специальных ограничений на передачу, в том числе трансграничную, персональных данных из расположенной на территории России базы данных. Поэтому возможность обработки персональных данных российских граждан иностранными компаниями как таковая должна сохраниться. Вместе с тем, при изучении Закона возникает целый ряд вопросов, которые требуют дальнейшего разъяснения. Например, необходимы пояснения, будут ли иностранные компании при переносе своих серверов обязаны также соблюдать все иные требования российского законодательства в сфере персональных данных наравне с российскими компаниями-операторами персональных данных. Мы полагаем, что особенности применения Закона будут прокомментированы в дальнейшем регулирующим органом в сфере персональных данных и определены на практике.

Хранение персональных данных на зарубежном хостинге: если можно, то как?

После изменения российского законодательства, регулирующего хранение и обработку персональных данных, следом за введением принципа локализации баз персональных данных и блокировкой LinkedIn среди ИТ-специалистов все чаще возникают вопросы о том, какую информацию можно держать на зарубежных серверах.

Поспешим успокоить наших свободолюбивых читателей: хранить персональные данные за пределами России все еще разрешено, но с оговорками. И если вы хотите соблюдать российское законодательство и, вместе с тем, обезопасить данные от возможных административных атак недоброжелателей — этот пост для вас. Мы сформулировали основные «правила игры», в соответствии с которыми сегодня осуществляется хранение и трансфер персональных данных граждан Российской Федерации за границу.

Персонализируй это: что подразумевается под термином «персональные данные»

Понять, чего именно требует российское законодательство, нелегко. Минкомсвязи, правда, подготовило памятку по основным вопросам обработки персональных данных, но ясной и доходчивой ее не назовешь (обращаем ваше внимание, что по данной ссылке любой желающий может задать уточняющий вопрос экспертам министерства, не стоит пренебрегать этой возможностью). Начнем хотя бы с вопроса о том, что такое «персональные данные». Как люди культурные мы должны сперва определить предмет разговора.

В российском законе о персональных данных сказано следующее:

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»

Это калька со статьи 2 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. Но, в отличие от соответствующей бумаги, данная формулировка не прозрачна. И столь же не современна, как калька. О какой именно информации идет речь?

Минкомсвязи и Роскомнадзор избегают уточнять понятие «персональные данные», ссылаясь на отсутствие полномочий. Позиция ведомственных теоретиков от юриспруденции в этом случае сводится к известной шутке: «два юриста — три мнения». Так что желающим разобраться в вопросе на практике приходится самостоятельно изучать юридическую практику и принимать решения на свой страх и риск.

Первое, что бросается в глаза, — закон «О персональных данных» защищает только физических лиц. При этом информация о них (с точки зрения закона) становится «персональными данными» только в случае, если ее можно с уверенностью соотнести с конкретным человеком.

Как много и какие именно сведения необходимо собрать, чтобы они стали персональными данными, вопрос спорный. В странах Евросоюза персональными данными может стать практически любая информация, если она позволяет как-либо выделить человека, например, из массы пользователей сайта.

Хорошей аналогией тут будет детективная работа. Как только информации становится достаточно, чтобы указать на преступника, она превращается в персональные данные, даже если сыщик не знает настоящего имени того высокого джентльмена, что единственный из подозреваемых курит трубку.

Показателен в этом плане и вступающий в силу с 25 мая 2018 года регламент N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС».
В нем под термином «персональные данные» также понимается любая информация, относящаяся к идентифицированному физическому лицу, но этот термин подробно раскрывается:

«Идентифицируемое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица».

Таким образом, в Европе в качестве персональных могут рассматриваться и большие данные, если их достаточно, чтобы выделить человека из толпы. Отметим, что Евгений Черешнев, руководитель компании Biolink Technologies, ввел в отечественный оборот термин «Цифровая ДНК», которым описывает совокупность «больших данных», позволяющую безошибочно определить данного конкретного пользователя. Я, как исследователь новых медиа, использую для того же явления термин «цифровой след».

Российская Федерация разделяет с европейскими странами базовое определение персональных данных, но подход к составлению их перечня в стране долгое время был формальным и от того более узким.

Персональными данными признавались фамилия, имя, отчество и номер телефона, дата рождения, дата регистрации, номер паспорта, ИНН, данные трудового договора в различных комбинациях, но не по отдельности.

Кроме того, персональными данными признаются специфические сведения вроде информации об отпечатках пальцев, о геноме человека или о его здоровье.

Но это не все. Олег Ефимов, управляющий партнер правового партнерства «Ефимов и партнеры«, к которому мы обратились за консультацией по практической стороне вопроса, уточняет, что ранее суды этим и ограничивались, но с изменением позиции Роскомнадзора произошел переход к расширительному толкованию термина. Так, например, Роскомнадзор однозначно расценивает в качестве персональных данных сочетание имени и адреса электронной почты.

В обновленном европейском законодательстве предусмотрены также ограничения на обработку персональных данных, «раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, и обработку данных, касающихся состояния здоровья или половой жизни». Для операций с такой информацией необходимо получить отдельное согласие субъекта персональных данных.

Похожая норма закреплена и в статье 10 закона Российской Федерации «О персональных данных».

«Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается».

Эти данные можно обрабатывать с письменного согласия лица, которому они принадлежат, а также если они являются общедоступными или обезличенными.

Передача за рубеж: что ограничено, то не запрещено

Россия входит в число стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 года, — и значит, может обмениваться данными с другими участниками конвенции без дополнительных формальностей.
Передача данных в страну, не охваченную конвенцией, требует согласия их владельца. Его можно получить в письменном виде или запросить через форму на сайте.

Дополнительно в юридическом поле появляется термин трансграничной передачи данных.

«Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу».

Однако это определение может поменяться. Наш эксперт Олег Ефимов подсказывает, что на данный момент существует проект Федерального закона, где эта формулировка заметно упрощается: «трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства». Т.е. изменилась привязка с местоположения лица, которому принадлежат сервера, на географическое положение сервера. Сейчас этот проект проходит процедуру оценки регулирующего воздействия.

Сохранность данных

Согласно разъяснениям Минкомсвязи, при трансграничной передаче персональных данных ответственность за их сохранность несет принимающая сторона. Так, например, два дата-центра, с которыми мы плотно сотрудничаем, находятся в Чехии, подписавшей Конвенцию 1981 года, и принадлежат чешскому юрлицу. И в нашем случае охрана информации будет осуществляться по чешским законам, обеспечивающим более надежную защиту от потенциальных рисков, включая, например, риски изъятия оборудования.

При этом передавать персональные данные можно без дополнительного согласия их обладателей. Но юристы тут добавляют, что в соответствии со статьей 22 Федерального закона «О персональных данных» оператор персональных данных обязан уведомить Роскомнадзор о наличии трансграничной передачи персональных данных, а их субъект имеет право получить от оператора информацию об осуществленной или о предполагаемой трансграничной передаче данных.

Что подразумевается под локализацией

Вернемся к законам. В чем же заключается требование о локализации баз с персональными данными на территории Российской Федерации?

Прежде чем ответить на этот вопрос, уточним, что законодательно данными российских граждан признается вся информация, собранная на территории Российской Федерации, если оператор персональных данных специально не уточнял вопрос гражданства.

Оператор «обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».

Олег Ефимов сразу добавляет, что под «обработкой персональных данных» также понимают сбор, использование, обезличивание, блокирование, удаление, уничтожение персональных данных, на которые требования о локализации баз данных не распространяются.

При этом для целей профессиональных журналистов, СМИ, научной, литературной или иной творческой деятельности Федеральный закон «О персональных данных» предусматривает исключение из правила.

В остальных случаях оператор обязуется создавать базы, содержащие персональные данные российских граждан, и совершать с ними различные операции на территории России.

Изображение: NewWay.biz

Эту правовую норму придется учитывать при проектировании ИТ-инфраструктуры компании, но она не запрещает передавать базы персональных данных на сервера в других странах.

Комментарий экспертов тут таков:

Для соблюдения закона важно, чтобы на территории России оставалась основная, наиболее полная и актуальная база персональных данных. На прочих серверах можно размещать ее копии или части. Причем в таких дочерних базах персональные данные можно не только хранить, но и обрабатывать, но при условии, что данные будут использоваться в тех же целях, что и в основной базе данных.

Поскольку в российском законодательстве нет узких определений баз данных и точных требований к тому, как именно с технической точки зрения должны храниться персональные данные, у компании, работающей с ними, остается возможность выбора.

Ни гражданский кодекс, ни ГОСТ Р 20886-85, ни Модельный закон о персональных данных никак не ограничивают форму хранения данных и позволяют называть локализованной базой данных все: от полноценного цифрового хранилища любой архитектуры до таблиц в Excel или бумажной картотеки.

В сухом остатке

Изъятие оборудование, длительные отключения, незаконные блокировки —  этим списком не исчерпываются проблемы, с которыми сталкиваются пользователи российских хостингов. В этом контексте решением проблемы видится зарубежный сервер.

Как с точки зрения субъекта персональных данных, так и с позиции компании, оперирующей его данными, то же чешское законодательство как нельзя лучше подходит для размещения баз данных с такой важной информацией, как персональные данные. Например, доступ к любой информации или инфраструктуре клиента, размещенной в этой стране, возможен исключительно по решению чешского суда.

Кроме того, местное законодательство позволяет использовать шифрование, которое в Российской Федерации потребовало бы дополнительной сертификации.

Действующие в ЕС международные стандарты обеспечивают безопасность баз данных и беспрепятственную работу с ними с территории Российской Федерации, что также не противоречит требованиям российского закона о локализации персональных данных, который направлен на то, чтобы обеспечить присутствие иностранных компаний в России.

Выполнение требований закона для отечественных организаций не столь обременительно и, при грамотном подходе, не мешает использовать иностранные хостинги так, как этого требуют бизнес-процессы и элементарные соображения безопасности бизнеса.

Источник

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОСЕТИТЕЛЕЙ САЙТА

1. Пользователь, проходя регистрацию на Сайте https://sever.kia-asc.ru/, принимает настоящее Согласие на обработку персональных данных (далее – Согласие). Действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, Пользователь дает свое согласие Общество с ограниченной ответственностью «Север Авто С» зарегистрированному по адресу 115409, г. Москва, ул. Каширское ш., д. 39, к.1 (далее — Оператор) на обработку своих персональных данных со следующими условиями:

2. Данное Согласие дается на автоматизированную обработку персональных данных.

Согласие дается на обработку следующих моих персональных данных:

1. Специальные категории персональных данных – не обрабатываются.
2. Биометрические персональные данные – не обрабатываются.
3. Персональные данные, не являющиеся специальными или биометрическими:
фамилия, имя, отчество; номер телефона; адрес электронной почты; пол; семейное положение; дата рождения; адрес места жительства, образ жизни и поведение субъекта (в том числе, в сети Интернет), сфера деятельности, место работы и должность (род занятий), иные данные и информация, предоставленные и предоставляемые субъектом или ставшие известными ООО «Север Авто С» в целях, указанных в настоящем согласии.

3. Настоящее Согласие дается на выполнение следующих действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, в том числе трансграничная (распространение в случаях и в объеме, предусмотренных законодательством РФ, в том числе предоставление в государственные органы и иные организации), деперсонализация, блокирование, удаление, уничтожение персональных данных в целях:

1. продвижения и совершенствование товаров и услуг бренда Kia;
2. получения и исследования статистических данных об объемах продаж и качестве услуг бренда Kia;
3. изучения конъюнктуры рынка автомобилей, автомобильных запасных частей и аксессуаров;
4. сбора статистики по посетителям Сайта для улучшения качества работы Сайта и его содержания;
5. осуществления других видов деятельности в рамках законодательства РФ с обязательным выполнением требований законодательства РФ в области персональных данных.
6. сбора данных по поведению на сайте sever.kia-asc.ru (сервисами веб-аналитики, метрическими программами). Подробная информация приведена на официальном сайте ООО «Киа Россия и СНГ» в разделе в разделе «Правовая информация» на странице «Файлы Cookie и анализ посещения сайта» https://www.kia.ru/info/cookie/

При обработке персональных данных и информации в целях, не связанных с направлением информации рекламного характера, могут использоваться e-mail рассылка (направление сообщений на электронную почту), СМС-рассылка (служба коротких сообщений), почтовая рассылка, телефонные звонки, любые иные средства связи, сеть Интернет. Для целей направления информации рекламного характера могут использоваться только варианты связи, отмеченные выше, либо на которые отдельно дано согласие.

4. Основанием для обработки персональных данных является: ст. 24 Конституции Российской Федерации; настоящее Согласие на обработку персональных данных.

5. Оператор персональных данных ведет деятельность на территории Российской Федерации в соответствии с законодательством Российской Федерации. Предлагаемые товары/работы/услуги доступны к получению на территории Российской Федерации. Мониторинг потребительского поведения субъектов, находящихся за пределами Российской Федерации, не ведется.

6. Обработка персональных данных может быть прекращена по запросу субъекта персональных данных. Хранение персональных данных, зафиксированных на бумажных носителях, осуществляется согласно Федеральному закону №125-ФЗ «Об архивном дел в Российской Федерации» и иным нормативно правовым актам в области архивного дела и архивного хранения.

7. Согласие может быть отозвано субъектом персональных данных или его представителем путем направления письменного заявления заказным письмом с уведомлением Оператору по адресу, указанному в начале данного Согласия.

8. В случае отзыва субъектом персональных данных или его представителем согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от27.07.2006 г.

9. Настоящее согласие действует с момента проставления отметки и до момента прекращения обработки персональных данных, указанных в п.7 и п.8 данного Согласия.

10. Политика обработки данных ООО «Киа Россия и СНГ», а также описание прав субъекта персональных данных и возможности их реализации приведены на официальном сайте ООО «Киа Россия и СНГ» в разделе «Правовая информация» https://www.kia.ru/info/

Соглашение о персональных данных

Настоящим даю согласие на обработку моих вышеуказанных персональных данных ООО «ФОЛЬКСВАГЕН Груп Рус» (248926, г. Калуга, ул. Автомобильная, д. 1 / (почтовый адрес) адрес Филиала в г. Москве) 117485, г. Москва, ул. Обручева, д. 30/1) (далее – Оператор)*

с целями: обработки моего запроса, направленного через сайт www.skoda-avto.ru, и коммуникации со мной в целях, связанных с обработкой и выполнением моего запроса с помощью различных средств связи, а именно посредством: интернет; сообщений на адрес электронной почты; коротких текстовых сообщений (SMS) и мультимедийных сообщений (MMS) на номер телефона; а также посредством использования информационно-коммуникационных сервисов, таких как Viber, WhatsApp и тому подобных; телефонных звонков.

Я разрешаю совершать со своими персональными данными следующие действия: сбор, систематизацию, накопление, хранение (в электронном виде и на бумажном носителе), уточнение (обновление, изменение), использование, распространение (в том числе передачу) моих персональных данных третьим лицам, с которыми у Операторов имеются действующие договоры, в рамках которых Операторы поручают обработку персональных данных в вышеуказанных целях, включая трансграничную передачу персональных данных, обезличивание, блокирование, уничтожение, с использованием средств автоматизации и без использования таких средств.

Я подтверждаю, что давая настоящее согласие на обработку моих вышеуказанных персональных данных, я нахожусь на территории Российской Федерации.

Настоящее согласие на обработку моих персональных данных действует до момента выполнения моего запроса, направленного через сайт www.skoda-avto.ru и может быть отозвано мною ранее в соответствии со статьей 9 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» посредством направления соответствующего письменного заявления по почтовому адресу Оператора, указанного в настоящем согласии.

*Оператор и ООО «ФОЛЬКСВАГЕН Груп Рус» ведут деятельность на территории Российской Федерации в соответствии с законодательством Российской Федерации. Предлагаемые Оператором, а также привлекаемыми им третьими лицами в заявленных в настоящем согласии целях товары/работы/услуги доступны к получению на территории Российской Федерации. Мониторинг потребительского поведения лиц, находящихся за пределами Российской Федерации, как Оператором, так и привлекаемыми им третьими лицами, не ведется.

Зашифруйте свои данные, чтобы обеспечить совместимость GDPR и российского закона о локализации данных

Российский закон обязывает контроллеров данных хранить и обновлять данные, полученные от граждан России, с использованием российских серверов. Это обязательство не только технически сложно и часто дорого с точки зрения бизнеса, но также является головной болью для сотрудника по защите данных. В конце концов, хранение части вашей базы данных пользователей, расположенной за пределами ЕС, в стране, которая не считается адекватной в соответствии со статьей 45 Общего регламента ЕС по защите данных, может противоречить минимизации данных и может негативно повлиять на ваши законные оценки и т. Д.

Целью статьи является создание хранилища зашифрованного экземпляра базы данных в России без доступа к ключу дешифрования в качестве стратегии, которая формально соответствовала бы российскому законодательству о персональных данных при сохранении высокого уровня защиты прав и интересов субъектов данных. Анализ также может быть полезен для разработки дополнительных мер по обеспечению действительности стандартных договорных положений с местным хостинг-провайдером с учетом решения «Schrems II».

Краткий обзор требований к локализации данных в России

В сентябре 2015 года российский закон о персональных данных сделал обязательным для контроллеров данных хранить данные, полученные от граждан России с использованием баз данных, расположенных в России. Для удобства мы будем называть это требование в дальнейшем локализацией.

С помощью этих нескольких строк текста в законе родилась совершенно новая область знаний. В то время, когда требования о локализации были подписаны в законе, многие утверждали, что это был ответ на санкции США в отношении Крыма.С. и ЕС. А именно, заставляя компании хранить российские данные локально, Законодательный орган стремился обеспечить большую стабильность в российском сегменте Интернета в случае блокировки связи (хотя никто не мог сказать, какая польза от базы данных без сервисов / веб-сайтов, необходимых для ее обработки. ).

Лаконичная формулировка закона, а также отсутствие ясности в отношении цели, которую он преследует, создали массу неуверенности. Было неясно, требуется ли для локализации база данных граждан России, расположенная исключительно в России, или будет достаточно ее копии.

Однако местный регулирующий орган Роскомнадзор, которому было поручено обеспечить локализацию, быстро поделился своей позицией по некоторым из горячо обсуждаемых вопросов. В последующие годы некоторые аспекты локализации также были разъяснены в официальных инструкциях Минкомсвязи и в комментариях Роскомнадзора к закону о локализации.

В соответствии с этими устными разъяснениями органа по защите данных и письменными инструкциями, главный принцип, который следует соблюдать, заключается в том, что база данных в России всегда должна содержать больше или столько же данных, что и базы данных за рубежом.Следовательно, запись данных непосредственно на зарубежный сервер и зеркальное копирование изменений обратно в Россию не вариант, потому что между двумя событиями будет задержка в доли секунды.

С другой стороны, требования к локализации применяются только к данным, собранным от граждан России, то есть они не касаются данных, сгенерированных на стороне сервера. Например, если вы приобрели виджет на веб-сайте электронной коммерции, указанный вами адрес доставки будет считаться собранным и, следовательно, храниться в России, в то время как последующие обновления статуса отслеживания доставки выходят за рамки.

С момента вступления в силу требования к локализации повлекли за собой как минимум одну серьезную жертву — LinkedIn, который был заблокирован в России с 2016 года. После этого местные и международные компании стали более серьезно относиться к локализации. Дополнительная причина не игнорировать локализацию была представлена ​​парламентом в декабре 2019 года в виде штрафов в размере до 77000 долларов за первое нарушение и до 231000 долларов за последующие нарушения. В последние годы DPA требовало ответов от Twitter и Facebook о соответствии локализации, хотя этот вопрос все еще не решен.

Проблемы связанные с локализацией

Соблюдение требований к локализации всегда было трудным орешком. Поскольку вышеупомянутое руководство обеспечивает только желаемый результат, конкретная архитектура для этого остается на усмотрение контроллера. Предлагаемые решения содержат множество проблем, которые мы кратко обсудим ниже.

Технические проблемы

Многие предпочитают иметь базу данных местного производства, расположенную в России. Очевидно, что это гигантские вложения, которые создают значительную нагрузку на внутренние ресурсы контролера и являются тяжелым финансовым бременем.

Этот вариант сложен по разным причинам. Среди прочего, AWS в настоящее время не имеет локального сервера — это означает, что невозможно просто клонировать вашу производственную среду в новое место. Решения с бессерверной архитектурой также не получили широкого распространения среди российских хостинг-провайдеров, что означает, что контроллеры должны управлять арендуемыми серверами. В свою очередь, это затрудняет синхронизацию различных производственных сред, которые у вас есть, для разных локалей.

Другой широко обсуждаемый вариант — использовать прокси-сервис, который перехватывает весь трафик, исходящий от граждан России, и записывает личные данные в локальную базу данных до того, как он покинет страну и окажется в вашей основной производственной среде. Хотя это, как правило, дешевле в эксплуатации по сравнению с первым вариантом, оно может значительно увеличить время отклика для обслуживания в России. Может потребоваться некоторое время и усилия, чтобы убедить регулирующий орган в том, что архитектура не является обходом требований.

Также стоит упомянуть, что закон о локализации не делает никаких исключений для файлов cookie и других наборов данных, которые обычно выполняются на стороне пользователя. С формальной точки зрения, метрики, которые вы собираете с помощью пикселей, маяков и JS-скриптов, внедряемых на вашу страницу, также подлежат локализации.

Соображения о конфиденциальности

Конечно, на технической стороне проблемы не заканчиваются. С точки зрения конфиденциальности и совместимости с GDPR в России довольно сложно.

Во-первых, Комиссия ЕС не считает Россию подходящей для целей передачи данных за пределы Европейской экономической зоны, несмотря на то, что Россия подписала и ратифицировала Конвенцию 108. Это, в частности, потому, что российское DPA не является формально независимым, но подчиняется Министерству цифрового развития, связи и массовых коммуникаций.

Хотя местный закон о персональных данных чем-то напоминает Директиву ЕС о защите данных, есть множество причин считать, что хранение данных в России создает дополнительный риск для прав и свобод субъектов данных по сравнению с ЕС.

Как подробно описано в главе «Руководство по основным европейским гарантиям», посвященной Российской Федерации, российский закон о расследованиях не в полной мере соответствует уровню гарантий, предоставляемых европейским законодательством. Возможно, еще более актуальным для обсуждаемого вопроса является то, что закон требует (часть так называемого пакета Яровой), чтобы провайдеры связи сохраняли трафик, который они передают, в течение определенного периода времени и раскрывали его российским правоохранительным органам по запросу.

Такой регуляторный ландшафт может негативно повлиять на оценки, которые проводят профессионалы в области конфиденциальности при рассмотрении рисков, связанных с субъектами данных.Например, это может потребовать дальнейшего сокращения сроков хранения для оценки законных интересов, введения дополнительных мер для передачи данных и т. Д.

Преимущества шифрования

Что важно понимать в отношении российского законодательства о персональных данных и требований к локализации, так это то, что правоприменение регулируется регулирующим органом и его интерпретациями. Поскольку Роскомнадзор иногда может быть формалистичным, это создает как проблемы (например, правило, запрещающее сначала записывать данные в чужую базу данных из-за задержек менее секунды), так и возможности.

Роскомнадзор был последовательным в своей позиции, согласно которой применение мер безопасности не меняет характер лежащих в основе данных. Например, он неоднократно подтверждал, что хеширование является лишь мерой безопасности и не делает данные анонимными. Согласно этой логике и формальному толкованию закона любые личные данные, которые хранятся в зашифрованном формате, по-прежнему являются личными данными для целей закона о личных данных и, в частности, требований локализации.

В то же время ни в законе, ни в имплементационных актах нет требований о том, что контроллер должен предоставлять ключи дешифрования DPA во время аудита.Единственным исключением из этого правила являются диспетчеры, которые ранее были зарегистрированы в местном DPA в специальном реестре для тех, кто распространяет информацию.

Теоретически это открывает возможность реализации архитектуры, основанной на сквозном шифровании, когда в локальной базе данных хранятся зашифрованные биты трафика без ключа для его расшифровки. Даже если бы провайдер хостинга предоставил доступ к такой базе данных правоохранительным органам, это не принесло бы им никакой пользы из-за затрат, связанных с необходимостью взлома шифрования.

Такая настройка может рассматриваться как дополнительная гарантия для целей оценки рисков субъекта данных в соответствии с GDPR и, таким образом, снимет по крайней мере некоторые из опасений, поднятых в предыдущем разделе этой статьи.

Важно отметить, что предлагаемое решение сопряжено с риском и должно быть тщательно продумано перед внедрением. Невозможно исключить, что суды встанут на сторону регулирующего органа в том, что контролер не смог продемонстрировать соблюдение требований к удовлетворению регулирующего органа и, следовательно, должен быть оштрафован.Также стоит отметить, что правила шифрования в России довольно непрозрачны, и перед их применением следует обратиться за профессиональной юридической консультацией.

Однако с точки зрения защиты прав людей больше мер безопасности, безусловно, лучше, чем меньше. Мы в RPPA придерживаемся идеи, что эффективная конфиденциальность не должна нарушаться в целях демонстрации соблюдения.

В написании статьи приняли участие начальник управления по связям с общественностью Вадим Перевалов и соучредитель РООПА Алексей Мунтян.

Фото Ирины Гроткьяер на Unsplash

Законы о защите данных и конфиденциальности 2018 / Российская Федерация — Конфиденциальность

Чтобы распечатать эту статью, вам нужно только зарегистрироваться или войти на сайт Mondaq.com.

По вашему опыту, нужны ли компаниям в РФ сделать больше, чтобы полностью понять конфиденциальность и защиту своих данных обязанности в эпоху цифровых технологий?

Конфиденциальность и защита данных стали одними из самых обсуждаемых темы в секторе информационных технологий (ИТ) за последние годы.В эпоху цифровых технологий, на фоне развития законов о конфиденциальности данных, компании, в том числе работающие в России, а также иностранные инвесторы, должны тщательно оценить свои стратегии защиты данных и обеспечить соблюдение требований к конфиденциальности данных, чтобы снизить связанные с этим риски. Однако не все из них полностью осведомлены о своих правах и обязательства в этой конкретной области, особенно их обязанности по соблюдению конфиденциальности, необходимые меры безопасности, передача данных правила и требование «локализации», когда обработка персональных данных онлайн или офлайн.Действительно, это может быть большой вызов для них после введения более жестких санкции за утечку данных на локальном и глобальном уровне. Более в частности, я говорю о недавно представленных новых местных административные штрафы за различные нарушения конфиденциальности и выполнение Общего регламента по защите данных (GDPR).

Не могли бы вы рассказать о последних изменениях в законодательстве и регулировании влияет на корпоративное хранение, обработку и передачу данных в Российская Федерация?

Конечно, компании-операторы данных должны иметь понимание основных правовых и нормативных требований влияет на сбор, хранение и передачу персональных данных в Россия.Во-первых, при сборе персональных данных оператор данных должен предоставить субъекту данных определенную необходимую информацию, включая, помимо прочего, правовые основания и цели обработка данных, методы и продолжительность обработки данных, а также в качестве информации о трансграничной передаче данных, если требуется. Если предоставление персональных данных является обязательным по закону, данные оператор обязан объяснить субъекту данных юридические последствия отказа в предоставлении таких персональных данных.В тех случаи, когда личные данные собираются через Интернет, Оператор данных обязан обеспечить, чтобы запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных, относящихся к гражданам России Федерация осуществляется с использованием баз данных, находящихся в Российская Федерация. Другими словами, «локализация» требование должно выполняться в соответствии с национальным законом о защите данных. Хранение личных данных должно осуществляться в форме, позволяющей подлежащие определению данные до тех пор, пока цели данных обработки являются эффективными или необходимыми, за исключением случаев, когда конкретный срок хранение персональных данных предусмотрено законом или соглашение, по которому субъект данных является действительной стороной, выгодоприобретателем или поручителем.Персональные данные должны быть уничтожены или обезличены как можно скорее. по мере того, как цели обработки данных были достигнуты, или в в случае, если достижение таких целей больше не эффективны или необходимы, если иное не предусмотрено законом. Передача персональных данных за пределы России регулируется Статья 12 Закона о персональных данных. В случае трансграничного передачи данных, оператор данных должен обеспечить, прежде чем такая передача осуществляется, что права и интересы соответствующих субъект данных полностью защищен «надлежащим образом» в соответствующая зарубежная страна.Трансграничная передача данных в страны, которые не обеспечивают уровень «адекватного защита »допускается, если письменное согласие соответствующий субъект данных был получен, или это сделано для выполнение договора, стороной которого является субъект данных к.

Каким образом власти усилили контроль и правоприменительные меры в отношении защиты данных и конфиденциальность в последние годы?

Очень важно отметить, что местные законы о конфиденциальности данных в последние годы строго соблюдались, и российские данные Служба защиты довольно активна с точки зрения мониторинга данных. соблюдение защиты.Растет количество данных дела о нарушениях в последнее время, и национальная судебная практика, посвященная Обеспечение конфиденциальности данных в России постоянно развивается.

С 1 июля 2017 г. применены административные санкции по разным количество нарушений конфиденциальности было значительно увеличено. Например, данные обработка, которая не соответствует требованиям законодательства для объем данных, представленных в письменном согласии субъекта данных, может повлечь наложение штрафа в размере 75 000 рублей.Также в случае незаконного обработка данных в Интернете, доступ к веб-сайту, нарушающему авторские права, может быть заблокирован в России по решению суда. Уголовное преследование и тюремное заключение доступно для определенных категорий нарушения конфиденциальности.

Какие идеи мы можем извлечь из последних важных данных нарушения? Какое влияние эти ситуации оказали на данные защита ландшафта?

Недавно была заблокирована социальная сеть LinkedIn. в России за несоблюдение требования «локализации».Также в Telegram российский суд оштрафовал за обмен мгновенными сообщениями. услуга 800 000 руб. за непредоставление ФСБ Служба (ФСС) с ключами расшифровки, предусмотренная статьей 10.1. (4.1) Закона о защите данных. 22 октября 2018 г. Апелляция Telegram была отклонена, и наложен административный штраф. принудительно. Закон требует, чтобы все службы обмена сообщениями обеспечивали конфиденциальность общения их пользователей.

В данном случае ФСС, хотя и имеет право видеть такие сообщения по закону, Telegram отказал в доступе, утверждая, что в нем отсутствует контроль над процессами кодирования и декодирования.Дело Telegram показывает, что если соответствующая технология мессенджера не разрешить государственным органам получить доступ к расшифрованной информации, включая определенные категории персональных данных, это может считаться данные нарушения.

Какие шаги могут предпринять компании, чтобы снизить риски, связанные с данными? от использования третьих лиц, таких как консультанты, агенты и дистрибьюторы?

Сторонние процессоры, включая консультантов и агентов, являются в основном подчиняются тем же юридическим требованиям, что и операторы данных, и они должны соответствовать установленным правилам обработки данных.

Сторонние процессоры, включая консультантов и агентов, являются в основном подчиняются тем же юридическим требованиям, что и операторы данных, и они должны соответствовать установленным правилам обработки данных. Обычно такие третьи стороны будут действовать под конкретными данными. соглашения об обработке, и операторы данных будут нести ответственность за все действия или бездействие процессоров перед субъектами данных, в то время как соответствующие обработчики должны нести ответственность перед данными операторы.Важно отметить, что субъекты данных должны дать согласие на передачу своих персональных данных сторонним обработчикам.

Что компании могут сделать для управления внутренними рисками конфиденциальности данных и угрозы, такие как ответственность, возникающая из-за утерянных устройств или действия мошенников?

Внутренние риски и угрозы конфиденциальности данных, например возникающие от потерянных устройств и утечки данных, можно уменьшить с помощью реализация необходимых и достаточных мер безопасности предписано местными законами, постановлениями и стандартами.В других словами, определенные юридические, технические и организационные шаги должны быть осуществляется с точки зрения общего управления обработкой данных и согласие. При обработке персональных данных сотрудников также очень важно иметь четкое представление об общих данных требования защиты, установленные национальными трудовыми законодательства, помимо требований, предусмотренных российским Закон о защите данных и Закон Российской Федерации о персональных данных.

Какие важные советы вы можете дать компаниям на русском языке? Федерация по управлению рисками данных и соблюдению нормативных требований соблюдение требований в будущем?

Важно управлять рисками, связанными с данными, и соблюдать нормативные требования. соблюдение должным образом.Для этих конкретных целей назначение сотрудника по защите данных (DPO), принятие мер защиты данных политика и другие необходимые документы, а также реализация надлежащих мер безопасности, будут первыми ключевыми моментами делать. Распределение функций и ответственности между компетентными сотрудников тоже необходимо. Партии должны вести периодические данные аудит конфиденциальности и обеспечение постоянного контроля безопасности данных место и что компания соответствует национальным данным требования к защите.

Эта статья является частью Закона о защите данных и конфиденциальности. Годовой обзор 2018 от Financier Worldwide. Для получения полного списка содержимое, пожалуйста, посетите https://www.financierworldwide.com/annual-review-data-protection-privacy-laws-2018/

Данная статья предназначена для ознакомления с общими руководство по предмету. Следует обратиться за консультацией к специалисту. о ваших конкретных обстоятельствах.

Краткое руководство по новому российскому закону о локализации данных

Специалисты по обеспечению конфиденциальности и безопасности данных со всего мира должны указать 1 сентября в своих календарях, поскольку именно в этот день вступает в силу новый российский закон о локализации данных, который, возможно, вызовет серьезные волнения далеко за пределами России.Это потому, что закон имеет серьезные последствия для компаний, которые собирают личную информацию от российских граждан, даже если эти компании не имеют физического присутствия в России. В этом посте представлен общий обзор законов о локализации данных с особым акцентом на российское законодательство и его потенциальные последствия.

Каковы законы о локализации данных?

Законы о локализации данных обычно требуют, чтобы определенные типы данных, собранные в определенной стране, хранились и / или обрабатывались в этой стране.Другими словами, те типы данных, которые регулируются законодательством о локализации страны, не могут быть переданы в другую страну для хранения и обработки — данные должны храниться или обрабатываться на серверах, расположенных в этой стране. Законы о локализации данных иногда называют «законами о суверенитете данных», потому что они отражают утверждение суверенитета конкретной страны над данными, происходящими из этой страны.

Какие вопросы возникают в связи с законами о локализации данных?

Субъекты, в отношении которых действуют законы о локализации данных, такие как транснациональные корпорации, которые собирают данные в пределах определенных иностранных юрисдикций, должны знать об этих законах и изыскивать способы их соблюдения.Соблюдение законов о локализации данных может быть сложным и дорогостоящим. На практике соблюдение требований может означать создание и обслуживание серверов в этой стране, а также разделение данных, собранных из разных стран, чтобы гарантировать, что личная информация субъектов данных хранится на серверах в странах происхождения этих субъектов, если это необходимо. Кроме того, как подробно описано ниже, во всем мире существует много различий в законах о локализации данных, и компании должны ознакомиться с тонкостями каждого отдельного закона, чтобы обеспечить соблюдение.

В каких странах действуют законы о локализации данных?

В ряде стран, включая Канаду, Индонезию, Нигерию и Южную Корею, есть законы о локализации данных, но они различаются по характеру и сфере действия. Например, на уровне провинций Канады законы Британской Колумбии и Новой Шотландии требуют, чтобы личная информация, находящаяся в распоряжении определенных государственных учреждений, была сохранена и доступна исключительно в пределах Канады, за некоторыми исключениями. Правительство Индонезии требует, чтобы организации, предоставляющие «общественные услуги» — термин, который можно толковать в широком смысле, — имели центры аварийного восстановления в Индонезии.Нигерия требует, чтобы все правительственные данные размещались на территории Нигерии. Южнокорейский закон был интерпретирован как запрет на хранение картографических данных на серверах за пределами Южной Кореи, что означает, что иностранным посетителям может быть сложно использовать такие приложения, как Google Maps, в этой стране. Кроме того, бразильские законодатели рассматривали возможность внедрения закона о локализации данных, который потребовал бы от компаний хранить в Бразилии данные, полученные ими от бразильских пользователей, но в конечном итоге отказались от этого.

В других странах, например в Австралии, действуют законы, ограничивающие передачу определенных типов данных за пределы страны. Хотя эти законы могут не требовать, чтобы данные хранились и обрабатывались локально, их ограничения на зарубежные передачи фактически требуют или, по крайней мере, настоятельно поощряют локализацию данных. Закон Австралии о персонально контролируемых электронных медицинских записях запрещает передачу или обработку данных о состоянии здоровья за пределами Австралии в некоторых ситуациях, что по сути означает, что многонациональные компании, работающие с этим типом данных, должны либо создавать центры обработки данных в Австралии, либо принимать меры к тому, чтобы австралийские организации обрабатывали данные.Даже Директива Европейского Союза о защите данных может рассматриваться как поощрение локализации данных, поскольку организация может испытывать давление, чтобы хранить и обрабатывать личную информацию в пределах ЕС, чтобы избежать необходимости выполнять предварительные условия Директивы для экстерриториальной передачи данных.

Движение к законам о локализации данных, по-видимому, было вдохновлено, по крайней мере частично, разоблачениями Эдварда Сноудена о масштабах слежки Агентства национальной безопасности. Соответственно, некоторые страны приняли законы о локализации данных, пытаясь помешать U.Воспринимаемая способность правительства С. получить доступ к данным. Другие страны приняли законы о локализации данных, чтобы разрешить правительственный доступ к записям. Например, вьетнамское законодательство требует от провайдеров интернет-услуг хранить копии своих данных на территории Вьетнама, чтобы их могли проверить государственные органы. Третьих может соблазнить предполагаемая экономическая выгода от внутреннего ИТ-хостинга и возможность ограничить конкуренцию со стороны иностранных компаний, хотя исследования Европейского центра международной политической экономии показывают, что законы о локализации данных оказались экономически вредными по крайней мере для некоторых стран. которые приняли их.

Какова бы ни была причина их принятия, законы о локализации данных являются важной глобальной тенденцией, и профессионалы в области конфиденциальности и безопасности данных должны знать об этих законах и о том факте, что они значительно различаются от страны к стране.

Какова природа нового российского закона о локализации данных?

Новый российский закон о локализации данных, Федеральный закон № 242-ФЗ, был принят в июле 2014 года в виде набора поправок к Российскому Закону о персональных данных и первоначально должен был вступить в силу 1 сентября 2016 года.Однако в конце 2014 года президент России Владимир Путин подписал закон, изменяющий дату вступления в силу закона о локализации данных с 1 сентября 2016 года на 1 сентября 2015 года.

Закон требует от «операторов» собирать, хранить и обрабатывать личные данные российских граждан с использованием баз данных, расположенных на территории России. Учитывая, что законы о локализации данных других стран часто применяются только к определенным типам личной информации или категориям данных, закон России составлен гораздо шире. Кроме того, операторы также должны проинформировать Роскомнадзор, государственный орган, контролирующий телекоммуникации, информационные технологии и массовые коммуникации, о местонахождении серверов, на которых хранятся личные данные россиян.Интернет-адреса, не соответствующие закону, могут быть заблокированы. Поскольку закон прямо не освобождает иностранные компании от его требований, следует предположить, что российские правоохранительные органы будут интерпретировать закон как применимый в равной степени к иностранным компаниям, которые собирают, хранят и / или обрабатывают персональные данные российских граждан, которые: По сути, это означает, что транснациональным компаниям и любым другим организациям, которые обрабатывают персональные данные российских граждан, необходимо инвестировать время, энергию и средства, необходимые для изучения нового закона и обеспечения соблюдения его требований, если это необходимо.

Минкомсвязи России опубликовало на своем веб-сайте разъяснения, которые дают ценную информацию о предполагаемом применении закона правительством. Важно отметить, что разъяснения подчеркивают широкую сферу действия закона: хотя сайт предполагает, что закон предназначен для применения только к тем организациям, которые находятся на территории России, он признает, что «трансграничный» характер Интернета затрудняет ограничение доступа в Интернете. деятельность в пределах географических границ. Далее следует, что закон будет истолкован как применимый к иностранным организациям, которые направляют деятельность, «направленную на территорию Российской Федерации», — довольно неоднозначный критерий, который на практике может толковаться широко.

Почему так важен российский закон о локализации данных?

Как одна из экономик БРИКС, Россия является крупным и все более важным рынком для предприятий, многие из которых уже имеют российских пользователей, клиентов или сотрудников. Этот факт в сочетании с широкой сферой действия закона означает, что новый российский закон о локализации данных побуждает многие компании — не только те, которые базируются в России — вносить значительные и, вероятно, дорогостоящие изменения в свою деятельность, чтобы соответствовать.Некоторые компании отреагировали на законодательство, перенеся некоторые операции с данными в Россию. С другой стороны, другие компании могут решить полностью уйти с российского рынка.

Даже если компания решит инвестировать в обслуживание серверов в России, чтобы избежать нарушения закона, ей также придется проверять и разделять собранные данные, чтобы гарантировать, что данные граждан России останутся в России. . Хотя на первый взгляд кажется, что несколько более простым решением может быть миграция всех операций хранения и обработки данных на российские серверы, имейте в виду, что Россия не входит в ЕС и не подпадает под действие Директивы ЕС о защите данных.Соответственно, данные не могут быть переданы из страны ЕС в Россию так же легко, как, например, из Италии в Испанию (поскольку и Италия, и Испания находятся в ЕС и подпадают под действие Директивы ЕС о защите данных).

Хотя закон еще не вступил в силу и его истинный эффект еще предстоит увидеть, ясно то, что закон может существенно повлиять на деятельность многих компаний по всему миру. Поэтому специалисты по конфиденциальности и безопасности данных должны изучить закон, выяснить, в какой степени их компании используют личные данные россиян, и подумать, нужно ли им принимать меры для обеспечения соблюдения.

Защита данных в России

Мы хотели бы воспользоваться этой возможностью, чтобы проинформировать вас о новых изменениях в российском законодательстве о защите данных.

Особо следует отметить, что с 2015 года личные данные (« ПД ») российских граждан в принципе должны храниться в России. Опыт показывает, что соответствующие органы в полной мере используют ряд санкций, предусмотренных законами о защите данных. Ниже приводится краткое изложение меморандума, составленного российскими коллегами-юристами, в котором описывается (i) объем применимого законодательства и (ii) ужесточение санкций за нарушения.Что касается санкций, то поправки в Кодекс об административных правонарушениях прошли третье чтение 27 января 2017 года и, скорее всего, будут одобрены Президентом.

Обзор

1 сентября 2015 года вступил в силу закон о внесении изменений в различные российские законы о защите данных («Закон»).

В частности, Закон внес поправки в Закон о персональных данных («Закон о персональных данных»), введя новые обязанности в отношении хранения ПД граждан России.

Основные понятия и определения

Закон распространяется, в частности, на операторов ПД и операторов ИТ-систем.

В Законе о персональных данных ничего не говорится о его экстерриториальной сфере применения. Однако, исходя из определений оператора ИТ-системы и оператора ПД, можно сделать вывод, что если иностранная организация, государственный орган или другая организация обрабатывает ПД российских граждан, это связано с Законом о персональных данных или международными договорами, связанными с ПД. .

Другими словами, Закон о персональных данных, включая санкции за нарушения, распространяется на обработку ПД граждан России за пределами России.

Таким образом, будет правильным сделать вывод, что Закон распространяется на всех юридических и физических лиц, участвующих в обработке ПДн, включая иностранные юридические лица, которые никаким образом не представлены в России. Закон в основном решает два основных вопроса:

1. описывает меры по борьбе с нарушителями прав владельцев ПД; а также
2. вводится обязанность хранить ПД граждан России с использованием баз данных, находящихся на территории Российской Федерации.

Обязанность использовать российские дата-центры

Вторая часть Закона налагает обязанность на все компании, организации и лиц, которые обрабатывают или способствуют обработке ПД физических лиц, именуемых «операторами», «обеспечивать запись, систематизацию, накопление, хранение, изменение и извлечение персональных данных граждан РФ с использованием дата-центров, расположенных на территории Российской Федерации, в процессе сбора персональных данных, в том числе через Интернет ».

Другими словами, собранные операторами ПД граждан России должны храниться на серверах / дата-центрах, расположенных в Российской Федерации.

В частности, операторы освобождаются от вышеуказанного обязательства, то есть им разрешается хранить российские данные в зарубежных дата-центрах, если такая обработка требуется:

• для достижения целей, предусмотренных международным договором Российской Федерации или законом, осуществлять и выполнять функции, полномочия и обязанности, возложенные на оператора законодательством Российской Федерации;
• для осуществления правосудия, исполнения определения суда, постановления другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• осуществлять полномочия федеральных органов исполнительной власти, органов федеральных внебюджетных фондов, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления, а также функции организаций, осуществляющих оказание федеральных и муниципальных услуг соответственно;
• осуществлять профессиональную деятельность журналиста и / или законную деятельность средства массовой информации, научную, литературную или иную творческую деятельность, при условии, что этим не нарушаются права и законные интересы владельца ПДн.

Уведомление в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (« РКН »)

Закон внес поправку в Закон о персональных данных, которая налагает на операторов обязанность уведомлять РКН о точном местонахождении серверов / центров обработки данных, где хранятся или будут храниться ПД граждан России.

Это за исключением того, что оператор ПД имеет право обрабатывать данные без уведомления RKN, если, в частности, обрабатываются ПД сотрудников, ПД считается общедоступной или ПД включает только имя, отчество и фамилию ПД. собственники.

Непредставление уведомления RKN с указанием местонахождения базы данных может рассматриваться как нарушение Закона о персональных данных и, в этом отношении, влечет наложение административных санкций.

Вышеуказанное обязательство распространяется на все типы российских и иностранных компаний, независимо от сферы деятельности, в которой они участвуют, например туризм, транспорт, электронная коммерция, банковское дело, телекоммуникации, информационные технологии и т. д., поскольку ключевым фактором является сбор / обработка персональных данных граждан России.

Трансграничный перевод ПД

Действующий Закон о персональных данных позволяет осуществлять трансграничную передачу ПД при условии, что такие данные передаются в (i) страну, которая подписала Конвенцию Совета Европы о защите физических лиц в отношении автоматической обработки персональных данных. CETS Нет. . 108, или (ii) страна, утвержденная РКН (см. Приказ РКН № 274 от 15 марта 2013 г., который одобрил 19 стран), или (iii) другая страна, при условии согласия физического лица на такое пересечение границы передача его или ее личных данных.

Выполнение вышеуказанного обязательства может работать следующим образом, если его толковать рационально. ПД граждан России могут храниться как (i) в России в качестве обязательного требования, так и (ii) за рубежом при условии надлежащего получения согласия гражданина России на трансграничную передачу и согласия на хранение его или ее ПД за пределами России. Таким образом, ПД будут дублироваться как в российских, так и в зарубежных дата-центрах.

В настоящее время широко обсуждаются физические и технологические устройства хранения ПД в России.Выделяются два ключевых подхода: (1) создание внутренних центров или (2) аренда площадей на серверах, расположенных в России.

Выводы

Ввиду вышеизложенного и на основе консервативного анализа текущих законодательных изменений по вопросам информации и PD предполагается, что:

1. Закон, включая санкции, применяется к иностранным компаниям независимо от их присутствия в России;
2. все затронутые компании должны способствовать хранению ПД граждан России на территории Российской Федерации с помощью собственной или арендованной базы данных;
3. компании, обрабатывающие ПД граждан России и не подпадающие под исключения, предусмотренные законом (см. выше), должны будут уведомить РКН об обработке ПД граждан России, указав местонахождение базы данных, содержащей такие данные, на территории. Российской Федерации.

Новые штрафы

Контроллер данных может быть привлечен к гражданской, административной или уголовной ответственности в случае нарушения Закона о персональных данных.

Поправки в Кодекс об административных правонарушениях прошли третье чтение 27 января 2017 года и, скорее всего, будут одобрены Президентом.

Поправки вводят 7 новых нарушений законодательства о защите данных и увеличивают штрафы за нарушение закона о защите данных.В частности, законопроект предусматривает максимальный штраф в размере 75000 рублей (примерно 1300 евро) за отсутствие согласия держателя персональных данных на обработку его персональных данных или несоответствие содержания согласия требованиям, установленным закон.

Россия оштрафовала Google за нарушение закона о хранении данных

МОСКВА (AP) — В четверг суд Москвы обязал Google выплатить Google штраф в размере 3 миллионов рублей (примерно 41 000 долларов США) за отказ хранить личные данные российских пользователей на серверах в России , шаг, который является частью давних усилий правительства по ужесточению контроля над онлайн-активностью.

Штраф — первый штраф, наложенный на Google в России за нарушение правил хранения данных. Facebook и Twitter ранее получали аналогичные наказания за якобы нарушение российских правил.

Усилия российского правительства по контролю за использованием Интернета и социальных сетей начались в 2012 году, когда был принят закон, разрешающий властям вносить в черный список и блокировать определенный онлайн-контент. С тех пор было введено все больше ограничений, нацеленных на приложения для обмена сообщениями, веб-сайты и платформы социальных сетей.

Одно юридическое положение требовало, чтобы технологические компании держали в России серверы для хранения личной информации, которую они собирают от российских граждан. Роскомнадзор, государственный орган по надзору за коммуникациями, в течение нескольких лет безуспешно пытался заставить крупные технологические компании, такие как Facebook, Twitter и Google, перенести данные российских пользователей в Россию.

Закон позволяет запрещать онлайн-сервисы, не соблюдающие требования к хранению данных, в России. Правительство неоднократно угрожало заблокировать Facebook и Twitter, но не приняло прямых запретов, вероятно, опасаясь, что этот шаг вызовет слишком много общественного возмущения.Пока власти запретили LinkedIn только за то, что они не хранят пользовательские данные в России, а до этого платформа социальных сетей не пользовалась большой популярностью в стране.

В этом году давление на основные платформы социальных сетей усилилось после того, как российские власти раскритиковали их за то, что с их помощью десятки тысяч людей вышли на улицы с требованием освободить заключенного в тюрьму лидера российской оппозиции Алексея Навального, самого известного критика президента Владимира Путина. Волна демонстраций по всей стране стала серьезным вызовом для Кремля.

Официальные лица утверждали, что платформы социальных сетей не смогли убрать призывы к детям присоединиться к протестам, а Путин призвал полицию более пристально следить за платформами социальных сетей и отслеживать тех, кто вовлекает детей в «незаконные и несанкционированные уличные акции».

Facebook и Twitter в этом году неоднократно подвергались штрафам за неспособность удалить контент, который российские власти сочли незаконным. Роскомнадзор однажды пригрозил запретить Twitter и с марта снизил скорость работы платформы.

% PDF-1.4 % 1 0 объект > / Метаданные 486 0 R / Страницы 2 0 R / Тип / Каталог >> эндобдж 486 0 объект > поток 2008-08-05T15: 58: 52-04: 002008-08-05T15: 58: 53-04: 002008-08-05T15: 58: 53-04: 00Adobe InDesign CS3 (5.0.3)

JPEG256256 / 9j / 4AAQSkZJRgABAgEASABIAAD / 7QAsUGhvdG9zaG9wIDMuMAA4QklNA + 0AAAAAABAASAAAAAEA AQBIAAAAAQAB / + 4AE0Fkb2JlAGQAAAAAAQUAAuE8 / 9sAhAAKBwcHBwcKBwcKDgkJCQ4RDAsLDBEU EBAQEBAUEQ8RERERDxERFxoaGhcRHyEhISEfKy0tLSsyMjIyMjIyMjIyAQsJCQ4MDh8XFx8rIx0j KzIrKysrMjIyMjIyMjIyMjIyMjIyMjI + Pj4 + PjJAQEBAQEBAQEBAQEBAQEBAQEBAQED / wAARCAEA AMYDAREAAhEBAxEB / 8QBogAAAAcBAQEBAQAAAAAAAAAABAUDAgYBAAcICQoLAQACAgMBAQEBAQAA AAAAAAABAAIDBAUGBwgJCgsQAAIBAwMCBAIGBwMEAgYCcwECAxEEAAUhEjFBUQYTYSJxgRQykaEH FbFCI8FS0eEzFmLwJHKC8SVDNFOSorJjc8I1RCeTo7M2F1RkdMPS4ggmgwkKGBmElEVGpLRW01Uo GvLj88TU5PRldYWVpbXF1eX1ZnaGlqa2xtbm9jdHV2d3h5ent8fX5 / c4SFhoeIiYqLjI2Oj4KTlJ WWl5iZmpucnZ6fkqOkpaanqKmqq6ytrq + hEAAgIBAgMFBQQFBgQIAwNtAQACEQMEIRIxQQVRE2Ei BnGBkTKhsfAUwdHhI0IVUmJy8TMkNEOCFpJTJaJjssIHc9I14kSDF1STCAkKGBkmNkUaJ2R0VTfy o7PDKCnT4 / OElKS0xNTk9GV1hZWltcXV5fVGVmZ2hpamtsbW5vZHV2d3h5ent8fX5 / c4SFhoeIiY qLjI2Oj4OUlZaXmJmam5ydnp + So6SlpqeoqaqrrK2ur6 / 9oADAMBAAIRAxEAPwDjOKuxVvJBVwp4 ZYAFXKFr0GHhCGyo7AY8IVriPAY8IS0QPDHhCpqIIKD92nT + UZljHDuDKl3oQcAfSTqf2R7YfDhX ILTXoQf77T / gRg8OHcFp3oQf76T / AIEf0w + HDuC0uWC35D90nX + Uf0yQxw7gtL5Le2FKRR9 / 2R4 / LD4UO4IARCWNrJED6MYPjxH9MfCh4BCm1pDGd4IyP9Rf6Y + FDuCtG3tdj6Me4 / lH9MfBh4BLvq1r / vmP / gR / THwodwVVjtLQg1gj / wCAXwPtj4UO4IXNaWlf7iPoP2F / pj4UO4KuWytD / uiP / gF / pkZY 4dwVFW + n2Dh5reI / NF / plRxx7kok2WloQDaQEk / 77T / mnKMkKSCF507SyP8AeWDqeka + 3tmHk4gn YoS50yyW5tKW8QV5SGARaEelK1CKe2QGTYseA2wnL0OxVUaCdOXONl4BWaqkUDU4k / Ou2TCtDJhV w2yQQv5Yq0WB7YqtJ36YpTgMOI2HTM3iZ02zDgOg3P8ADAZbKsrgtW642q9QKj4h + OTCCrSogVSH FTXJFAV4mCwdR0woPNpLlCOMhBxWmplSgZTTFQpVUftDG0q0VOJ3 / wA6HFC5z8Q37DBaQvU5GRVF 2pUMOXfK + IBBjaOe3R6EHpvlWRIih4R45fiPw1P07DMXNVJhA2pXUtZrP2mP / JmbMMQ3LeSNmB5k uM7FWWGeD6y8QFtGfqWnxmcTA8m9G2RlJMzJ8LD4qD4ab0pkglStZLEWlhbXjRpKnNjMGUskit6i JJxrVXjfj7Gm / wAJGTCFktwz2NqIZYxdyWquzKyKwf6zcchyFOL8Cvh8PtkoqjLg6VdosTzQWssM KLzj4gTrJcUmUsmwZGPJaj + 79lUZLqqVaxHBwjnQIXnZnYrJzZFAWkTKHNOJJFabgDAqUEYqy / yp oseva / YaTK / GK5k / ekHifTRTI4UkHcqppmTkPDC2Vqdzr + ovJcLZzPYWMkhC2FuxSARpRUV0WiyG gFWepPU5COMGNlQiYf0Xq / 6Z1S9tZI5LOyhuY4rJ47eLmjW1m49M28oAZpOfw0p0pvtE3DkvJC + W LKz1TW7LTdREpivZUgLW7rG6NIwUPV4pQQK9KfTkpSIjaUfomk2GraZf39tpepX81pdQxx21nOjO IZxOQz8bCUkp6O7UAPLoO8TkkK3RajBaaNNf3dheJdaZwBWKSeVX + rSoOLrcotqjOvqdePEqOxOW SnPhtVKW2trO0ltdRgnj1G2uUt5GSZPRVTyZj6foMX + GM8SJKGoPzPiSlVIRV1b + XI9JtL + O1vo5 NQku4Iw93C6xNbpAyOwFghYMZ9xUdOuRE8nFSUolThGhrvTcZk9EBkOgQwXUVx5TlSNbrWbb1YJn ADx3KlZ7OMM9KB1U1p15jMXNIk2OilLfLkdjd3Qg1GOZo3VhSCRYnV1Vm3MkMwP2SKUy0zJhYUoe CW2lukd45PqzuCIhIvqCMnZfV9Ljyp + 1w + jDxHhUJ95j0eLRZLqFNM1K1jhujbW99dyK0E / FmoVX 6nB9tELCjnMeGWUuqhEyabpyQG6W1vrG2a2 + sQX9zIkts83BnW2FLSDkzMvEcXr7ZHjlakq1qdMb Trq6mt7ppLG3Sd / TuI41dnmig4BWtJStBLWtT0yWXiCAUluplMshQMsXImMOQzBSAaMwVASPGgzH yRLaDslU10TNbt2WU / 8AJuQfxyPhhr4ixXIocKg1HbFWYX91ZvA19BPEL6WQXTyJ8DM2pIgmhPQB YfRb2HLCEoW4kMtxZTx3UVYbedHb10BDPPdsq7v3WRTk4oatJYrKzsJJZo2lsJrm5EaPHKQzJaiD 4C3FqOpJXwByQVG2s + l28kaerCYbS9N / YLIyvtJ6A9CSlRtVS3Lb923jkqVK9Vlt5bFOUv8ApUci LwjkEkUqFG5SADeN1IAbf4y1e26VSU4CrIdMvrnTL621CzbhPbOskbEVFVPcZl1Ypmi71tBu2nvY jdWMsztILNIo54QzBSwWZriF1UtWg4NQdzlfDOOyA3o93pEFtqsGoSXMH6QthaRfV4Un4j1oZy7 + pcW + / wC5pQePam8ZxkUkKuj3mg6Rr2nX6TXc1rYutxK5to0leRHDLGI / rjqFov2udd + mJEiKVbZS 6Amj32kXN1eL9ZvIJ4pY7SJ / 3duJ1XmrXyUZ / X3AJpTqa7PBKxyQokaOj3ardXRjeErBI1vHzklO 59RfrVEWopsznv7ZbKMq6KrT3p1DS7SG6UG4tWCm4 / aeBEZYo3339PkQp8NugGSGKpWglWv30y70 LTrGylmNzYzXE0gkiRYiLlYAQridm + EwD9jevam48OXiX0W0vs109b2Eay062amsotlV5WAP2V9R 41FfGu3gcnk4q2SEwTzTrUd9WPW9RjslmqnBmTjFUEKtqtz6QAGwQPTtlIxDh4G60jp9R8qy + ZLj WrJ7 + 3tLppZ5LdraFmSWRSKIReKCpLs3tsN61AhDII0hJ2TRIGtktrq7mUOvryyW0cRSNR / uuNby UOx92XCeNIRmtXOh415qWp2VzeGa + uXukt5baKONWkctR5VvJSeKuafBv7ZCEZRWkYL3RpZhZrNd z2FzBHFch5I4pI5bcfuLiEC5mVmBZqg8fhJFd9kYpSKCvt7zTrbT9TsriacveRCC2dYUNQk0U6tK DcjjX0qEAtSvem88okQEAJLd3BZKnY1I2 + QyqYssidkslrWE / wDFn / Gj5A8wxpJBC5AIHXKErhby HtihUFrIe2EIXrZyZIFVQWT0rlgVxsnwqsazkXGkrfq0nhgSnaWUnw7eGZYLJt7OTj9JxkVUjZye GQtW1sZW6DJRFhXGylU0Ix5FVzWclBkpSVFQ2rPF6R2JGWROzE82 / qTW0TUarHpjYAXmoTQSyKvI b + ORlOwkClL6pJx + nI8WyVaCxldWAHf + DYYFBWPZyq1DkZmikOFtJkLVVjglVhSuMZUVVXhlqpPj / TGZsqAslt3ZRXxP8Mrmdlq0NNbuJLdadZD / AMQkyk81pmGj / l1LfaRY3oXa5toZh / s0Vv45ShHL + WM38mBVZfyzkH7OSYr / APlWkn8uSBVcPy2kA + zkxMLTj + Wsh / ZyXGFd / wAq0fuuPiBVjflm9dkx 4wqbr5AUAfB0plnjBlbT + QRSnDvgOYLaz / lX1f2MHiBbXw + QQhNUyUcwCktSeQOT14YnMCVBWt5A 6fBgOYLa / wDwDQCidAcl44W1p8gHutcHjBbXSfl + pA4ricwK2sP5fGn2cHiiltVtvIfp1qvXDHPS CVkvkHk9QuCWYFIKz / lXx / lyPiLbY8gEEfDj4i2ufyCWAovTCcgK203kBj22yMp2m0u1LyOYbzSY 6f703bRfda3cv / MvIErb0LybGh8oaCSP + lbZ / wDJiPK2Cdemnhirz3W9b1 + 21K5is3do0mdVUcQF UHbqMVS // Efmv / L + 9P6YqqQ + YfMrsRM8kYpsfhO / 0Liqt + ndd / 5aJP8AgR / zThV36d13 / lok / wCB H / NOKu / Tuu / 8tEn / AAI / 5pxVPPP + o6hpvlQXmnSvBc + pCPUj + 1Rvtdsv0kRLJRa8xIjs8n / xn5y / 6uVz / n / sc2HgYu5xPFyd7v8AGnnL / q5XP + f + xx8DF3L4uTvd / jPzl / 1crn / P / Y4 + Bi7l8XJ3u / xn 5y / 6uVz / AJ / 7HHwMXcvi5O93 + M / OX / Vyuf8AP / Y4 + Bi7l8XJ3u / xp5y / 6uVz / n / scfAxdy + Lk73f 4z85f9XK5 / z / ANjj4GLuXxcne7 / GfnL / AKuVz / n / ALHHwMXcvi5O93 + NPOX / AFcrn / P / AGOPgYu5 fFyd7v8AGfnL / q5XP + f + xx8DF3L4uTvd / jPzl / 1crn / P / Y4 + Bi7l8XJ3u / xp5y / 6uVz / AJ / 7HHwM Xcvi5O93 + M / OX / Vyuf8AP / Y4 + Bi7l8XJ3u / xp5y / 6uVz / n / scfAxdy + Lk73rf5c39 / qnlpLrU5Xu LgzSKXk + 1xBFB2zX6uIjkoOXhkTHdMNcVf0p5c2 / 6WUn / dO1LMdsb8mf8ofoP / bNs / 8AkxHiqdYq lU / mbQbaZ7e4voo5YmKuhJqCOoO2KrP8W + W / + rjD95 / piqaxyJNGk0TBkkUMjDoQRUHFV + KuxV2K oe + v7TTbZru + kEMCEBnIJALGg + yDiqV / 408sf9XBP + Bk / wCaMVd / jTyx / wBXBP8AgZP + aMVd / jTy x / 1cE / 4GT / mjFXf408sf9XBP + Bk / 5oxV3 + NPLH / VwT / gZP8AmjFXf408sf8AVwT / AIGT / mjFXf40 8sf9XBP + Bk / 5oxV3 + NPLH / VwT / gZP + aMVd / jTyx / 1cE / 4GT / AJoxV3 + NPLH / AFcE / wCBk / 5oxV3 + NPLH / VwT / gZP + aMVd / jTyx / 1cE / 4GT / mjFUx07U7DVoGuNPmE8SuY2YAijABqfEB2YYqi8VdiqS6 7 / x1PLn / AG0pP + 6dqWKu8mf8ofoP / bNs / wDkxHiqdYqk9xoHlq4nknubWB5pGLSMx3LHqTviqn / h ryn / AMsdt9 // ADdiqcQLCkSR2 / H04wEUKagBRQDFVTFXYq7FUBrVtpl3p8kGsOsdoxUuzv6S1BBX 46r3xVjX6A / Lr / lqtv8ApMH / AFVxV36A / Lr / AJarb / pMH / VXFXfoD8uv + Wq2 / wCkwf8AVXFXfoD8 uv8Alqtv + kwf9VcVd + gPy6 / 5arb / AKTB / wBVcVd + gPy6 / wCWq2 / 6TB / 1VxVE2vk7yXfKz2QW5VDR jDcM4B8Dwc4qozeWfINtK0FxNDDKmzRyXfFh43VpAcVWfoD8uv8Alqtv + kwf9VcVd + gPy6 / 5arb / AKTB / wBVcVd + gPy6 / wCWq2 / 6TB / 1VxV36A / Lr / lqtv8ApMH / AFVxVNtJuPKWi27Wun39rHE7mVgb lG + IhVrVnPZRiqbWt / Y3wY2VzFchKBzC6vxr0rwJxVEYqkuu / wDHU8uf9tKT / unalirvJn / KH6D / ANs2z / 5MR4qnWKvONZ0cTateS / olJuczt6h2CKPlU9eDNVflhtUF + gl / 6sqf9xOH / mrG1TzRL7U9 GhWxtdKhit2k5uzX8DkcqBj9rwGBWZxXFvPUQSpLx68GDU + 44qq4q7FUr8xAnSpQIrac8k + C9YLC fih3iSPoxVh / pv8A9W3QP + Rqf814q703 / wCrboH / ACNT / mvFXem // Vt0D / kan / NeKu9N / wDq26B / yNT / AJrxV3pv / wBW3QP + Rqf814q703 / 6tugf8jU / 5rxVmulxaLCsiaMLcLUGUWxUiprQtw + WKsY1 xGOq3BFjo0w5D47qRVmPwr9sFxiqB9N / + rboH / I1P + a8Vd6b / wDVt0D / AJGp / wA14q703 / 6tugf8 jU / 5rxV3pv8A9W3QP + Rqf814q703 / wCrboH / ACNT / mvFWQ + XbrT7K1l + tfo2wmkk3S0lTiyADiW + LrUnFWQqyuodCGVgCrA1BB6EHFUn13 / jqeXP + 2lJ / wB07UsVd5M / 5Q / Qf + 2bZ / 8AJiPFU6xV53rF hbSardu2l2MpaVyZJNQMbtv1ZPXXifamKoP9G2n / AFaNO / 7ibf8AZTiqM0vR9CnuSmq2Fja2 / EkS R6gznltQUFwcVZfomj6FpyyT6IiBZ6K7xytKDxrtVncbVxVNcVdiqVeY4XuNJlijtEv2LJ / o8r + k rUYblyydPnirDP0Rd / 8AUsWn / SYv / ZRirv0Rd / 8AUsWn / SYv / ZRirv0Rd / 8AUsWn / SYv / ZRirv0R d / 8AUsWn / SYv / ZRirv0Rd / 8AUsWn / SYv / ZRirv0Rd / 8AUsWn / SYv / ZRirMdB07TdNt1a1t47O5uk jNzFHJzo6gkrUu1eJY9MVY7rum3E2rXMqaBbXiswpcSXQjZ / hXcp6y0 + 7FUB + iLv / qWLT / pMX / so xV36Iu / + pYtP + kxf + yjFXfoi7 / 6li0 / 6TF / 7KMVd + iLv / qWLT / pMX / soxV36Iu / + pYtP + kxf + yjF Vex0T1buKO + 8u2tvbM1JZVuwxVfHiJyTirPoY44YkhhHGONQiAbgKooB92KpRrv / AB1PLn / bSk / 7 p2pYq7yZ / wAofoP / AGzbP / kxHiqdYqwbVLjyUuo3K3ul3E1yJWEsio5VnruQRKMaVC / WvIP / AFZ7 r / кВт / wD1Ww0VTTRtI8m64szWumPGICob1uaV5VpT94fDArJrDT7PTLcWtjEIYQSwQEnc9ftE4qic VdiqV + YrcXWlSwmxOpgsh + qiUwlqMDXmOlOuKsP / AEGn / Umv / wBxB / 64q79Bp / 1Jr / 8AcQf + uKu / Qaf9Sa // AHEH / rirv0Gn / Umv / wBxB / 64q79Bp / 1Jr / 8AcQf + uKu / Qaf9Sa // AHEH / riqO0PSVt9V t5h5YbTyjE / WjetKI / hYV4E7 + GKu1zSVuNVuJj5YbUC7A / WhetEJPhUV4A7eGKoH9Bp / 1Jr / APcQ f + uKu / Qaf9Sa / wD3EH / rirv0Gn / Umv8A9xB / 64q79Bp / 1Jr / APcQf + uKu / Qaf9Sa / wD3EH / riqra eX7ae5ihuPKTW8TsFeY3ztwU9W4hhWmKs9jjSKNYoxREAVR1oAKDriqT67 / x1PLn / bSk / wC6dqWK u8mf8ofoP / bNs / 8AkxHiqdYqwLVpaandD1 / MS0lba1H7kb / 7q + MfD4YqhPW / 5ePNh4f9fMVXR3Pp yJIZvM78GDcWFQaGtD + 86YqzLSNcj1dpVSzu7T0QCTdRCMNyr9n4mr0xVNMVdiqU + ZYhNpEsZtpr 0Fk / cW7FJD8Q6MA3TFWE / o5P + pd1T / ke / wD1TxV36OT / AKl3VP8Ake // AFTxV36OT / qXdU / 5Hv8A 9U8Vd + jk / wCpd1T / AJHv / wBU8Vd + jk / 6l3VP + R7 / APVPFUZpWg2moXYt7nSNQsYypb1pZ24gjt9h euKsw0nRbLRY5IrMyFZWDN6jlzUCm1cVYnr9ksur3Mh0XULssw / fwTMsb / Cv2VCHFUv / AEcn / Uu6 p / yPf / qnirv0cn / Uu6p / yPf / AKp4q79HJ / 1Luqf8j3 / 6p4q79HJ / 1Luqf8j3 / wCqeKu / Ryf9S7qn / I9 / + qeKo3SPL9nqN0be60nULCMIW9aWduNQR8P2F61xVn + KpLrv / HU8uf8AbSk / 7p2pYq7yZ / yh + g / 9s2z / AOTEeKp1irAtWirqd0fQ8xNWVt7U / uTv / ur4D8PhiqE9H / l380ff / wBe8VRml3j6Vcm6 Sw8w3RKlPTuV9RN6b8eK77Yqn9h5kmvbuO1bSNQthISDNPCVjWgJ + JvoxVPcVdiqU + ZY1l0iVHju pQWT4bD + / PxD7OzfTirCfqMH / LF5l + 4f9UsVd9Rg / wCWLzL9w / 6pYq76jB / yxeZfuH / VLFXfUYP + WLzL9w / 6pYq76jB / yxeZfuH / AFSxVVs7CA3cA + qeYkrInxSgcB8Q3f8Ad / Z8cVej4qwPX7SGTV7l 2tddkJYVazA9A / Cv93 + 7OKpf9Rg / 5YvMv3D / AKpYq76jB / yxeZfuH / VLFXfUYP8Ali8y / cP + qWKu + owf8sXmX7h / 1SxV31GD / li8y / cP + qWKsl8oFYGntEtdThVgJTLqa7VFF4oeK + OKsnxVJdd / 46nl z / tpSf8AdO1LFXeTP + UP0H / tm2f / ACYjxVOsVYTqfmPULbULmCPWbGBI5GVYpIpS6AH7LFYyK4qh f8U6n / 1ftO / 5Ezf9UsVXR + ZtWldY49d05mYhQPRm6k0H + 6sVZZpEWuxet + mp4J68fR + rqVp9rnyq B7YqmWKuxVKvMbomkytJLdQKGT95Y / 3w + IfZp + OKsM + tWn / Vy8xf8N / zVirvrVp / 1cvMX / Df81Yq 761af9XLzF / w3 / NWKu + tWn / Vy8xf8N / zVirvrVp / 1cvMX / Df81Yq761af9XLzF / w3 / NWKvQrSZbi 1gnQMFljR1Ego9GUh5h5 + OKsM124t01a5V77W4WDCsdpX0R8K / Y3xVAfWrT / AKuXmL / hv + asVd9a tP8Aq5eYv + G / 5qxV31q0 / wCrl5i / 4b / mrFXfWrT / AKuXmL / hv + asVd9atP8Aq5eYv + G / 5qxVUttQ tLe4iuDfeYJhE6uY5ASj8SDxYctwab4q9BjkEsaSqCA6hgDsRUV3xVKNd / 46nlz / ALaUn / dO1LFX eTP + UP0H / tm2f / JiPFU6xV5vrN9Amq3aHUNOiKzOCktgZHG / Rn + qtyPvXCqC / SFv / wBXPS / + 4a3 / AGSYqnWhax5XQelqc9ldXLyAQtDZMlK0AH + 86b8sbVneBXYq7FUo8zzpbaPNLJdy2Chk / fwLydas NgAV64qwb9M2n / Uzaj / yKb / qrirv0zaf9TNqP / Ipv + quKu / TNp / 1M2o / 8im / 6q4q79M2n / Uzaj / y Кб / qrirv0zaf9TNqP / Ipv + quKrotUt5pUhTzNqPKRgq1iPUmg / 3bir0qCNoYI4ncytGiq0jdWIFC x + eKsE8wanbwaxdRPr17ZsrCsEMZZE + FdlPqDFUu / TNp / wBTNqP / ACKb / qrirv0zaf8AUzaj / wAi m / 6q4q79M2n / AFM2o / 8AIpv + quKu / TNp / wBTNqP / ACKb / qrirv0zaf8AUzaj / wAim / 6q4qiNO1S3 m1C1hTzHfzNJNGixvEQrlmACsfVOxxV6RiqS67 / x1PLn / bSk / wC6dqWKu8mf8ofoP / bNs / 8AkxHi qdYq861m + hTVLuM6zaW7LMwMb6f6jLufhZ / qzcj71w2qCGow99esj / 27B / 2SY2r0K0tdFvII7y0t oHikHKNxCqn5 / EoIxsqmGBXYq7FUr8xXAtdKlmN8dMAZB9aERmK1YCnAda9MVYf + nE / 6nJ / + 4e / 9 MVd + nE / 6nJ / + 4e / 9MVd + nE / 6nJ / + 4e / 9MVd + nE / 6nJ / + 4e / 9MVd + nE / 6nJ / + 4e / 9MVd + nE / 6nJ / + 4e / 9MVTXy5rdq + oC2l8wtqz3ClIoDaPDRh8XLlSnQHFVDXNWW31W4hPmdtPKMB9VFk0oj + FTTmBv 44qgf04n / U5P / wBw9 / 6Yq79OJ / 1OT / 8AcPf + mKu / Tif9Tk // AHD3 / pirv04n / U5P / wBw9 / 6Yq79O J / 1OT / 8AcPf + mKp35W1aC5upbY662sSsgdIzbNBwCn4jUihryGKspxVJdd / 46nlz / tpSf907UsVd 5M / 5Q / Qf + 2bZ / wDJiPFU6xV5vrOoRR6teIdbSArM49I2Qfhv9nnwNaeOG1QX6Ti / 6mBP + 4eP + aMN + aFZNfmjUJH5nKquwVbIgD5Djg2SyG20rzXd28V1B5h5RTossZNuoqrgMpofY47KnWi2Or2XrfpX UP0hz4 + n8AThTly6eNR92AqmmKpb5gmeDS5JI7qKyYFP38680WrDqpB64qxH9K3f / Ux6d / 0jr / 1T xV36Vu / + pj07 / pHX / qnirv0rd / 8AUx6d / wBI6 / 8AVPFXfpW7 / wCpj07 / AKR1 / wCqeKu / St3 / ANTH p3 / SOv8A1TxV36Vu / wDqY9O / 6R1 / 6p4qyTSda0WcW9oL23ub9lCkxLx5uBVio4inTFUp1rULiHVL iNNbsrRVIpBNAHdPhh3m4GuKoH9K3f8A1Menf9I6 / wDVPFXfpW7 / AOpj07 / pHX / qnirv0rd / 9THp 3 / SOv / VPFXfpW7 / 6mPTv + kdf + qeKu / St3 / 1Menf9I6 / 9U8VTPRfMFjaGY6trNncluPpGGP0 + NOXO tFFa7YqyqGaK4hjnhYPFKodGHRlYVBH0YqlGu / 8AHU8uf9tKT / unalirvJn / ACh + g / 8AbNs / + TEe Kp1irzjWdQSPVbxP0rcQ8ZnHprByC0PQNx3yQKEH + k0 / 6vNz / wBI3 / NuNq1 + klP / AEubn / pG / wCb cbV6fbRtDbxQu3No0VGfpyKgAnIpVcVdiqVeY2ddJlMclrC3JPjvhWEfEPtVVvo2xVhnrXf / AC3 ​​+ Xf8AgF / 6oYqmEOieZriJJ4P0JJFIAyOsNQwPQg + hiqp / h7zZ / Jov / Ij / AK8Yq7 / D3mz + TRf + RH / X jFXf4e82fyaL / wAiP + vGKu / w95s / k0X / AJEf9eMVTzRNJltYA + qQWX11XJWW0iCgKQAN + CGvXFWP a7JcLq1yEu9EiUMKJdqDMPhX7f7pv14qgPWu / wDlv8u / 8Av / AFQxVWtIdVvphb2dz5fnlIJCRxhj QdTQQYqjv8PebP5NF / 5Ef9eMVd / h7zZ / Jov / ACI / 68Yq7 / D3mz + TRf8AkR / 14xV3 + HvNn8mi / wDI j / rxirKNKivoNPhh2ExG5jBV / q4pEAGPAICq9Fp2xVA67 / x1PLn / AG0pP + 6dqWKu8mf8ofoP / bNs / wDkxHiqdYq891fUPT1S7T9LarDxlcenDFWNaHoh9UbYaVB / pP8A7XOs / wDIn / r9jSq1rrCQXMU8 mq6vOkTq7RPD8LhSGKn993pTGleixSLNEkq1CyKGAOxoRXfAq / FXYqpXFtb3cRguokniahMcqh2N NxVWBGKoT / D + g / 8AVstP + REf / NGKo2KKKCNYYUWONAFREAVVA7ADYYqvxV2KuxV2KuxVjOp6r5Ht 7 + aHVEtjeIR6xktTI1aAiriFq7e + KoX9N / lv / vu0 / wCkJv8Aqhiqrb + ZfIFnL61obe3lAI5xWjo1 D1FVgBxVF / 478q / 8t3 / JGb / qlirv8d + Vf + W7 / kjN / wBUsVd / jvyr / wAt3 / JGb / qliqb6fqFnqlqt 7YSetA5IV + LLUqaHZwp6jFUTiqS67 / x1PLn / AG0pP + 6dqWKu8mf8ofoP / bNs / wDkxHiqdYq881i6 4apdr9d11KSuONsP3Q36R / vl + Hw2w0qC + uf8v / mP / gf + zjGlbF5X / pYeYh81 / wCv + NK9F060ksbO O1luJLt4 + VZpiS7cmZtySelaDAqKxV2KoLV7S3vrF7a6laCJipaRJPSIoaj46HFWPf4X0Lf / AHJz + 3 + mD / mjFXf4X0H / AKuk / wD0mD / mnFUVpuj6Ppl2l5DqDyOgI4zXQdPiBHTiMVTr9I2n / LRB / wAj VxV36RtN / wDSIPb96uKu / SNn / wAtEH / I1cVVIbmKevovHJx + 16bhqV + WKsM13UriHVrmJNftrNVY Ut5LUSMnwrsX9Fq / fiqA / S93 / wBTPaf9Ia / 9k + Ku / S93 / wBTPaf9Ia / 9k + Ku / S93 / wBTPaf9Ia / 9 k + Ku / S93 / wBTPaf9Ia / 9k + Ku / S93 / wBTPaf9Ia / 9k + Koiz1PV7qeOzs / NFs0sp4xxraAVP8AyIAx V6BiqS67 / wAdTy5 / 20pP + 6dqWKu8mf8AKH6D / wBs2z / 5MR4qnWKsI1O30JtRuWn8yXNrKZGLwJKQ sZruoFO2HZUL9V8uf9TVd / 8AI4 / 8047K76r5c / 6mq7 / 5HH / mnHZU80rXfLel2gtf0wLqjFvUnYs + / atMCsihmiuIY54WDxSqHRh0ZWFQR9GKr8VSvzFateaVLbpZDUizIfqxl9ENRga + pyWlOvXFWH / 4 bn / 6lFP + 4if + q2Ku / wANz / 8AUop / 3ET / ANVsVd / huf8A6lFP + 4if + q2Ku / w3P / 1KKf8AcRP / AFWx V3 + G5 / 8AqUU / 7iJ / 6rYq7 / Dc / wD1KKf9xE / 9VsVZhomiafo8JeytfqctysZuI / UeSjKD8NXduhY9 MVY7rjsNVuAL7RoRyHwXUatMPhX7ZKHFUD6j / wDVy0D / AJFJ / wA0Yq71H / 6uWgf8ik / 5oxV3qP8A 9XLQP + RSf80Yq71H / wCrloH / ACKT / mjFXeo // Vy0D / kUn / NGKro7meF1lh2TQY3U1V1jUEh3ITFW a6Rctd6fDM9xFduQQ81v / dswNDxxVBa7 / wAdTy5 / 20pP + 6dqWKu8mf8AKH6D / wBs2z / 5MR4qnWKv O9YuLZdVu1a50dCJXBWezLyjf9tvQap964qg / rVp / wAtehf9ILf9k + Ku + s2p2F3oe / 8Ay4t / 2T4q zPSNB059Phkv7LT7iaQc / UhtkVGVt0oGjB + ycVTuOOOKNYolEccYCoigBVUCgAA6AYquxVKvMdul zpMsMlm + oKWT / R4n4M1GBqGHh2xVhn6EtP8AqVLv / pJbFXfoS0 / 6lS7 / AOklsVd + hLT / AKlS7 / 6S WxV36EtP + pUu / wDpJbFXfoS0 / wCpUu / + klsVd + hLT / qVLv8A6SWxVlHlbR7Kxhe8h0 + TTZ5qxvFL IZDxU1B3xVKdckYarcAR + XmHIb3xX6x9lf7yrDf + GKoh2H / 3z5U + 9P8AmvFXeo / ++ fKn3p / zXirv Uf8A3z5U + 9P + a8Vd6j / 758qfen / NeKu9R / 8AfPlT70 / 5rxVO9Cg0O9jMOoQaJLelz6cdisTgxhVN aHk1a1rirJLe2t7SIQWsSQRLUiOJQiiu5oqgDFUq13 / jqeXP + 2lJ / wB07UsVd5M / 5Q / Qf + 2bZ / 8A JiPFU6xV5vrN9BHq14jahp0RWZwUlsGkdd + jP9WbkfeuFUF + kLf / AKuel / 8AcNb / ALJMVTmx0PWN RtkvbO40uWCTlwf6ki1KsUOzQA7MuKs4gRo4I4248kRVPEUWoFNhttgVUxV2KpT5lUPpEqmG5uBy T93ZEiY / EPs0DfTirCfq6f8AVq1 // gn / AOqWKu + rp / 1atf8A + Cf / AKpYq76un / Vq1 / 8A4J / + qWKu + rp / 1atf / wCCf / qlirvq6f8AVq1 // gn / AOqWKu + rp / 1atf8A + Cf / AKpYqzPQtXn1DlbS6bd2CwIv F7pSvOnw0BKipxVj + u2lxJq1y6aVptypYUluJgsjfCv2l9Zf1YqgPqN3 / wBWTSP + khf + q + Ku + o3f / Vk0j / pIX / qvirvqN3 / 1ZNI / 6SF / 6r4q76jd / wDVk0j / AKSF / wCq + Ku + o3f / AFZNI / 6SF / 6r4qyT y7Y6TbpDdTW1nZ6lVl428gagYlRx + NuoxVkmKpLrv / HU8uf9tKT / ALp2pYq7yZ / yh + g / 9s2z / wCT EeKp1irFL / y3r9zez3FvfWkcUrsyI9pC7AE7BmaIknDaof8Awr5l / wCrhZf9IUH / AFRxtU20XS / M FjOovtQintEVgLeGCOIcia1 + BFpgKp7irsVdiqU + ZeJ0iXmboDkm9gKz / ah3dx9OKsJ4wfz + Zf8A gB / zXiruMH8 / mX / gB / zXiruMH8 / mX / gB / wA14q7jB / P5l / 4Af814q7jB / P5l / wCAH / NeKu4wfz + Z f + AH / NeKp95Tu4obuS0RNXkN0AfU1FB6aemHOzczTlXFVPWtIuLjVLiZPLUd + rkEXLXQjMnwgV4c xTwxVA / oK7 / 6lCH / AKTV / wCqmKu / QV3 / ANShD / 0mr / 1UxV36Cu / + pQh / 6TV / 6qYq79BXf / UoQ / 8A Sav / AFUxV36Cu / 8AqUIf + k1f + qmKr4NIv7aeO4g8pRJLC6yRsL1dmU8lO8niMVZtZSXM1rFJeQi2 uGWskIYPwPhyXY4qlmu / 8dTy5 / 20pP8AunalirvJn / KH6D / 2zbP / AJMR4qnWKpBd6L5hnuZZrfXm t4nYskItkbgp6LyLitMVUv0B5n / 6mR / + kWP / AKqYqmmk2Oo2MciajqB1FnYFHMSxcRTpRWauKphi rsVdiqVeY5Uh0mWSS5ms1DJ ++ thykFWHQDxxVhn6StP + r9q ​​// Ipv64q79JWn / V + 1f / kU39cVd + kr T / q / av8A8im / rirv0laf9X7V / wDkU39cVd + krT / q / av / AMim / rirv0laf9X7V / 8AkU39cVZB5WjN 1I1 / Dqt7eRRExNDdDipYgGtCe1cVSvX9LWfV7mU + W574sw / 0lLlo1f4V3CBDTwxVL / 0Mn / Uo3P8A 0mP / ANU8Vd + hk / 6lG5 / 6TH / 6p4q79DJ / 1KNz / wBJj / 8AVPFXfoZP + pRuf + kx / wDqnirv0Mn / AFKN z / 0mP / 1TxVG6St5otw11p / lS4jldDExN0W + ElWpRoz3UYqzizmmuLWGe4hNtLIgZ4SeRQkbqTQdM VSzXf + Op5c / 7aUn / AHTtSxV3kz / lD9B / 7Ztn / wAmI8VTrFXYq7FXYq7FXYq7FUp8yzi20iWU3raa Ayf6SiGRlqw24Ajr0xVhP6ZT / qbrn / pDf / qpirv0yn / U3XP / AEhv / wBVMVd + mU / 6m65 / 6Q3 / AOqm Ku / TKf8AU3XP / SG // VTFXfplP + puuf8ApDf / AKqYq79Mp / 1N1z / 0hv8A9VMVZD5T1u0nlfTzq0mr XEn7xDJA0XFVG43LYqq6n5Z8v31 / NdXd7JFPKQXRZ1QAgAfZI22GKoX / AAf5X / 6uE3 / SSn / NOKo3 SNF8v6NdG8tb5nkKGOks6MtCQem3hiqd / pCw / wCWmH / kYv8AXFXfpCw / 5aYf + Ri / 1xV36QsP + WmH / kYv9cVd + kLD / lph / wCRi / 1xVEYqkuu / 8dTy5 / 20pP8AunalirvJn / KH6D / 2zbP / AJMR4qnWKuxV 2KuxV2KuxV2KoPVLa8u7N4LC4W1nYqVlaNZQADU / A9RuMVSP9Aeav + r3D / 0hQ / 8ANOKorTdh2y3u 1l1HUory3APKEWsUZJI2 + JVrscVTr6vB / vpP + BGKu + rwf76T / gRirvq8H ++ k / wCBGKu + rwf76T / g RiraxRIeSIqnxAAxVhmuac02q3Eo8vQXoZh / pD3ixM / wruUMgp4Yqgf0U / 8A1Ktt / wBJ6f8AVXFX fop / + pVtv + k9P + quKu / RT / 8AUq23 / Sen / VXFXfop / wDqVbb / AKT0 / wCquKu / RT / 9Srbf9J6f9VcV d + in / wCpVtv + k9P + quKs70 + a6uLOKa9hFtO4q8SuJAu5p8a7HbFUu13 / AI6nlz / tpSf907UsVd5M / wCUP0H / ALZtn / yYjxVOsVdirsVdirsVdirsVSjzPKkOjzPJPcWqhk / e2n96Pih3aMvXvvirBv0h af8AV6137m / 6rYq79IWn / V6137m / 6rYq79IWn / V6137m / wCq2Ku / SFp / 1etd + 5v + q2Ku / SFp / wBX rXfub / qtirv0haf9XrXfub / qtirLfJsiTW1zNHe3t6pkVP8AT68lKivwVZtjyxVKdd0b6zq1zP8A 4ckvubA / WVvPSD / Corwpt4YqgP8AD / 8A36U3 / Sf / AM24q7 / D / wD36U3 / AEn / APNuKu / w / wD9 + lN / 0n / 824q7 / D // AH6U3 / Sf / wA24q7 / AA // AN + lN / 0n / wDNuKu / w / 8A9 + lN / wBJ / wDzbirOdEM36Mt4 57Q2DQqIlt2kEpVI / gT4wBXYYqhNd / 46nlz / ALaUn / dO1LFXeTP + UP0H / tm2f / JiPFU6xVAS65pM ErQzXUaSRkqykmoI7dMVWf4h0X / lsj + 8 / wBMVd / iHRf + WyP7z / TFXf4h0X / lsj + 8 / wBMVd / iHRf + WyP7z / TFXf4h0X / lsj + 8 / wBMVRN / qNlpdq17qEy29uhAaR + gLHiPxOSjEyNBEpCI3Sj / AB35Q / 6u 0h4n + mT / AC2XuYeNDvd / jvyh / wBXaD7z / TH8tl7l8aHe7 / HflD / q7Qfef6Y / lsvcvjQ73f478of9 XaD7z / TH8tl7l8aHe7 / HflD / AKu0h4n + mP5bL3L40O93 + O / KH / V2g + 8 / 0x / LZe5fGh4u / wAd + UP + rtB95 / pj + Wy9y + NDvd / jvyh / 1doPvP8ATH8tl7l8aHe7 / HflD / q7Qfef6Y / lsvcvjQ73f478of8A V2g + 8 / 0x / LZe5fGh4u / x35Q / 6u0h4n + mP5bL3L40O93 + O / KH / V2g + 8 / 0x / LZe5fGh4u / x35Q / wCr tB95 / pj + Wy9y + NDvd / jvyh / 1doPvP9Mfy2XuXxod6b2Go2WqWq3unzLcW7khZE6EqeJ / EZCUTE0W cZCQ2S7Xf + Op5c / 7aUn / AHTtSyKXeTP + UP0H / tm2f / JiPFU6xVhur + RZdUvZrprhFWSRpFWhqOR7 4qgf + VZn / lpT7mxV3 / Ksz / y0p9zYq7 / lWZ / 5aU + 5sVREXkC4hQRpdR8R4hu + Kr / 8C3f / AC1R / wDA tiqdebtCl8yaFNpMEqwPM0bCRwSBwcP0Hyy3BkGOdsMsOONPPP8AlS + p / wDVyg / 4B8y / z8e5x / yp 73f8qX1P / q5Qf8A + P5 + Pcv5U97v + VL6n / wBXKD / gHx / Px7l / Knvd / wAqX1P / AKuUH / APj + fj3L + V Pe7 / AJUvqf8A1coP + AfH8 / HuX8qe93 / Kl9T / AOrlB / wD4 / n49y / lT3u / 5Uvqf / Vyg / 4B8fz8e5fy p73f8qX1P / q5Qf8AAPj + fj3L + VPe7 / lS + p / 9XKD / AIB8fz8e5fyp73f8qX1P / q5Qf8A + P5 + Pcv5U 97v + VL6n / wBXKD / gHx / Px7l / Knvd / wAqX1P / AKuUH / APj + fj3L + VPe7 / AJUvqf8A1coP + AfH8 / Hu X8qe93 / Kl9T / AOrlB / wD4 / n49y / lT3vQ / KOhS + W9Ch0meVZ3haRjIgIB5uX6H55iZ8gyTtyMUOCN N67 / AMdTy5 / 20pP + 6dqWVM0p8p + bPKtt5V0W3uNa0 + GaHT7WOSOS6hV0dYY1ZWVpAQQRuMVTb / Gf k / 8A6v2m / wDSZB / 1UxV3 + M / J / wD1ftN / 6TIP + qmKu / xn5P8A + r9pv / SZB / 1UxV3 + M / J // V + 03 / pM g / 6qYq7 / ABn5P / 6v2m / 9JkH / AFUxV3 + M / J // AFftN / 6TIP8Aqpirv8Z + T / 8Aq / ab / wBJkH / VTFXf 4z8n / wDV + 03 / AKTIP + qmKu / xn5P / AOr9pv8A0mQf9VMVd / jPyf8A9X7Tf + kyD / qpirv8Z + T / APq / ab / 0mQf9VMVd / jPyf / 1ftN / 6TIP + qmKu / wAZ + T / + r9pv / SZB / wBVMVd / jPyf / wBX7Tf + kyD / AKqY q7 / Gfk // AKv2m / 8ASZB / 1UxV3 + M / J / 8A1ftN / wCkyD / qpirv8Z + T / wDq / ab / ANJkH / VTFXf4z8n / APV + 03 / pMg / 6qYq7 / Gfk / wD6v2m / 9JkH / VTFXf4z8n / 9X7Tf + kyD / qpirv8AGfk // q / ab / 0mQf8A VTFXf4z8n / 8AV + 03 / pMg / wCqmKu / xn5P / wCr9pv / AEmQf9VMVSnWfNnlWXUdAeLWtPdINQkklZbq EhENhfx8nIk2HJ1FT3IxV // Z

uuid: dde98c67-3867-624d-b91e-b04fcb2109d5adobe: docid: indd: 02a9a7b5-6469-11dd-bcff-f6c22c669271устойчивый: pdfbba57e2e-63a5-11dd-982b-8241e2e-63a5-11dd-982b-8241e2e2-11dab-982b-8241e2dab-8405d7d6d6d6d6d6d6d6d6d6d6d6d6d6d6d6d6d6d6d6d6d6d6d2405d6d6 СсылкаStream300.00300.00Inchesuuid: 26a3b1fc-504d-11d9-b3ff-f85bd9b43a3aadobe: docid: photoshop: a8acbd57-301c-11d9-b358-c6d8041cd976

АртикулStream300.00300.00Inchesuuid: 65d5ba1e-3a32-11d9-b7dd-ddc305a653d0adobe: docid: photoshop: 0427744b-3a18-11d9-b7dd-ddc305a653d0

application / pdf Adobe PDF Library 8.0 Ложь конечный поток эндобдж 2 0 obj > эндобдж 7 0 объект > / ColorSpace> / Font> / ProcSet [/ PDF / Text / ImageC / ImageI] / Properties >>> / ExtGState >>> / Type / Page >> эндобдж 358 0 объект > / Font> / ProcSet [/ PDF / Text] / ExtGState >>> / Type / Page >> эндобдж 474 0 объект > поток HWYoF ~ OH6o

Россия вводит запрет на онлайн-сервисы, которые не хранят личные данные в России — TechCrunch

Правительство России на шаг приблизилось к «китайскому» подходу к Интернет-услугам.

Вчера вечером Государственная Дума (парламент) России приняла первый законопроект, требующий, чтобы личные данные всех россиян хранились внутри страны.

В случае принятия законопроект окажет огромное влияние на практически все международные услуги, которыми пользуются россияне. По сути, это будет означать, что Facebook, Google или любой другой международный онлайн-сервис, включая приложения, используемый людьми в России, должен иметь физические серверы внутри России.

Кроме того, этим нероссийским компаниям не будет разрешено отправлять данные за пределы страны, если они не могут предоставить определенные гарантии по хранению данных внутри страны. Для тех, кто этого не делает, государственное агентство связи Роскомнадзор потребует от операторов ограничить доступ к этим услугам.

Законопроект также предлагает поправки к законам, касающиеся личной информации и защиты данных.

Примерный перевод ключевой части законопроекта на Google Translate гласит:

«При сборе персональных данных, в том числе посредством информации и телекоммуникационной сети Интернет, оператор обязан предоставить запись о том, что систематизация, накопление, хранение, обновление и поиск персональных данных граждан Российской Федерации проводится в базах данных. находится на территории РФ.”

Если этот закон будет строго соблюдаться — он вступит в силу в сентябре 2016 года — это может означать фундаментальные изменения в том, как международные и российские технологические компании используют услуги международного хостинга, не говоря уже об огромных расходах на внедрение изменений.

Мы связались с Google, Facebook и другими компаниями, чтобы они отреагировали на это решение.

«У нас нет комментариев, которыми мы могли бы поделиться на данный момент», — сказал нам представитель Google в ответе по электронной почте.

Переход к хранению данных в России является частью продолжающегося более широкого шага правительства страны по ужесточению правил использования Интернета.

Некоторые из шагов были сделаны во имя борьбы с пиратством — как в случае предложений, которые позволили бы блокировать сайты по запросам правообладателей на удаление.

И кое-что из этого делается во имя национальной безопасности. Как мы все знаем, в России в настоящее время проживает информатор АНБ Эдвард Сноуден.Его усилия повысили осведомленность во всем мире о том, как государственные учреждения отслеживают данные о среднем пользователях Интернета, без их ведома, и подняли вопросы о том, как другие страны поступают в этом направлении.

В то же время правительство президента России Владимира Путина приобрело репутацию правительства, ужесточившего контроль над движением за свободу слова в стране, с обвинениями в том, что некоторые из этих шагов были предприняты специально против тех, кто занимает позицию, противоречащую Кремля.

В этом контексте трудно понять, какова реальная мотивация этого последнего законодательного акта.

В других странах разрешено хранение личных данных на серверах в США на основе соглашений о «безопасной гавани», что позволяет компаниям из США свободно работать в Европе и наоборот.

Интернет-компаний должны выполнить требование до сентября 2016 года, когда законопроект должен вступить в силу, согласно законодательству, внесенному депутатом-коммунистом Александром Ющенко, а также либерал-демократами Андреем Луговым и Вадимом Деньгиным.