если можно, то как? / ATLEX corporate blog / Habr
После изменения российского законодательства, регулирующего хранение и обработку персональных данных, следом за введением принципа локализации баз персональных данных и блокировкой LinkedIn среди ИТ-специалистов все чаще возникают вопросы о том, какую информацию можно держать на зарубежных серверах.
Поспешим успокоить наших свободолюбивых читателей: хранить персональные данные за пределами России все еще разрешено, но с оговорками. И если вы хотите соблюдать российское законодательство и, вместе с тем, обезопасить данные от возможных административных атак недоброжелателей — этот пост для вас. Мы сформулировали основные «правила игры», в соответствии с которыми сегодня осуществляется хранение и трансфер персональных данных граждан Российской Федерации за границу.
Персонализируй это: что подразумевается под термином «персональные данные»
Понять, чего именно требует российское законодательство, нелегко. Минкомсвязи, правда, подготовило памятку по основным вопросам обработки персональных данных, но ясной и доходчивой ее не назовешь (обращаем ваше внимание, что по данной ссылке любой желающий может задать уточняющий вопрос экспертам министерства, не стоит пренебрегать этой возможностью). Начнем хотя бы с вопроса о том, что такое «персональные данные». Как люди культурные мы должны сперва определить предмет разговора.
В российском законе о персональных данных сказано следующее:
«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»
Это калька со статьи 2 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. Но, в отличие от соответствующей бумаги, данная формулировка не прозрачна. И столь же не современна, как калька. О какой именно информации идет речь?
Первое, что бросается в глаза, — закон «О персональных данных» защищает только физических лиц. При этом информация о них (с точки зрения закона) становится «персональными данными» только в случае, если ее можно с уверенностью соотнести с конкретным человеком.
Как много и какие именно сведения необходимо собрать, чтобы они стали персональными данными, вопрос спорный. В странах Евросоюза персональными данными может стать практически любая информация, если она позволяет как-либо выделить человека, например, из массы пользователей сайта.
Хорошей аналогией тут будет детективная работа. Как только информации становится достаточно, чтобы указать на преступника, она превращается в персональные данные, даже если сыщик не знает настоящего имени того высокого джентльмена, что единственный из подозреваемых курит трубку.
Показателен в этом плане и вступающий в силу с 25 мая 2018 года регламент N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС».
В нем под термином «персональные данные» также понимается любая информация, относящаяся к идентифицированному физическому лицу, но этот термин подробно раскрывается:
«Идентифицируемое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица».
Таким образом, в Европе в качестве персональных могут рассматриваться и большие данные, если их достаточно, чтобы выделить человека из толпы. Отметим, что Евгений Черешнев, руководитель компании Biolink Technologies, ввел в отечественный оборот термин «Цифровая ДНК», которым описывает совокупность «больших данных», позволяющую безошибочно определить данного конкретного пользователя. Я, как исследователь новых медиа, использую для того же явления термин «цифровой след».
Российская Федерация разделяет с европейскими странами базовое определение персональных данных, но подход к составлению их перечня в стране долгое время был формальным и от того более узким.
Персональными данными признавались фамилия, имя, отчество и номер телефона, дата рождения, дата регистрации, номер паспорта, ИНН, данные трудового договора в различных комбинациях, но не по отдельности.
Кроме того, персональными данными признаются специфические сведения вроде информации об отпечатках пальцев, о геноме человека или о его здоровье.
Но это не все. Олег Ефимов, управляющий партнер правового партнерства «Ефимов и партнеры», к которому мы обратились за консультацией по практической стороне вопроса, уточняет, что ранее суды этим и ограничивались, но с изменением позиции Роскомнадзора произошел переход к расширительному толкованию термина. Так, например, Роскомнадзор однозначно расценивает в качестве персональных данных сочетание имени и адреса электронной почты.
В обновленном европейском законодательстве предусмотрены также ограничения на обработку персональных данных, «раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, и обработку данных, касающихся состояния здоровья или половой жизни». Для операций с такой информацией необходимо получить отдельное согласие субъекта персональных данных.
Похожая норма закреплена и в статье 10 закона Российской Федерации «О персональных данных».
«Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается».
Эти данные можно обрабатывать с письменного согласия лица, которому они принадлежат, а также если они являются общедоступными или обезличенными.
Передача за рубеж: что ограничено, то не запрещено
Россия входит в число стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 года, — и значит, может обмениваться данными с другими участниками конвенции без дополнительных формальностей.
Передача данных в страну, не охваченную конвенцией, требует согласия их владельца. Его можно получить в письменном виде или запросить через форму на сайте. Дополнительно в юридическом поле появляется термин трансграничной передачи данных.
«Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу».
Однако это определение может поменяться. Наш эксперт Олег Ефимов подсказывает, что на данный момент существует проект Федерального закона, где эта формулировка заметно упрощается: «трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства». Т.е. изменилась привязка с местоположения лица, которому принадлежат сервера, на географическое положение сервера. Сейчас этот проект проходит процедуру оценки регулирующего воздействия.
Сохранность данных
Согласно разъяснениям Минкомсвязи, при трансграничной передаче персональных данных ответственность за их сохранность несет принимающая сторона. Так, например, два дата-центра, с которыми мы плотно сотрудничаем, находятся в Чехии, подписавшей Конвенцию 1981 года, и принадлежат чешскому юрлицу. И в нашем случае охрана информации будет осуществляться по чешским законам, обеспечивающим более надежную защиту от потенциальных рисков, включая, например, риски изъятия оборудования.
При этом передавать персональные данные можно без дополнительного согласия их обладателей. Но юристы тут добавляют, что в соответствии со статьей 22 Федерального закона «О персональных данных» оператор персональных данных обязан уведомить Роскомнадзор о наличии трансграничной передачи персональных данных, а их субъект имеет право получить от оператора информацию об осуществленной или о предполагаемой трансграничной передаче данных.
Что подразумевается под локализацией
Вернемся к законам. В чем же заключается требование о локализации баз с персональными данными на территории Российской Федерации? Прежде чем ответить на этот вопрос, уточним, что законодательно данными российских граждан признается вся информация, собранная на территории Российской Федерации, если оператор персональных данных специально не уточнял вопрос гражданства.
Оператор «обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».
Олег Ефимов сразу добавляет, что под «обработкой персональных данных» также понимают сбор, использование, обезличивание, блокирование, удаление, уничтожение персональных данных, на которые требования о локализации баз данных не распространяются.
При этом для целей профессиональных журналистов, СМИ, научной, литературной или иной творческой деятельности Федеральный закон «О персональных данных» предусматривает исключение из правила.
В остальных случаях оператор обязуется создавать базы, содержащие персональные данные российских граждан, и совершать с ними различные операции на территории России.
Изображение: NewWay.biz
Эту правовую норму придется учитывать при проектировании ИТ-инфраструктуры компании, но она не запрещает передавать базы персональных данных на сервера в других странах.
Комментарий экспертов тут таков:
Для соблюдения закона важно, чтобы на территории России оставалась основная, наиболее полная и актуальная база персональных данных. На прочих серверах можно размещать ее копии или части. Причем в таких дочерних базах персональные данные можно не только хранить, но и обрабатывать, но при условии, что данные будут использоваться в тех же целях, что и в основной базе данных.
Поскольку в российском законодательстве нет узких определений баз данных и точных требований к тому, как именно с технической точки зрения должны храниться персональные данные, у компании, работающей с ними, остается возможность выбора. Ни гражданский кодекс, ни ГОСТ Р 20886-85, ни Модельный закон о персональных данных никак не ограничивают форму хранения данных и позволяют называть локализованной базой данных все: от полноценного цифрового хранилища любой архитектуры до таблиц в Excel или бумажной картотеки.
В сухом остатке
Изъятие оборудование, длительные отключения, незаконные блокировки — этим списком не исчерпываются проблемы, с которыми сталкиваются пользователи российских хостингов. В этом контексте решением проблемы видится зарубежный сервер.
Как с точки зрения субъекта персональных данных, так и с позиции компании, оперирующей его данными, то же чешское законодательство как нельзя лучше подходит для размещения баз данных с такой важной информацией, как персональные данные. Например, доступ к любой информации или инфраструктуре клиента, размещенной в этой стране, возможен исключительно по решению чешского суда.
Кроме того, местное законодательство позволяет использовать шифрование, которое в Российской Федерации потребовало бы дополнительной сертификации.
Действующие в ЕС международные стандарты обеспечивают безопасность баз данных и беспрепятственную работу с ними с территории Российской Федерации, что также не противоречит требованиям российского закона о локализации персональных данных, который направлен на то, чтобы обеспечить присутствие иностранных компаний в России.
Выполнение требований закона для отечественных организаций не столь обременительно и, при грамотном подходе, не мешает использовать иностранные хостинги так, как этого требуют бизнес-процессы и элементарные соображения безопасности бизнеса.
habr.com
Хранение персональных данных на зарубежном хостинге: если можно, то как?
После изменения российского законодательства, регулирующего хранение и обработку персональных данных, следом за введением принципа локализации баз персональных данных и блокировкой LinkedIn среди ИТ-специалистов все чаще возникают вопросы о том, какую информацию можно держать на зарубежных серверах.
Поспешим успокоить наших свободолюбивых читателей: хранить персональные данные за пределами России все еще разрешено, но с оговорками. И если вы хотите соблюдать российское законодательство и, вместе с тем, обезопасить данные от возможных административных атак недоброжелателей — этот пост для вас. Мы сформулировали основные «правила игры», в соответствии с которыми сегодня осуществляется хранение и трансфер персональных данных граждан Российской Федерации за границу.
Персонализируй это: что подразумевается под термином «персональные данные»
Понять, чего именно требует российское законодательство, нелегко. Минкомсвязи, правда, подготовило памятку по основным вопросам обработки персональных данных, но ясной и доходчивой ее не назовешь (обращаем ваше внимание, что по данной ссылке любой желающий может задать уточняющий вопрос экспертам министерства, не стоит пренебрегать этой возможностью). Начнем хотя бы с вопроса о том, что такое «персональные данные». Как люди культурные мы должны сперва определить предмет разговора.
В российском законе о персональных данных сказано следующее:
«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»
Это калька со статьи 2 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. Но, в отличие от соответствующей бумаги, данная формулировка не прозрачна. И столь же не современна, как калька. О какой именно информации идет речь?
Минкомсвязи и Роскомнадзор избегают уточнять понятие «персональные данные», ссылаясь на отсутствие полномочий. Позиция ведомственных теоретиков от юриспруденции в этом случае сводится к известной шутке: «два юриста — три мнения». Так что желающим разобраться в вопросе на практике приходится самостоятельно изучать юридическую практику и принимать решения на свой страх и риск.
Первое, что бросается в глаза, — закон «О персональных данных» защищает только физических лиц. При этом информация о них (с точки зрения закона) становится «персональными данными» только в случае, если ее можно с уверенностью соотнести с конкретным человеком.
Как много и какие именно сведения необходимо собрать, чтобы они стали персональными данными, вопрос спорный. В странах Евросоюза персональными данными может стать практически любая информация, если она позволяет как-либо выделить человека, например, из массы пользователей сайта.
Хорошей аналогией тут будет детективная работа. Как только информации становится достаточно, чтобы указать на преступника, она превращается в персональные данные, даже если сыщик не знает настоящего имени того высокого джентльмена, что единственный из подозреваемых курит трубку.
Показателен в этом плане и вступающий в силу с 25 мая 2018 года регламент N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС».
В нем под термином «персональные данные» также понимается любая информация, относящаяся к идентифицированному физическому лицу, но этот термин подробно раскрывается:
«Идентифицируемое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица».
Таким образом, в Европе в качестве персональных могут рассматриваться и большие данные, если их достаточно, чтобы выделить человека из толпы. Отметим, что Евгений Черешнев, руководитель компании Biolink Technologies, ввел в отечественный оборот термин «Цифровая ДНК», которым описывает совокупность «больших данных», позволяющую безошибочно определить данного конкретного пользователя. Я, как исследователь новых медиа, использую для того же явления термин «цифровой след».
Российская Федерация разделяет с европейскими странами базовое определение персональных данных, но подход к составлению их перечня в стране долгое время был формальным и от того более узким.
Персональными данными признавались фамилия, имя, отчество и номер телефона, дата рождения, дата регистрации, номер паспорта, ИНН, данные трудового договора в различных комбинациях, но не по отдельности.
Кроме того, персональными данными признаются специфические сведения вроде информации об отпечатках пальцев, о геноме человека или о его здоровье.
Но это не все. Олег Ефимов, управляющий партнер правового партнерства «Ефимов и партнеры«, к которому мы обратились за консультацией по практической стороне вопроса, уточняет, что ранее суды этим и ограничивались, но с изменением позиции Роскомнадзора произошел переход к расширительному толкованию термина. Так, например, Роскомнадзор однозначно расценивает в качестве персональных данных сочетание имени и адреса электронной почты.
В обновленном европейском законодательстве предусмотрены также ограничения на обработку персональных данных, «раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, и обработку данных, касающихся состояния здоровья или половой жизни». Для операций с такой информацией необходимо получить отдельное согласие субъекта персональных данных.
Похожая норма закреплена и в статье 10 закона Российской Федерации «О персональных данных».
«Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается».
Эти данные можно обрабатывать с письменного согласия лица, которому они принадлежат, а также если они являются общедоступными или обезличенными.
Передача за рубеж: что ограничено, то не запрещено
Россия входит в число стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 года, — и значит, может обмениваться данными с другими участниками конвенции без дополнительных формальностей.
Передача данных в страну, не охваченную конвенцией, требует согласия их владельца. Его можно получить в письменном виде или запросить через форму на сайте.
Дополнительно в юридическом поле появляется термин трансграничной передачи данных.
«Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу».
Однако это определение может поменяться. Наш эксперт Олег Ефимов подсказывает, что на данный момент существует проект Федерального закона, где эта формулировка заметно упрощается: «трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства». Т.е. изменилась привязка с местоположения лица, которому принадлежат сервера, на географическое положение сервера. Сейчас этот проект проходит процедуру оценки регулирующего воздействия.
Сохранность данных
Согласно разъяснениям Минкомсвязи, при трансграничной передаче персональных данных ответственность за их сохранность несет принимающая сторона. Так, например, два дата-центра, с которыми мы плотно сотрудничаем, находятся в Чехии, подписавшей Конвенцию 1981 года, и принадлежат чешскому юрлицу. И в нашем случае охрана информации будет осуществляться по чешским законам, обеспечивающим более надежную защиту от потенциальных рисков, включая, например, риски изъятия оборудования.
При этом передавать персональные данные можно без дополнительного согласия их обладателей. Но юристы тут добавляют, что в соответствии со статьей 22 Федерального закона «О персональных данных» оператор персональных данных обязан уведомить Роскомнадзор о наличии трансграничной передачи персональных данных, а их субъект имеет право получить от оператора информацию об осуществленной или о предполагаемой трансграничной передаче данных.
Что подразумевается под локализацией
Вернемся к законам. В чем же заключается требование о локализации баз с персональными данными на территории Российской Федерации?
Прежде чем ответить на этот вопрос, уточним, что законодательно данными российских граждан признается вся информация, собранная на территории Российской Федерации, если оператор персональных данных специально не уточнял вопрос гражданства.
Оператор «обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».
Олег Ефимов сразу добавляет, что под «обработкой персональных данных» также понимают сбор, использование, обезличивание, блокирование, удаление, уничтожение персональных данных, на которые требования о локализации баз данных не распространяются.
При этом для целей профессиональных журналистов, СМИ, научной, литературной или иной творческой деятельности Федеральный закон «О персональных данных» предусматривает исключение из правила.
В остальных случаях оператор обязуется создавать базы, содержащие персональные данные российских граждан, и совершать с ними различные операции на территории России.
Изображение: NewWay.biz
Эту правовую норму придется учитывать при проектировании ИТ-инфраструктуры компании, но она не запрещает передавать базы персональных данных на сервера в других странах.
Комментарий экспертов тут таков:
Для соблюдения закона важно, чтобы на территории России оставалась основная, наиболее полная и актуальная база персональных данных. На прочих серверах можно размещать ее копии или части. Причем в таких дочерних базах персональные данные можно не только хранить, но и обрабатывать, но при условии, что данные будут использоваться в тех же целях, что и в основной базе данных.
Поскольку в российском законодательстве нет узких определений баз данных и точных требований к тому, как именно с технической точки зрения должны храниться персональные данные, у компании, работающей с ними, остается возможность выбора.
Ни гражданский кодекс, ни ГОСТ Р 20886-85, ни Модельный закон о персональных данных никак не ограничивают форму хранения данных и позволяют называть локализованной базой данных все: от полноценного цифрового хранилища любой архитектуры до таблиц в Excel или бумажной картотеки.
В сухом остатке
Изъятие оборудование, длительные отключения, незаконные блокировки — этим списком не исчерпываются проблемы, с которыми сталкиваются пользователи российских хостингов. В этом контексте решением проблемы видится зарубежный сервер.
Как с точки зрения субъекта персональных данных, так и с позиции компании, оперирующей его данными, то же чешское законодательство как нельзя лучше подходит для размещения баз данных с такой важной информацией, как персональные данные. Например, доступ к любой информации или инфраструктуре клиента, размещенной в этой стране, возможен исключительно по решению чешского суда.
Кроме того, местное законодательство позволяет использовать шифрование, которое в Российской Федерации потребовало бы дополнительной сертификации.
Действующие в ЕС международные стандарты обеспечивают безопасность баз данных и беспрепятственную работу с ними с территории Российской Федерации, что также не противоречит требованиям российского закона о локализации персональных данных, который направлен на то, чтобы обеспечить присутствие иностранных компаний в России.
Выполнение требований закона для отечественных организаций не столь обременительно и, при грамотном подходе, не мешает использовать иностранные хостинги так, как этого требуют бизнес-процессы и элементарные соображения безопасности бизнеса.
Источник
efimovlaw.ru
Ministry of Digital Development, Communications and Mass Media of the Russian Federation
Как следует из положений частей 2 и 3 статьи 105 Воздушного кодекса Российской Федерации, договор воздушной перевозки пассажира, договор воздушной перевозки груза или договор воздушной перевозки почты удостоверяется соответственно билетом и багажной квитанцией в случае перевозки пассажиром багажа, грузовой накладной, почтовой накладной; билет, багажная квитанция, иные документы, используемые при оказании услуг по воздушной перевозке пассажиров, могут быть оформлены в электронном виде (электронный перевозочный документ) с размещением информации об условиях договора воздушной перевозки в автоматизированной информационной системе оформления воздушных перевозок. Таким образом, авиаперевозчикам в целях реализации вышеуказанных положений закона, требуется осуществление деятельности по обработке персональных данных пассажира в целях оформления документов, удостоверяющих заключение договора воздушной перевозки.
В соответствии со ст. 85.1 Воздушного кодекса Российской Федерации, в целях обеспечения авиационной безопасности перевозчики обеспечивают передачу персональных данных пассажиров воздушных судов в автоматизированные централизованные базы персональных данных о пассажирах в соответствии с законодательством Российской Федерации о транспортной безопасности и законодательством Российской Федерации в области персональных данных, при международных воздушных перевозках также в уполномоченные органы иностранных государств в соответствии с международными договорами Российской Федерации или законодательством иностранных государств вылета, назначения или транзита в объеме, предусмотренном законодательством Российской Федерации, если иное не установлено международными договорами Российской Федерации. При этом следует иметь ввиду, что Российская Федерация является стороной ряда международных конвенций в области авиаперевозок, в частности, Чикагской конвенции («Конвенция о международной гражданской авиации» заключена в Чикаго 7 декабря 1944 года, вступила в силу для Российской Федерации 16 августа 2005 года – «Собрание законодательства РФ», 30.10.2006, №44) , Варшавской конвенции («Конвенция об унификации некоторых правил, касающихся международных воздушных перевозок» заключена в Варшаве 12 октября 1929 года, вступила в силу для СССР 13 февраля 1933 года, Сборник действующих договоров, соглашений и конвенций, заключенных СССР с иностранными государствами, Вып. VIII, — М., 1935, с. 326 – 339.) и Гваладахарской конвенции («Конвенция, дополнительная к Варшавской конвенции, для унификации некоторых правил, касающихся международных воздушных перевозок, осуществляемых лицом, не являющимся перевозчиком по договору» заключена в Гвадалахаре 18 сентября 1961 года, вступила в силу для СССР 21 декабря 1983 года, «Ведомости ВС СССР», 15.02.1984, №7), которые также составляют неотъемлемую часть правового регулирования деятельности авиаперевозчиков и связанных с нею информационных процессов.
Исходя из вышеизложенного, требования ч. 5 ст. 18 ФЗ «О персональных данных» не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, так как они подпадают под исключение, предусмотренное п. 2 ч. 1 ст. 6 ФЗ «О персональных данных».
Требования ч. 5 ст. 18 ФЗ «О персональных данных» также не распространяются на деятельность лиц, действующих от имени авиаперевозчика (уполномоченный агент), деятельность которых предусмотрена пунктом 6 Общих правил воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Минтранса России №82 от 28 июня 2007 года «Об утверждении Федеральных авиационных правил «Общие правила воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей», а также иных лиц, в части обработки персональных данных граждан-пассажиров исключительно для целей бронирования, оформления и выдачи последним авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, в том числе в электронном виде при внутрироссийских и международных перелетах, в случае, если вышеуказанная деятельность данных лиц предусмотрена законодательством Российской Федерации или соответствующим международным договором, в том числе для целей обеспечения авиационной безопасности.
digital.gov.ru
Закон о хранении персональных данных в РФ вступает в силу с 1 сентября 2015 года / Habr
17 декабря Госдума сразу во втором и третьем окончательном чтении обновила Закон о хранении персональных данных в России. В соответствии с новым законопроектом, компании обязаны хранить обработанные в интернете персональные данные россиян на серверах, которые расположены на территории России, уже с 1 сентября 2015 года.
Похожие законы рассматривают в некоторых других странах Европы после скандала, связанного с публикацией документов Эдварда Сноудена и после «новости» о тотальной слежкой за пользователями со стороны американских спецслужб. К сожалению, инициатива Сноудена привела к негативным последствиям: усилению цензуры и сегментации интернета.
Так или иначе, но интернет-компаниям через 9 месяцев придётся открывать серверы в России. Это касается облачных сервисов (почта, хостинг и др.), социальных сетей, интернет-магазинов и др.
Изначально планировалось, что закон начнет действовать с 1 сентября 2016 года, но в сентябре 2014 года группа депутатов внесла в Госдуму законопроект о переносе этого срока на январь 2015 года.
К счастью, разум преобладал над эмоциями — и с 1 января 2015 года новые нормы решили не вводить. Против этой даты резко выступили представители интернет-индустрии. Они объяснили депутатам, что за несколько месяцев подготовить внутренние сети технически невозможно.
Однако, к сентябрю 2015 года всем придётся потрудиться. О дешёвых зарубежных хостингах можно забыть. «Хранение данных в России обойдётся на 30% дороже, чем в зарубежных дата-центрах, — пишут «Ведомости» со слов представителя системного интегратора «Инфосистемы джет» Валентина Крохина. Российский закон предъявляет более строгие требования к хранению персональных данных, в частности требует использовать сертифицированные средства защиты, объясняет он. Сейчас суммарные затраты российских компаний на хранение данных в зарубежных дата-центрах составляют, по оценке Крохина, десятки миллионов долларов».
Согласно документу, при сборе персональных данных, в том числе через интернет, «оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение/обновление, изменение/извлечение персональных данных граждан России с использованием баз данных, находящихся на территории России».
Будет создан и «Реестр нарушителей прав субъектов персональных данных». Вести его должен Роскомнадзор.
По мнению экспертов, закон вызовет массу неприятностей и сильно усложнит жизнь гражданам России. В частности, он может повлечь проблемы с выдачей шенгенских виз, с пользованием интернет-магазинами, бронированием отелей, авиабилетов и т.п.
«Это вынужденная мера, она призвана усилить информационную безопасность страны, граждан. Вызвана она усложнением международной ситуации», — сказал член комитета по информполитике Роман Чуйченко из партии «Единая Россия».
habr.com
что это значит для нас?
Сегодня в российском интернете состоялось событие, за которым все пользователи пристально следили с первого июля 2014 года. Государственная дума приняла в третьем чтении запрет на хранение данных россиян за пределами России. За документ проголосовали 325 депутатов, против – 65 парламентариев, тем самым максимально ужесточив требования в деятельности любых интернет-компаний в нашей стране. Депутаты поспешили с вынесением решения, чтобы успеть высказаться до ухода в отпуск, так что поправки в закон «О персональных данных» 1 июля были приняты в первом чтении, а уже сегодня вступило в силу окончательное решение. Итак, с 1 сентября 2016 запрещено хранение любых персональных данных за пределами Российской Федерации.
«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных граждан Российской Федерации, в базах данных, расположенных на территории Российской Федерации».
Принятый законопроект предоставляет Роскомнадзору полномочия требовать от операторов связи ограничения доступа к интернет-ресурсам, которые не гарантируют хранения персональных данных внутри страны. Этот закон может использоваться как карательный инструмент для «неугодных» сайтов, либо за полной изоляции России от иностранных интернет-компаний. В первую очередь нужно разобраться с тем, что же такое «персональные данные» и стоит ли поднимать панику. Забегая немного вперед скажу: «К сожалению, стоит».
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных):
— его фамилия, имя, отчество;
— год, месяц, дата и место рождения;
— адрес, семейное, социальное, имущественное положение, образование, профессия, доходы;
— прочие сведения, позволяющие идентифицировать человека.
При этом персональные данные делятся на четыре категории:
— обезличенные и (или) общедоступные персональные данные;
— персональные данные, позволяющие идентифицировать субъекта персональных данных;
— персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
— персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
Если на основе этой классификации говорить о том, какие сферы пострадают после 1 сентября 2016 года, речь пойдет практически обо всех сервисах. В первую очередь под удар попадут все сайты с функцией авторизации, мировые платежные системы и торговые площадки, услуги бронирования гостиниц и автомобилей, покупки авиабилетов. Кроме того, не смогут полноценно функционировать магазины контента Play Market, App Store и iTunes Store, Windows Phone Store. Также под действие нового закона попадают облачные хранилища, например, iCloud, Google Drive, One Cloud, Dropbox и сотни других, сервисы Microsoft Office 365, Adobe Creative Cloud, Google Docks. Разумеется, не останутся в стороне социальные сети Facebook, Instagram, Twitter, Tumblr и прочие. Иными словами, проще вести речь о том, что будет разрешено в России после 1 сентября 2016 года без переноса серверов в Россию. Закон предусматривает создание отдельного реестра с «черным списком» IP-адресов сервисов-нарушителей, к которым будет блокироваться доступ. Разумеется, мы будет отрезаны от всего этого лишь в том случае, если компании не будут строить дата-центры для хранения персональных данных на территории Российской Федерации. Вопрос в том, кинутся ли все интернет-гиганты искать способ хранения пользовательской информации только потому, что наши депутаты в очередной раз приняли странный закон? Кстати, сами законодатели ничего плохого в принятом законе не видят и предполагают, что интернет-компаниям не следует экономить на защите персональных данных российских пользователей.
www.iguides.ru
как понять и что делать? / ГАУ «ИТ-Парк» corporate blog / Habr
Тема информационной безопасности продолжает быть актуальной — недавно в Москве на конференции «Защита персональных данных» обсуждали ФЗ №242 или как его называют «Закон о локализации персональных данных россиян на территории РФ». Суть его такова: с сентября 2015 года организациям-операторам ПДн, необходимо вести сбор и систематизацию персональных данных (далее – ПДн) россиян на территории РФ. А львиная доля поставщиков различных услуг — иностранцы, или хранят свои серверы заграницей, и российские пользователи, приобретая услуги таких поставщиков, передают свои данные за рубеж, где происходит не только их хранение, но и систематизация. Возникает вопрос — как клиентам продолжить пользоваться услугами зарубежных поставщиков, не нарушив стандарты обработки ПДн по российскому законодательству.
Ответа два: либо организовать защиту ПДн своими силами, либо перенести свои данные в действующий российский ДЦ, который имеет лицензии и сертификаты для соответствия требованиям ФЗ. Для огромного числа операторов ПДн (а их на территории РФ работает от 5 до 7 млн) вопрос злободневный. Введённый закон распространяется на все компании, которые ведут свою деятельность на территории РФ: как российские, так и иностранные. Несмотря на то, что в законе есть упоминание того, что эти операции должны осуществляться «с использованием баз данных, находящихся на территории Российской Федерации», а не ИСКЛЮЧИТЕЛЬНО на территории Российской Федерации, к 1 сентября 2015 года было подано более 5000 заявок от операторов ПДн на размещение своих информационных баз на территории РФ. В связи с вводом нового закона ряд крупных иностранных компаний открыли свои ДЦ на территории России.
В свете актуальности предмета нашего внимания расскажем о том, какое решение планирует внедрить наш ЦОД.
Защищённое облако ДЦ ИТ-парка – это выделенная инфраструктура, построенная с использованием средств, сертифицированных ФСТЭК и ФСБ. Оно соединено с инфраструктурой оператора ПДн по защищённым каналам связи. Таким образом, клиенты будут продолжать пользоваться услугами иностранных операторов, а их ПДн будут храниться в защищённом облаке российского ЦОДа – в нашем случае Дата-центра ИТ-парка — согласно требованиям ФЗ.
Подробнее о том, как это будет устроено. Защищённое облако состоит из следующих элементов:
• Отдельные физические серверы, коммутаторы и системы хранения;
• На данных серверах развёрнута среда виртуализации MS Hyper-V;
• Среда виртуализации защищается решением 5nine;
• Каналы связи защищены межсетевыми экранами Fortigate, VPN организован на оборудовании VIPNet.
Основными плюсами выбора ДЦ ИТ-парка для поставщиков услуг будут отсутствие затрат на создание и владение облачной инфраструктурой; соответствие требованиям ФЗ о ПДн и отсутствие затрат на техническую поддержку, которая осуществляется 24 часа в сутки.
Конечно, унифицированного решения, подходящего каждому заказчику, нет. У каждого поставщика инфраструктура построена по-своему, поэтому каждое решение по защите ПДн является индивидуальным и процесс его разработки занимает определённое время. В среднем процесс занимает от 2 до 6 месяцев в зависимости от сложности задачи:
1. Определение модели взаимодействия с оператором ПДн;
2. Оценка необходимых ресурсов;
3. Составление технического задания, организационно-распределительной документации;
4. Тестирование миграции.
Ну что ж, теперь подытожим — начнем с выводов менее приятных.
В связи с вводом закона у поставщиков услуг, хранящих свои данные на зарубежных серверах, появились дополнительные затраты. Плюс к этому сам процесс перевода данных является трудоёмким и достаточно длительным, его не всегда возможно осуществить без остановки сервисов.
Но есть и положительные моменты: при переводе своих данных в российский ЦОД у поставщика услуг будут отсутствовать затраты на создание и содержание облачной инфраструктуры, инфраструктура будет защищена в соответствии с российским законодательством.
Стоит отметить, что введение закона о Защите ПДн стало толчком для развития российских ЦОДов, поскольку для соответствия требованиям закона необходимо развитие инфраструктуры ЦОДов, новое оборудование, а решение новых нестандартных задач приводит к повышению квалификации кадрового состава ЦОДов, появлению новых рабочих мест. К плюсам можно отнести и то, что на деле действительно снизилось количество нарушений при обработке ПДн: в 2014 году более 80% операторов осуществили обработку ПДн с нарушениями, в 2015 – около 65%. Будем надеяться, что всё это выведет отрасль российских ЦОДов на новый, более высокий уровень.
habr.com
если можно, то как? – ITSM
После изменения российского законодательства, регулирующего хранение и обработку персональных данных, следом за введением принципа локализации баз персональных данных и блокировкой LinkedIn среди ИТ-специалистов все чаще возникают вопросы о том, какую информацию можно держать на зарубежных серверах
Поспешим успокоить наших свободолюбивых читателей: хранить персональные данные за пределами России все еще разрешено, но с оговорками. И если вы хотите соблюдать российское законодательство и, вместе с тем, обезопасить данные от возможных административных атак недоброжелателей — этот пост для вас. Мы сформулировали основные «правила игры», в соответствии с которыми сегодня осуществляется хранение и трансфер персональных данных граждан Российской Федерации за границу.
Персонализируй это: что подразумевается под термином «персональные данные»
Понять, чего именно требует российское законодательство, нелегко. Минкомсвязи, правда, подготовило памятку по основным вопросам обработки персональных данных, но ясной и доходчивой ее не назовешь (обращаем ваше внимание, что по данной ссылке любой желающий может задать уточняющий вопрос экспертам министерства, не стоит пренебрегать этой возможностью). Начнем хотя бы с вопроса о том, что такое «персональные данные». Как люди культурные мы должны сперва определить предмет разговора.
В российском законе о персональных данных сказано следующее:
«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»
Это калька со статьи 2 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. Но, в отличие от соответствующей бумаги, данная формулировка не прозрачна. И столь же не современна, как калька. О какой именно информации идет речь?
Минкомсвязи и Роскомнадзор избегают уточнять понятие «персональные данные», ссылаясь на отсутствие полномочий. Позиция ведомственных теоретиков от юриспруденции в этом случае сводится к известной шутке: «два юриста — три мнения». Так что желающим разобраться в вопросе на практике приходится самостоятельно изучать юридическую практику и принимать решения на свой страх и риск.
Первое, что бросается в глаза, — закон «О персональных данных» защищает только физических лиц. При этом информация о них (с точки зрения закона) становится «персональными данными» только в случае, если ее можно с уверенностью соотнести с конкретным человеком.
Как много и какие именно сведения необходимо собрать, чтобы они стали персональными данными, вопрос спорный. В странах Евросоюза персональными данными может стать практически любая информация, если она позволяет как-либо выделить человека, например, из массы пользователей сайта.
Хорошей аналогией тут будет детективная работа. Как только информации становится достаточно, чтобы указать на преступника, она превращается в персональные данные, даже если сыщик не знает настоящего имени того высокого джентльмена, что единственный из подозреваемых курит трубку.
Показателен в этом плане и вступающий в силу с 25 мая 2018 года регламент N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС».
В нем под термином «персональные данные» также понимается любая информация, относящаяся к идентифицированному физическому лицу, но этот термин подробно раскрывается:
«Идентифицируемое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица».
Таким образом, в Европе в качестве персональных могут рассматриваться и большие данные, если их достаточно, чтобы выделить человека из толпы.
Российская Федерация разделяет с европейскими странами базовое определение персональных данных, но подход к составлению их перечня в стране долгое время был формальным и от того более узким.
Персональными данными признавались фамилия, имя, отчество и номер телефона, дата рождения, дата регистрации, номер паспорта, ИНН, данные трудового договора в различных комбинациях, но не по отдельности.
Кроме того, персональными данными признаются специфические сведения вроде информации об отпечатках пальцев, о геноме человека или о его здоровье.
Но это не все. Так, например, Роскомнадзор однозначно расценивает в качестве персональных данных сочетание имени и адреса электронной почты.
В обновленном европейском законодательстве предусмотрены также ограничения на обработку персональных данных, «раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, и обработку данных, касающихся состояния здоровья или половой жизни». Для операций с такой информацией необходимо получить отдельное согласие субъекта персональных данных.
Похожая норма закреплена и в статье 10 закона Российской Федерации «О персональных данных».
«Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается».
Эти данные можно обрабатывать с письменного согласия лица, которому они принадлежат, а также если они являются общедоступными или обезличенными.
Передача за рубеж: что ограничено, то не запрещено
Россия входит в число стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 года, — и значит, может обмениваться данными с другими участниками конвенции без дополнительных формальностей.
Передача данных в страну, не охваченную конвенцией, требует согласия их владельца. Его можно получить в письменном виде или запросить через форму на сайте.
Дополнительно в юридическом поле появляется термин трансграничной передачи данных.
«Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу».
Однако это определение может поменяться. Наш эксперт Олег Ефимов подсказывает, что на данный момент существует проект Федерального закона, где эта формулировка заметно упрощается: «трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства». Т.е. изменилась привязка с местоположения лица, которому принадлежат сервера, на географическое положение сервера. Сейчас этот проект проходит процедуру оценки регулирующего воздействия.
Сохранность данных
Согласно разъяснениям Минкомсвязи, при трансграничной передаче персональных данных ответственность за их сохранность несет принимающая сторона. Так дата-центр подписавшей Конвенцию 1981 года будет осуществлять защиту по законам своей страны, обеспечивающим более надежную защиту от потенциальных рисков, включая, например, риски изъятия оборудования.
При этом передавать персональные данные можно без дополнительного согласия их обладателей. Но юристы тут добавляют, что в соответствии со статьей 22 Федерального закона «О персональных данных» оператор персональных данных обязан уведомить Роскомнадзор о наличии трансграничной передачи персональных данных, а их субъект имеет право получить от оператора информацию об осуществленной или о предполагаемой трансграничной передаче данных.
Что подразумевается под локализацией
Вернемся к законам. В чем же заключается требование о локализации баз с персональными данными на территории Российской Федерации?
Прежде чем ответить на этот вопрос, уточним, что законодательно данными российских граждан признается вся информация, собранная на территории Российской Федерации, если оператор персональных данных специально не уточнял вопрос гражданства.
Оператор «обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».
Сразу добавим, что под «обработкой персональных данных» также понимают сбор, использование, обезличивание, блокирование, удаление, уничтожение персональных данных, на которые требования о локализации баз данных не распространяются.
При этом для целей профессиональных журналистов, СМИ, научной, литературной или иной творческой деятельности Федеральный закон «О персональных данных» предусматривает исключение из правила.
В остальных случаях оператор обязуется создавать базы, содержащие персональные данные российских граждан, и совершать с ними различные операции на территории России.
Эту правовую норму придется учитывать при проектировании ИТ-инфраструктуры компании, но она не запрещает передавать базы персональных данных на сервера в других странах.
Комментарий экспертов тут таков:
Для соблюдения закона важно, чтобы на территории России оставалась основная, наиболее полная и актуальная база персональных данных. На прочих серверах можно размещать ее копии или части. Причем в таких дочерних базах персональные данные можно не только хранить, но и обрабатывать, но при условии, что данные будут использоваться в тех же целях, что и в основной базе данных.
Поскольку в российском законодательстве нет узких определений баз данных и точных требований к тому, как именно с технической точки зрения должны храниться персональные данные, у компании, работающей с ними, остается возможность выбора.
Ни гражданский кодекс, ни ГОСТ Р 20886-85, ни Модельный закон о персональных данных никак не ограничивают форму хранения данных и позволяют называть локализованной базой данных все: от полноценного цифрового хранилища любой архитектуры до таблиц в Excel или бумажной картотеки.
В сухом остатке
Изъятие оборудование, длительные отключения, незаконные блокировки — этим списком не исчерпываются проблемы, с которыми сталкиваются пользователи российских хостингов. В этом контексте решением проблемы видится зарубежный сервер.
Как с точки зрения субъекта персональных данных, так и с позиции компании, оперирующей его данными, то же чешское законодательство как нельзя лучше подходит для размещения баз данных с такой важной информацией, как персональные данные.
Кроме того, местное законодательство позволяет использовать шифрование, которое в Российской Федерации потребовало бы дополнительной сертификации.
Действующие в ЕС международные стандарты обеспечивают безопасность баз данных и беспрепятственную работу с ними с территории Российской Федерации, что также не противоречит требованиям российского закона о локализации персональных данных, который направлен на то, чтобы обеспечить присутствие иностранных компаний в России.
Выполнение требований закона для отечественных организаций не столь обременительно и, при грамотном подходе, не мешает использовать иностранные хостинги так, как этого требуют бизнес-процессы и элементарные соображения безопасности бизнеса.
www.itsm.pw