• Закон о хранении персональной информации. Локализация персональных данных

    Дума поспешно приняла законопроект о хранении персональных данных. Она его приняла 4 июля, перед массовым уходом в отпуск. Причём он был одобрен сразу во втором и третьем чтении. Согласно этому закону персональные данные россиян, обрабатываемые через интернет, теперь должны храниться на территории РФ. Дата-центры и «Ростех» получат новых клиентов – для них этот закон во благо. О проекте стало известно ещё в конце июня. Его внесли в Госдуму трое депутатов – Ющенко, Деньгин и Луговой.

    В случае получателей вашего бюллетеня это может быть согласие субъекта данных, но данные ваших клиентов могут обрабатываться с целью выполнения заключенных с ними соглашений. Выберите соответствующие поля, чтобы указать, какие данные вы будете обрабатывать. Если вы обрабатываете данные, которые не указаны в этом пункте, вы продолжаете: вы должны добавить все данные, принадлежащие файлу, который не указан в элементе 7, например, адрес электронной почты. «Чувствительные данные» - отметьте соответствующие поля, указывающие тип данных. Получатели или категории получателей данных - то есть лица, которым данные, принадлежащие коллекции, за исключением субъектов данных, лица, уполномоченные обрабатывать данные, правительство. Ваши представители, упомянутые в пункте 2, а также лица, обрабатывающие данные на основании поручения, упомянутого в пункте 3 уведомления, не являются вашими получателями.

    • Цель обработки - это то, для чего вам нужны данные.
    • Правовая основа для обработки этой конкретной категории данных.
    • Источник данных.
    • Эти данные будут доступны другим субъектам, чем это предусмотрено законом.
    • Информация о возможности передачи данных в третью страну.
    Вот несколько советов о том, как завершить этот раздел.

    Речь в новом законе идет обо всех российских гражданах, которые предоставляют свои данные при регистрации в сети, отправляют почту или что-то покупают. Закон вступит в силу не сразу, а с 1 сентября 2016 года. Сделано это для того, чтобы у компаний было достаточно времени подготовиться для работы в соответствии с новым законом.

    Новый закон должен ещё одобрить совет Федерации и подписать президент. Возможно, его отправят на доработку. Но начало положено, и теперь многие российские компании гадают – что делать им дальше?

    Если части сообщенной коллекции не расположены в одном месте и расположены в разных местах или на разных носителях, вы указываете, что коллекция распределяется в распределенной архитектуре. Примером такой коллекции может служить набор клиентских данных администратора, обрабатываемых как в штаб-квартире, так и в его филиалах, хранящих данные на нескольких разных серверах, расположенных в разных зданиях. Пункт 16 уведомления касается обязательств каждого администратора обеспечивать надлежащую обработку организационных данных.

    Разумеется, инструкции по управлению ИТ-системами не должны выполняться администраторами безбумажной обработки. Меры физической защиты, меры, касающиеся телекоммуникационного оборудования и инфраструктуры и используемых информационных систем, организационные меры. Последняя часть приложения касается только коллекций в компьютерных системах и содержит только один элемент, относящийся к уровню используемых мер безопасности.

    Что же ждёт нарушителей? Они могут попасть в чёрный список Роскомнадзора. Таких списков у этой организации уже несколько. Это и пиратские сайты, и сайты с пропагандой насилия, суицида, детское порно и сайты с призывами к экстремизму. С этими списками все понятно – никто не против, чтобы в сети не распространялся этот негатив. А если предприятие не сможет в силу объективных причин подготовиться к новому закону? Что тогда?

    На практике последнее - высокий уровень мер безопасности, которые наиболее часто происходят из-за растущего воздействия методов обработки данных с использованием Интернета. Когда самая сложная часть закончится, не забудьте подписать приложение в соответствии с вашими правилами представления. Если ваша заявка подписана, не забудьте включить свою доверенность. Помимо этого одного случая, вам не нужно прикладывать какие-либо документы к форме.

    Заявка на регистрацию коллекции бесплатна, однако для выдачи свидетельства о регистрации коллекции вы должны заплатить 17 злотых. Если сбор подан вашим адвокатом, не забудьте заплатить гербовый сбор в размере 17 злотых. С момента подачи набора данных мы можем начать их обрабатывать.

    Чем же мотивировали депутаты введение такой нормы? Дело в том, что зарубежные сервисы обязаны предоставлять данные американским спецслужбам. Следовательно, АНБ владеет данными обо всех пользователях в сети из России. Конечно, ничего хорошего в этом нет. Ну, а то, у компаний будут расходы на перенос серверов, депутатов не волнуют «Это потери бизнеса, не более, и нечего страшного в этом нет» – говорят они.

    Крайний срок составляет 30 дней с даты изменения. Это относится как к информации самого администратора, так и к строго связанной информации. Конечно, вам не нужно сообщать об изменениях в самих данных - например, добавлять записи или обновлять уже обработанные данные. Заявление о регистрации регистратора очень серьезно относится к законодателю, и неспособность сообщить о регистрации данных для регистрации наказуема уголовной ответственностью, указанной в ст. 53 Закона.

    «Тот, кто обязан это сделать, не регистрирует, подлежит штрафу, штрафу за ограничение свободы или лишение свободы на год». Но об этом и об изменениях, которые мы будем держать вас в курсе. Личная информация - это вся информация об индивидууме, с тем чтобы ее можно было идентифицировать без использования чрезмерной силы и средств. К ним относятся, но не ограничиваются ими, имя и адрес, а также номера и детали функций, приписываемых человеку. Более общая информация, такая как номер дома или стоимость зарплаты, становится персональной информацией только в сочетании с дополнительной информацией.

    Но пострадает не только иностранный бизнес от переноса серверов. Российские сервисы сегодня используют облачные технологии и обмен данными – как быть с этим? Ведь этот закон затронет не только сервисы для хранения данных, социальные сети и мессенджеры, но и платёжные системы, он-лайн бронирование отелей, сотовые компании и многие другие сервисы. Если закон примут в таком виде, в каком он сейчас, то это приведёт к расторжению многих договоров с иностранными компаниями. Тот же Аэрофлот не сможет продавать билеты Москва-Нью-Йорк-Чикаго. Это не выгодно никому. В выигрыше окажутся только производители серверов.

    Само название не идентифицируется лично, поскольку оно не позволяет идентифицировать конкретного человека - многие люди имеют одно и то же имя. Например, написав пользователя, мы советуем вам действовать так, как если бы обработанные данные были личными.

    Согласие на обработку персональных данных

    Если вы хотите обрабатывать личную информацию в соответствии с законом, необходимо получить согласие от субъекта данных. Нет подробных правил для формулировки положения о согласии, но содержание положения о согласии должно недвусмысленно привести к цели, степени и тем, кому будут обрабатываться персональные данные. Согласие должно быть полностью осведомлено о том, что он или она соглашается. Закон не требует письменной формы согласия. Все, что вам нужно сделать, это зарегистрироваться, чтобы принять правила, но хорошо, что вы правильно документировали его.

    Банки также от этого закона пострадают. Сегодня очень много покупок совершается через интернет, и клиент часто оплачивает их банковской карточкой. Следовательно, его персональные данные обязательно пройдут через компании, которые не имеют серверов в России. Вывод - новый закон будут нарушать все. И.О. президента Ситибанка сокрушается – «Новый мир складывался без этого закона, и будет довольно сложно исполнять новую норму, практически невозможно». Сегодня новые инновационные технологии появляются каждый день. Обсуждается введение для всех совершеннолетних россиян – будет очень удобно по сети подавать заявления и получать разного рода документы. Как быть, если эти данные кто-либо перехватит по пути? Вопросов по защите данных, и не только персональных, предостаточно.

    Вам также необходимо сообщить заинтересованному лицу. Адрес его зарегистрированного офиса и его полное имя и где физическим лицом является физическое лицо - место жительства, имя и фамилия, цель сбора данных и, в частности, информация, известная ему / ей во время информации или предполагаемых получателей или категорий получателей. их данные и их исправление, добровольное обязательство или обязательство предоставлять данные и если такое обязательство существует, его правовая основа. Пример образца при подписке на информационный бюллетень.

    Как известно, российской платежной системы пока нет. Её готовят уже с 2011 года, но до сих пор системы нет. Центробанк только пока выбирает поставщиков, и когда эта система заработает в полную силу, пока неизвестно. А без неё выполнять новый закон будет трудно, практически невозможно.

    Сложность переноса серверов оценить трудно – все будет зависеть от архитектуры информационной системы. Директор юридического департамента страховой компании Павел Чуйков считает, что запрет на хранение данных за рубежом – мера слишком чрезмерная. Можно было ограничиться повышением контроля за процессом обработки данных за рубежом. Тогда бы контролирующие органы получили больше возможности для слежения за этими процессами. Не все крупные компании пользуются зарубежными сервисами. Например, представители МТС и «Вымпелком» заявили, что их компании хранят информацию на территории Российской Федерации, а при обмене данными с зарубежными партнёрами пользуются обезличенной информацией.

    Администратор данных по смыслу правил не совпадает с администратором сервера. Администратор данных, в некотором смысле, является «владельцем» файла. Одной из основных задач, наложенных на контроллер данных, является обязательство подать отчет. Вы освобождаетесь от этого обязательства для определенных типов данных, таких как ваши собственные сотрудники, которые обрабатываются в связи с вашей работой в вашей компании. Соблюдайте документацию самостоятельно.

    Администратор обязан обеспечить защиту данных от несанкционированного доступа, несанкционированного удаления, неправильной обработки, изменения, потери, повреждения или уничтожения. Он также должен вести учет того, как обрабатываются данные и принимаются меры безопасности.

    Вообще у нас почему-то некоторые законы лежат годами, и их не принимают и не обсуждают, а некоторые, не успев появиться, уже быстро созревают и их съедают, как горячие пирожки. Первое чтение, второе, третье – и продукт готов1 А потом начинают принимать поправки – наши депутаты точно без работы не останутся!

    Вопрос об информационной безопасности в сети поднялся ещё в прошлом году. Именно тогда бывший сотрудник американских спецслужб Эдвард Сноуден рассказал о слежке за пользователями интернета компанией АНБ. Были приняты антитеррористические поправки, которые ограничивали интернет-платежи. Сетевые сервисы обязали хранить данные о пользователях в течение полугода и так далее. Впрочем, не все так плохо. Некоторые компании успеют подготовиться к новому закону. Так, например, все авиакомпании в ожидании российской системы бронирования - через два года она точно будет готова.

    Администратор может делегировать некоторые из обязанностей по обработке другому процессору, называемому Процессором. Обычно назначение включает в себя только технические операции с данными, такие как предоставление сервера для данных, выполнение резервного копирования, восстановление данных из резервной копии или выполнение конкретной задачи, например, подготовка отправки традиционных адресных писем.

    Сущность, выполняющая этот тип работы, не является контроллером данных. Он не может делать ничего, что Администратор не смог бы сделать, но он не может использовать их в своих целях и не отвечает за выполнение других обязанностей, чем это требуется по договору поручения.

    Выиграют от нового закона только дата-центры. Свободные мощности есть даже в Москве. В Подмосковье «Техносерв» строится дата-центр, который будет крупнейшим в стране. Так что в этом плане проблем при переносе серверов быть не должно. Центр строится при помощи инвестирования крупных компаний. Они понимают ценность данных, и поэтому вкладываются в этот проект.

    Обработка персональных данных требует надлежащей документации. Инструкция о рабочем характере. Кроме того, необходимо будет создать соответствующие разрешения для всех тех, кто будет обрабатывать личные данные. Руководство по управлению ИТ-системой, в свою очередь, является процедурным документом, который регулирует такие вопросы, как правильная настройка экрана компьютера, использование экранных заставок.

    Согласие на авторизацию - подписано в письменной форме с лицом, которому в некоторой степени обрабатывается информация - например, с хостинговой компанией. Администратор не должен лично выполнять все действия, связанные с обработкой персональных данных. Вы можете использовать специализированную внешнюю компанию. Для этой цели он включает договор поручения. Закон требует, чтобы договор поручения составлялся в письменной форме и четко указывал объем и цель обработки. Если вы обрабатываете личную информацию на сервере в хостинговой компании, мы предлагаем сократить соглашение.

    Вообще создание нового дата-центра сопряжено со многими трудностями. Оно требует огромных финансовых затрат и времени на подготовку. За два года построить новый дата-центр нереально – рассказал представитель Яндекса. Российский поисковик всегда использовал сервисы в России, и он готов к новому закону. «Ростелеком» также имеет собственную сеть дата-центров и свою облачную платформу. Он готов принять новых клиентов.

    Обратите внимание, что надлежащая обработка данных не освобождает вас от обязанности получить надлежащее согласие и полную документацию, связанную с обработкой данных. Доверие не означает, что контроллер данных становится хостинговой компанией - он становится только процессором. Это необходимо для законной обработки данных, но этого недостаточно - вам нужно позаботиться о оставшихся обязанностях администратора. Сюда относятся такие вопросы, как документация, согласие, защита данных.

    Как сэкономить 50% на хостинге?

    Протестируйте бесплатно в течение 14 дней. На всех форумах много вопросов. Большинство веб-приложений в этом случае имеют такие базы данных. Мне любопытно, как мы понимаем, как писать «базу данных электронной почты». К сожалению, если база данных содержит «личные данные», мы должны ее зарегистрировать. Если это онлайн-форум, он также должен быть зарегистрирован. Конечно, при регистрации базы данных мы не объявляем объем обрабатываемых данных, а только категории данных, которые мы собираем и как это будет продолжаться.

    Как видим, у нового закона есть и противники и те, которым закон не страшен. Ясно одно – закон нужно дорабатывать в соответствии с теми поправками и замечаниями, которые уже есть и ещё будут, иначе он просто не заработает в полную силу. Также, как и новый 44-ФЗ. Поправки к нему принимают до сих пор, создана специальная рабочая группа для этого. Все делается для того, чтобы стали все более прозрачными и эффективными. Так что над законом о запрете хранения персональных данных за рубежом предстоит ещё поработать. Нельзя загонять бизнес в угол. Он и так у нас выглядывает из-за угла. Особенно страдает малый и средний бизнес. Сколько уже индивидуальных предпринимателей закрылись в прошлом году. То налоговые ставки повысят, то ещё какой-либо запрет введут. Одними запретами сыт не будешь. Нужно предлагать инновационные решения. Сегодня данные с успехом защищаются при помощи шифрования данных. А что будет, если взломают какой-нибудь сервис и все данные утекут в неизвестном направлении? Вот об этом точно стоит подумать. Депутатам есть над чем поработать…

    Сколько это стоит - с точки зрения офиса? Только если вам нужен сертификат регистрации базы, вам нужно заплатить около 20 злотых. Как и в моей электронной почте, у меня есть адреса моих прежних и нынешних клиентов, следует ли регистрировать эти данные?

    Если мы используем контакты для деловых целей, мы должны официально зарегистрировать такую ​​базу данных. Конечно, по просьбе мы отмечаем, что данные хранятся в распределенной архитектуре. Интересно, как плюшевый медведь хочет решить проблемы локализации.

    Действующий Закон о защите данных точно определяет, какие требования должны соблюдаться при хранении данных на серверах, расположенных за пределами Польши. Объясняет, какие меры принимаются для защиты собранных персональных данных. Хостинг приложений - серверы в рамках генерального директората по информатике, Европейской комиссии.

    • Tutorial

    Ох, сколько уже было сказано о персональных данных! Интернет предпринимателей особенно взбудоражила история с локализацией. И до сих пор не совсем понятно, как и к кому этот 242 ФЗ применяется. Поэтому мы с коллегами из Б152 решили на примерах все разобрать и предложить варианты хранения данных, подходящие совершенно разным компаниям.
    Напомним, что он вступил в силу 1 сентября 2015 года, хотя принят был еще летом 2014-го. О нем много разговоров, но судебной практики пока нет. Поэтому мы обратимся к опыту иностранных коллег.

    Никакие личные данные не хранятся в секретных файлах или блогах, связанных с базой данных. В таких случаях никакая информация не передается другим органам. Ваша информация хранится в безопасной системе, основанной на решениях Европейской комиссии по защите и положениях, установленных Генеральным директоратом по безопасности Европейской комиссии для таких типов серверов и служб.

    Пользователи могут проверять и изменять свои личные данные. Запросы на блокировку или удаление персональных данных будут обработаны в течение 2 месяцев. Такие запросы могут быть представлены. Все персональные данные хранятся в базе данных, если выполняются последующие действия, и запрос длится не более одного года. Позже все личные данные удаляются. Информация о случаях может рассматриваться как анонимная форма для статистики.

    Суть закона заключается в том, что отныне юридическим лицам, которые работают с персональными данными граждан РФ, запрещено собирать и хранить эти данные за рубежом – они обязаны локализовать базы данных на территории России. Закон этот вносит важные изменения в ФЗ № 152 «О персональных данных», вступивший в силу еще в 2007 году.

    По части жестких требований к локализации ПДн мы далеко не одиноки. На территории других стран подобные законы действуют уже не один год.

    Вьетнам
    В 2013 году во Вьетнаме владельцев нескольких конкретных видов ресурсов (новостных, социальных сетей и онлайн-игр) обязали локализовать копии данных. Для чего это было сделано, нетрудно догадаться. Конечно же, для предоставления их компетентным органам и облегчения рассмотрения претензий пользователей. Запрета на параллельную обработку персональных данных за рубежом власти Вьетнама не ввели.

    Китай
    Китайцы подошли более сурово к вопросу трансграничной передачи данных, правда, в отношении только одного вида персональной информации. На два года опередив вьетнамцев, Китайский народный банк опубликовал Уведомление банковским институтам о защите персональной финансовой информации. Этот документ запретил кредитным организациям хранить, обрабатывать или анализировать за границей личную финансовую информацию, полученную внутри страны.

    Индия
    В том же 2011 году Министерство коммуникаций и информационных технологий Индии утвердило Правила по процедурам и практикам. Такое размытое название документа подразумевает под собой вполне конкретные цели, а именно – обеспечение безопасности специальных категорий персональных данных. В Правилах определены эти самые специальные категории, в список включили пароли, финансовую информацию (включая данные о банковском счете или кредитной карте), сведения о здоровье, сексуальной ориентации и биометрические данные.

    Для этих категорий ПДн установили требование, согласно которому передача их любой другой компании или физическому лицу, находящемуся в Индии или в другом государстве, возможна только при условии обеспечения последними должного уровня защиты. И возможно все это только в рамках выполнения договора, заключенного с субъектом данных, или в случае получения от него согласия на передачу.

    Малайзия
    Финальной на сегодня глубиной нашего погружения в историю будет 2010 год, когда закон о защите персональных данных Малайзии ввел запрет на передачу ПДн за пределы страны. Осуществлять трансграничную передачу персональных данных можно лишь при соблюдении определенных условий и в ряде исключительных случаев. Например: согласие субъекта ПДн, необходимость исполнения договора между субъектом и оператором, необходимость исполнения контракта между оператором и третьим лицом, который был заключен по запросу или в интересах субъекта ПДн.

    Однако подобные нововведения касаются не только азиатских стран. Запрет на передачу персональных данных за рубеж был введен в Австралии, правда, только в отношении данных о здоровье.

    Вот только на фоне ФЗ-242 все вышеупомянутые законы и указания – детские сказки. Наш закон более суров и специфичен.
    Больше всего споров возникает вокруг того, что этот закон запрещает хранение ПДн российских граждан за рубежом, но параллельное хранение, на первый взгляд, невозможно отследить. К тому же закон не содержит правовых инструментов, решающих эту проблему.

    Минкомсвязи внес ясность в вопрос трансграничной передачи. Согласно их разъяснениям, ПДн граждан, изначально внесенные в базы данных на территории России, могут быть переданы за рубеж в соответствии с положением о трансграничной передаче данных. Также ведомство подтвердило возможность предоставления удаленного доступа к российским БД с территории других государств.

    Перейдем к практике.

    Судебных решений пока нет, слишком мало времени прошло. Пока мы можем лишь сказать, что изменения коснулись всех компаний, которые работают на территории РФ. Как им быть и что делать? Как строить теперь свою работу?

    В первую очередь не надо паниковать. А что делать дальше – советуют наши коллеги из Б-152.

    Итак, что делать если:

    1. Вы иностранная компания, которая работает на территории РФ, в том числе через отдельное юридическое лицо или филиал.

    Вариант 1. Передать данные за рубеж в обезличенном виде.

    Это значит, что персональные данные будут находиться на серверах в России, но каждому физическому лицу будет присвоен ID, который и передается за рубеж. Таким образом персональные данные отделяются от субъекта, и их невозможно будет соотнести с конкретным человеком. Такой подход предлагает Microsoft для работы со своими сервисами и Microsoft Azure.

    Вариант 2. Трансграничная передача данных с хранением первичной актуальной базы на территории России.

    Как мы уже сказали, закон не запрещает обрабатывать данные за границей, но только в том случае, если база данных в РФ является наиболее полной и актуальной. То есть если сбор и хранение первоначально происходит в БД на территории России, то персональные данные можно передавать за рубеж и использовать там. На данный момент это один из самых востребованных способов локализации персональных данных.
    И самый простой вариант его реализации – использование буферного сервера в России. В этом случае данные сначала попадают на этот сервер, и только потом – за рубеж. Позиция регуляторов позволяет это сделать, ведь соблюдено главное требование – первичная база данных находится в России.
    Напомним, что базой данных, с точки зрения Минкомсвязи и Роскомнадзора, считаются в том числе бумажные базы. Например, это может быть шкаф с личными делами сотрудников в виде картотеки или таблица в excel.

    2. Вы российская компания

    Самый очевидный способ – перенести базы персональных данных, их обработку, сбор и хранение на территорию РФ, используя российские дата-центры.
    Однако варианты с трансграничной передачей и обезличиванием вам тоже подойдут.

    За нарушение норм локализации отдельной ответственности не предусмотрено. А значит, действует ст. 13.11 КоАП РФ, устанавливающая санкции за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных. Штраф за это совсем небольшой, для юридических лиц он составляет не более 10 тыс. руб.

    Но это не единственная мера воздействия. Альтернативой является возможность внесения доменных имен и сетевых адресов в реестр нарушителей прав субъектов персональных данных. Что, пожалуй, более существенно, нежели штраф.

    Итак, что нужно сделать со срочностью «вчера», чтобы понять, какие из описанных действий предпринять:

    • Провести инвентаризацию всех своих информационных систем / баз данных.
    • Определить место нахождения каждой из имеющихся у вас информационных систем / баз данных.
    • Использовать вышеперечисленные методы по локализации баз с персональными данными граждан РФ.

    Источники:
    1. Савельев А. И. Законодательство о локализации данных и его влияние на рынок электронной коммерции в России. // Закон, 2014, № 9.
    2. Information Technology (Reasonable security practices and procedures and sensitive personal data or information) Rules, 2011. Indian Ministry of Communication and Information Technology.
    3. Personal Data Protection Act, Law No. 709 of 2010, Official Gazzette of Malaysia, June 10, 2010, P.U. (B) 464.

    Читать еще: