Хранение и защита персональных данных на виртуальном сервере. Вступил в силу закон о хранении и обработке персональных данных россиян с использованием серверов, находящихся на территории россии Закон хранении персональных данных рф

С 01 сентября 2015 г. вступили в силу дополнения, вносимые в статью 18 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее по тексту – Федеральный закон), а именно часть 5 следующего содержания:

«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.».

Указанные исключения будут касаться только исполнения Российской Федерацией принятых на себя международных обязательств, осуществления правосудия, работы органов государственной власти, журналистской, научной, литературной и иной творческой деятельности.

Таким образом, если деятельность оператора не сопряжена с указанной выше, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием серверов с базами данных, расположенных на территории Российской Федерации.

Вносимые изменения не освещают вопрос о необходимости переноса серверов с территории иностранных государств на территорию РФ. Исходя из буквального понимания положения ч. 5 ст. 18 Федерального закона и недопустимости необоснованного расширительного толкования, перенос серверов на территорию РФ не является необходимой мерой. Законодательством РФ ответственность для российских обществ за наличие серверов на территории иностранных государств также не предусмотрена.

Использование серверов, расположенных на территориях иностранных государств, «как раньше» не представляется возможным .

Обращаем внимание, что вносимые изменения не распространяются на ситуации, когда сервер принадлежит иностранной компании, находится на территории иностранного государства и используется для записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан Российской Федерации.

Исходя из недопустимости необоснованной экстерриториальности действия законодательства, требования Федерального закона распространяются только на российские компании и зарегистрированные на территории РФ филиалы и представительства иностранных юридических лиц.

Таким образом, иностранные юридические лица, не имеющие филиалы и представительства на территории РФ, вправе осуществлять хранение персональных данных граждан РФ на серверах, расположенных вне территории РФ, поскольку формально под действие Федерального закона они не подпадают, если это разрешено их национальным законодательством.

Действия, которые должны осуществлять исключительно в России

В соответствии с ч. 5 ст. 18 Федерального закона нижеперечисленные действия должны осуществляться исключительно на сервере, расположенном на территории Российской Федерации:

• запись персональных данных,
• систематизация персональных данных,
• накопление персональных данных,
• хранение персональных данных,
• уточнение (обновление, изменение) персональных данных,
• извлечение персональных данных.

Применительно к передаче и обработке персональных данных (к которой относится также обработка данных без сбора персональных данных) территориальное ограничение не установлено, следовательно, такие действия осуществляются в соответствии с действующим в настоящее время порядком.

Актуальную информацию по вопросу принятия официальных разъяснений Роскомнадзором можно узнать, перейдя по ссылке: http://rkn.gov.ru/.

Трансграничная передача персональных данных

Существующий в настоящее время порядок передачи и обработки персональных данных установлен ст. 12 Федерального закона, согласно которой трансграничная передача персональных данных (на территории иностранных государств) может осуществлять в том случае, если государство-получатель является участником Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (заключена в г. Страсбурге 28.01.1981 г.), далее по тексту – Конвенция. Кроме того, передача персональных данных также может быть осуществлена в иные иностранные государства, признанные способным обеспечить адекватную защиту прав субъектов персональных данных (см. Приказ Роскомнадзора от 15.03.2013 г. № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных»).

После вступления в силу изменений в закон на серверах, расположенных на территории страны - участника Конвенции, оператор не сможет записывать, хранить, извлекать персональные данные. Оператор сможет осуществлять только передачу и обработку данных на сервере, расположенном в такой стране. То есть, все хранящиеся данные на сервере в стране – участника Конвенции необходимо будет переместить на сервера в РФ.

На данный момент буквальное толкования вступающих в силу изменений, при отсутствии официальных разъяснений, предполагает, что спектр правомочий оператора по обработке персональных данных с использованием серверов, расположенных на территориях иностранных государств, строго ограничен.

В частности, предполагается, что хранение на зарубежных серверах даже резервных копий персональных данных будет квалифицироваться как нарушение норм законодательства о защите персональных данных.

Однако, по словам Министра связи, предполагается создание достаточно широкой подзаконной нормативно-правовой базы, в рамках которой будет определено какие сведения, при каких обстоятельствах, в каких системах, как конкретно должны храниться и обрабатываться, в том числе на территории РФ. В ее рамках ведомствам предстоит определить, какие сведения, при каких обстоятельствах, в каких системах, как конкретно должны храниться и обрабатываться на российской территории. В частности, по мнению министра, имя, фамилия, дата рождения, размещенные в Twitter и Facebook, можно будет признать "нечувствительными" для пользователей. Такая информация может храниться и за рубежом . То есть, не исключено, что законодательно будет установлено разрешение на хранение отдельных сведений на серверах, расположенных на территориях иностранных государств.

Ответственность за нарушение вступающих в силу изменений

Административная ответственность

За нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) ст. 13.11. КоАП предусмотрена следующая ответственность:

• наложение административного штрафа на должностных лиц в размере от пятисот до одной тысячи рублей;
• наложение административного штрафа на юридических лиц – от пяти тысяч до десяти тысяч рублей.

Блокировка информационного ресурса

Кроме того, с 01.09.2015 г. вступают в силу изменения, вносимые в Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Данные изменения предусматривают блокировку информационного ресурса, на котором обработка персональных данных граждан РФ осуществляется с нарушением законодательства.

Роскомнадзор имеет возможность заблокировать Интернет-ресурсы, осуществляющие обработку персональных данных граждан РФ с нарушениями законодательства, уже в настоящее время.

Примером тому является решение, вынесенное Ангарским городским судом Иркутской области по иску Роскомнадзора в защиту прав неопределенного круга лиц в связи с незаконной обработкой их персональных данных (дело № 2-799-14 от 30.04.2014 г.). В соответствии с материалами данного дела, сайт www.telkniga.com распространял персональные данные граждан РФ без получения их предварительного согласия. В результате, деятельность сайта www.telkniga.com признана незаконной и нарушающей права российского гражданина, а размещенная в интернете информация, содержащая персональные данные, – запрещенной к распространению в Российской Федерации. Указанный сайт включен единый реестр запрещенной информации.

Реестр нарушителей прав субъектов персональных данных

Создание автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных», создание, формирование и ведение которой будет осуществляться Роскомнадзором.

В указанный реестр будут включаться, в частности, следующие данные об информационном ресурсе: сетевой адрес, доменное имя, указатель страниц, позволяющий идентифицировать информацию, обрабатываемую с нарушениями законодательства.

Включение в Реестр и ограничение доступа к информационному ресурсу будут возможны только на основании вступившего в законную силу судебного акта.

ВЫВОДЫ

1. После 01 сентября 2015 года запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ можно будет осуществлять с использованием серверов, расположенных исключительно на территории Российской Федерации. В связи с этим необходимо будет перенести все персональные данные граждан РФ, хранящиеся на серверах, расположенных в иностранных государствах, на сервера в РФ.
2. Осуществлять иные действия можно с использованием баз данных, расположенных на территории иностранных государств. Оператор правомочен осуществлять обработку заказов без сбора персональных данных и калькуляцию персональных данных граждан РФ на серверах, расположенных в странах – участниках Конвенции либо перечисленных в Приказе Роскомнадзора от 15.03.2013 г. № 274. Трансграничная передача персональных данных возможна на территорию иностранных государств, являющихся сторонами вышеуказанной Конвенции Совета Европы, либо перечисленных в Приказе Роскомнадзора от 15.03.2013 г. № 274.
3. Если сервер принадлежит иностранной компании и находится на территории иностранного государства, то иностранная компания вправе использовать его для записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан Российской Федерации, поскольку вступающие в силу изменения не распространяются на иностранные юридические лица, которые не имеют филиалов и представительств на территории РФ. Однако сложно предсказать действия Роскомнадзора к таким иностранным компаниям. Роскомнадзор может применить санкции к таким иностранным компаниям, например, блокировку информационного ресурса. Как действовать в таких случаях иностранным компаниям, пока сказать сложно. Помимо этого, с 01.09.2015 года вступит в силу п.п.3.1. п.3 ст.23 Федерального закона, согласно которому уполномоченный орган по защите прав субъектов персональных данных имеет право ограничивать доступ к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, в порядке, установленном законодательством Российской Федерации.

Текст
Олег Акбаров

Текст
Николай Удинцев

Перед уходом на летние каникулы Государственная дума РФ скоропостижно приняла ещё одну серию «запретительных законов» - основной резонанс вызвала инициатива запретить интернет-сервисам хранить данные вне РФ. Она спровоцировала новую волну разговоров о будущем интернета в нашей стране и о том, что скоро вместо Всемирной паутины мы будем иметь возможность пользоваться только .

Что произошло?

Сегодня, 4 июля, поправки к закону «О персональных данных» были приняты во втором и третьем чтениях. За документ проголосовали 325 депутатов, против - 65 парламентариев. Под эти поправки подпадают, среди прочих, такие ресурсы, как Facebook, Twitter и Booking.com, а также тысячи онлайн-магазинов, сотни авиакомпаний и визовых служб. Look At Me разбирается, чем это может закончиться как для простых людей, так и для тех, чей бизнес находится в интернете.

Законопроект, вступающий в силу с 1 сентября 2016 года, регламентирует обязанности интернет-оператора «обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации в базах данных информации, расположенных на территории Российской Федерации». Таким образом, после указанной даты хранение любых персональных данных за пределами РФ запрещено.

Что запрещают?

Согласно закону, Роскомнадзор должен ограничить доступ к информации, которая «обрабатывается с нарушением законодательства», то есть не в России. Для этого он направит письмо с сообщением о нарушении законодательства хостингу сервиса или его владельцу. Если последний не предпримет «незамедлительных мер» по устранению нарушения, то ведомство направит второе письмо - отечественным провайдерам с указанием о блокировке сайта.

Все сайты-нарушители будут попадать в новый «чёрный список» - Реестр нарушителей прав субъектов персональных данных. Уточняется, что Роскомнадзор может послать письмо только после решения суда. Однако закон не проясняет, по какой именно причине будет начинаться судебное разбирательство - по обращению Роскомнадзора или любого другого лица.

Что из этого выйдет
на практике?

Даже если отдельные компании (например, Google и Microsoft) согласятся установить свои дата-центры на территории России, некоторые сервисы физически не смогут выполнить требования российского законодательства. Например, считают отечественные специалисты , иностранные онлайн-магазины не смогут поставить свои серверы в России, поскольку должны обрабатывать данные на территории той страны, в которой они работают.

Аналогичная ситуация может сложиться с иностранными сервисами бронирования авиабилетов, гостиниц (Booking.com), жилья (Airbnb), а также платёжными инструментами (PayPal). Они должны хранить свои данные на международных серверах, чтобы другие компании могли получить к ним доступ из любой страны. Принятые Госдумой РФ поправки не проясняют, будет ли разрешён доступ к информации в российских дата-центрах из-за границы. И не ясно, каким образом в России смогут работать молодые интернет-стартапы, у которых нет средств на то, чтобы уделять столько внимания российским пользователям.

Эксперты заявляют , что единственным способом добиться выполнения этого закона в отношении иностранных интернет-компаний, таких как Google или Facebook, является блокирование доступа к их сервисам на территории России. Такая ситуация складывается из-за того, что данные компании находятся вне российской юрисдикции. Однако ранее подобные ограничения в других странах привели к тому, что сервисы просто перестали работать на их территории.

Несмотря на возможный уход иностранных сервисов с российского рынка, некоторые чиновники рассчитывают получить экономическую выгоду. Например, муниципальный депутат Алексей Лисовенко считает, что это может принести

Терминология по хранению персональных данных сформировалась позже.

В 2001 году в Трудовом кодексе России появилась 14 глава , посвященная сотрудников, а спустя 15 лет правительство, наконец, сформировало термины по обращению с конфиденциальной информацией.

Под хранением информации подразумевается способ ее распространения во времени и пространстве при помощи определенного носителя. Основными условием и целью хранения данных называется обеспечение к ней постоянного доступа или доступа по требованию.

Хранение данных является составной частью обработки информации. Когда гражданин дает , речь идет о сборе, накоплении, уточнении, извлечении, обновлении и хранении информации.

Где можно хранить на территории РФ?

У каждого оператора должна быть политика хранения сведений персонального характера , включающая такие пункты:

Электронные

Персональные сведения относятся к конфиденциальной информации, поэтому должны быть защищены. Для всех операций с такими ведомостями, включая хранение, используются (ИСПД).

Их в России принято делить на четыре категории в зависимости от важности и объема информации.

• Категория 1. Типовая информационная система персональных данных с ведомостями более чем на 100 тысяч субъектов. В ней содержится информация о расовой, национальной принадлежности, политических взглядах, религии, интимной жизни и другие ведомости, распространение которых окажет явное негативное влияние на жизнь физических лиц.
• Категория 2 . Система вмещает в себя персональные ведомости, разглашение которых позволит третьим лицам получить о физическом лице дополнительные ведомости, кроме данных, относящихся к первой категории.
• Категория 3 . Система с персональными сведениями, которые дают возможность идентифицировать физическое лицо.
• Категория 4 . Предусматривает хранение , раскрытие которых не окажет негативного влияния.

Процесс хранения начинается с создания такой системы и ее проверки государственными органами России. После этого оператор должен обеспечить все требования по инженерной защите помещения, проверяется соответствие системы по:

1. требованиям пожарной безопасности;
2. охране;
3. электрическому питанию;
4. заземлению;
5. санитарным требованиям.

Последним пунктом является аттестация или сертификация ИСПД. Если ИСПД готова, то компании предстоит прописать юридическую основу всех процессов с персональными сведениями, которая будет появляться на сайте перед введением ведомостей о пользователе в форму.

Она может называться как угодно, например, «Политика обработки персональных данных» или «Согласие на хранение личной информации».

Главное, чтобы клиент мог ознакомиться с ней и нажать на «галочку», выразив таким образом свое согласие на предоставление оператору информации. Весь процесс хранения такой информации регламентируется законодательными актами о конфиденциальных данных.

Запрещается передавать их третьему лицу , а также использовать в целях, которые не были указаны изначально.

Для операторов, работающих с электронными носителями, инструкция будет выглядеть следующим образом:

1. Доступ к данным необходимо ограничить.
2. Передавать информацию по зашифрованным каналам.
3. Иметь .
4. Вести учет физических носителей, если есть.
5. Предотвращать утечки.
6. Раздельно хранить информацию, которая обрабатывается с разными целями.
7. информацию после обработки после 30 дней хранения (желательно) или по истечении шести месяцев (в обязательном порядке).

Размещать данные компании могут как им удобно , в том числе на современны облаках.

В государстве четко регламентированы процессы хранения ПД, все операторы такой информации должны пройти ряд проверок и доказать свою способность обеспечить информации . В случае несанкционированного распространения или доступа к данным, оператор несет гражданскую, материальную и даже уголовную ответственность.

Одни называют этот закон возвращением к железному занавесу и запоздалой рефлексией на изменение информационного пространства. Другие связывают с ним укрепление позиций и дальнейшее развитие мощностей отечественных ИТ-компаний. Авторы поправок настаивают на том, что новый закон поможет защитить права российских граждан в сфере обработки и хранения персональных данных. За разъяснениями о том, с чем же в ближайшем будущем придется иметь дело бизнесу и обычным пользователям, мы обратились к руководителю проекта компании «Глобал Офис» Мартыновой Кристине.

Сегодня законы 242-ФЗ и 152-ФЗ на слуху у многих. За последние несколько месяцев они стали острыми болевыми зонами в дискуссиях бизнесменов, айтишников и простых смертных. Принятый в июле этого года федеральный закон 242-ФЗ установил для всех участников, вовлеченных в процесс обработки и хранения персональных данных, новые правила игры. Одно из главных нововведений затронуло текст закона 152-ФЗ , положения которого дополнились требованием с 1 января 2016 года хранить персональные данные россиян на серверах, находящихся в РФ:

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.

При этом под запрет могут попасть любые действия с данными - вплоть до выведения на экран компьютера, если физически базы данных «лежат» за рубежом. Правда, до сих пор ни парламентарии, ни Роскомнадзор не дали однозначных ответов на вопрос о том, что же конкретно следует понимать под извлечением данных, их систематизацией и самой базой данных.

Еще более расплывчатым остается содержание нового термина «лицо, обеспечивающее обработку информации в информационно-телекоммуникационной сети, в том числе в сети «Интернет», внесенное в закон 149-ФЗ « . Кто вправе получить этот статус и каковы правовые признаки такого лица? Не исключено, что разбор законодательных полетов будет происходить уже по факту предполагаемого нарушения. В этом случае прояснить букву закона поможет судебная практика. Но опять же непонятно, на каком основании будет начинаться судебное разбирательство – по обращению Роскомнадзора или любого другого лица.

Блокировка сайта нарушителя, внесение его в «черный список» Роскомнадзора и право пользователей на удаление своих персональных данных по решению суда – все это едва ли можно считать новеллами закона. По сути это небольшой «апгрейд» положений законов «О персональных данных» и «Об информации», в которых достаточно полно изложены и карательные процедуры (включая формирование реестра нарушителей), и механизмы судебной защиты граждан.

О персональных данных

Стоить отдать должное тому широкому общественному резонансу, который развернулся синхронно с официальными обсуждениями закона. Пользователи, которые прежде считали, что персональные данные – это Ф.И.О., сведения паспорта и номер телефона, наконец-то получили глоток трезвости и здравомыслия. Оказалось, что за аббревиатурой ПД скрывается «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (п. 1 ст. 3 152-ФЗ). Это могут быть и данные о здоровье, и информация по проведенным транзакциям, и переписка в соцсетях, и зарегистрированные аккаунты в онлайн-магазинах.

Для бизнеса персональные данные – вездесущий информационный «материал». Например, для клиентов «Глобал Офис», работающих на выделенном сервере «1С: Предприятие. Зарплата и Управление Персоналом» , вопрос о персональных данных встает всякий раз при подготовке отчетности, начислении заработной платы и отпускных, расчете больничных и изыскании налогов. Более того, безобидные на первый взгляд документы, созданные с помощью программных продуктов Microsoft Word , Excel, Power Point и др., могут попасть под статью нового закона, даже если их основное содержание не имеет никакого отношения к отправителю или получателю. Как такое возможно? Благодаря метаданным, которые могут храниться не только в самом документе, но и в описании его свойств: например, имя автора, имя пользователя, почтовый адрес, сохранившего документ последним, заголовки сообщений электронной почты и т.д. Такую же скрытую опасность представляет регистрация профиля и пересылка писем через Microsoft Outlook.

Наряду с персональными данными сотрудников компаниям приходится иметь дело и с другими видами конфиденциальной информации, к которой относятся реквизиты компании, информация о контрагентах и др. По закону персональные данные – один из шести видов сведений конфиденциального характера (см. Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера»). Для удобства между нами и нашими клиентами существует договоренность о том, что все сведения, хранящиеся в предоставляемых нами программных продуктах 1С, являются персональными, а, следовательно, к ним применяются процедуры шифрования, обезличивания и др. механизмы зашиты данных.

Что делать бизнесу?

Построить собственный дата-центр и спать спокойно – технологическая роскошь, которая по зубам только крупным компаниям. У компании «Яндекс» на строительство первой фазы дата-центра ушло порядка двух лет и еще большая куча денег. Самое вероятное решения для большинства российских середнячков – это звонок в уже действующий дата-центр, где предлагают услуги по размещению серверов (colocation).

Другой законный способ установить с новым законом дружественный контакт – обезличивание данных. Некоторые эксперты возлагают на него большие надежды. Персональные данные будут отделены от субъекта таким образом, чтобы их невозможно было соотнести с конкретным человеком. В таком «аморфном» виде с ними можно делать все, что угодно. Предполагается, что обратная привязка к человеку будет осуществляться по возвращению обезличенных данных на территорию РФ. Сегодня такая технология успешно применяется в медицине. Обезличить данные можно при помощи популярных решений ERP и CRM производства Microsoft, SAP или Oracle.

На еще одну лазейку в принятом законе указали юристы. Ныне действующее законодательство не запрещает пересылку данных за границу и дублирование информации. Теоретически персональные данные могут храниться на территории России и далее свободно уходить в продублированном виде на иностранные серверы.

Формально выполнить требование о хранении данных на российских серверах также позволяют специальные программы (в компании «Глобал Офис» это SecurityIP). Они скрывают конечный IP-адрес рабочего сервера, для того чтобы нельзя было определить точное местоположение сервера.

Безусловно, изменения в главном законе о персональных данных создают трудности не только для бизнес-сообщества, но и для пользователей. И при настойчивом молчании Роскомнадзора ответы на возникающие вопросы пока остаются открытыми. Поправки о перенесении сроков вступления закона в силу на 1 января 2015 года все еще обсуждаются в правительственных кабинетах. Бизнес по-прежнему требует от парламентариев больше конкретных формулировок и меньше туманных фраз. Первое в списке – замена определения персональных данных. Без четкого понимания того, какие виды сведений могут быть классифицированы как ПД, едва ли возможна защита прав граждан, громко заявленная в новом законе.

Облачная инфраструктура – решение от ГК «Интегрус», предоставляющее современному бизнесу готовую ИТ-инфраструктуру без привлечения значительных материальных и человеческих ресурсов.

Компания “Интегрус” предлагает услуги защиты и хранения персональных данных для корпоративных клиентов в России. Обратившись к нам, вы можете быть полностью уверены, что получаете в свое распоряжение надежную защищенную систему и полностью соблюдаете требования законодательства.

Кому подходят наши услуги

Цены на хранение персональных данных на защищенном сервере в СПб

* – Помимо самой стоимости защищенного виртуального сервера в рамках тарифного плана, при заказе первого сервера в ИСПДн имеется установочная плата в

размере 10 000 рублей.

** – Стоимость защищенного сервера ИСПДн с пакетом документов и процедурой аттестации рабочего места.

Продажа защищенной инфраструктуры для хранения и обработки персональных данных по представленным тарифным планам осуществляется с минимальным сроком - 1 год.

Примеры работ

Нашими силами был успешно сделан проект по переносу персональных данных учащихся московского института в облако. Были выпущены аттестаты рабочего места, канала связи а также облачного сервера. Была создана не типовая база данных занимающая 5гб на защищенном сервере.

Наши сертификаты