Isikuandmete säilitamine ja kaitsmine virtuaalserveris. Jõustus seadus venelaste isikuandmete säilitamise ja töötlemise kohta, kasutades Venemaal asuvaid servereid. Vene Föderatsiooni isikuandmete säilitamise seadus

01. septembril 2015 jõustusid 27. juuli 2006. aasta föderaalseaduse nr 152-FZ “Isikuandmete kohta” (edaspidi föderaalseadus) artikli 18 täiendused, nimelt järgmise sisuga 5. osa:

„Isikuandmete kogumisel, sealhulgas interneti info- ja telekommunikatsioonivõrgu kaudu, on operaator kohustatud tagama kodanike isikuandmete salvestamise, süstematiseerimise, kogumise, säilitamise, selgitamise (ajakohastamise, muutmise), väljavõtmise. Venemaa Föderatsioon kasutades Vene Föderatsiooni territooriumil asuvaid andmebaase, välja arvatud käesoleva föderaalseaduse artikli 6 1. osa punktides 2, 3, 4 ja 8 nimetatud juhtudel.”.

Neid erandeid kohaldatakse ainult Vene Föderatsiooni poolt võetud kohustuste täitmisel rahvusvahelised kohustused, õigusemõistmine, organite töö riigivõim, ajakirjanduslik, teaduslik, kirjanduslik ja muu loominguline tegevus.

Seega, kui operaatori tegevus ei ole ülaltooduga seotud,operaator peab andma Vene Föderatsiooni kodanike isikuandmete salvestamine, süstematiseerimine, kogumine, säilitamine, täpsustamine (ajakohastamine, muutmine), väljavõte, kasutades Vene Föderatsiooni territooriumil asuvate andmebaasidega servereid.

Tehtavad muudatused ei hõlma serverite üleviimise vajadust välisriikide territooriumilt Vene Föderatsiooni territooriumile. Põhineb artikli 5. osa sätete sõnasõnalisel mõistmisel. Föderaalseaduse artikli 18 kohaselt ja põhjendamatult laia tõlgendamise vastuvõetamatuse tõttu ei ole serverite üleviimine Vene Föderatsiooni territooriumile vajalik meede. Samuti ei näe Vene Föderatsiooni õigusaktid ette Venemaa ettevõtete vastutust serverite olemasolu eest välisriikide territooriumil.

Välisriikide territooriumil asuvate serverite kasutamine "nagu varem" ei ole võimalik.

Juhime tähelepanu, et tehtud muudatused ei kehti olukordades, kus server kuulub välismaisele ettevõttele, asub territooriumil välisriik ja seda kasutatakse Vene Föderatsiooni kodanike isikuandmete salvestamiseks, süstematiseerimiseks, kogumiseks, säilitamiseks, selgitamiseks, väljavõtmiseks.

Lähtudes õigusaktide ebamõistliku eksterritoriaalsuse lubamatusest kehtivad föderaalseaduse nõuded ainult Venemaa ettevõtted ja välismaiste juriidiliste isikute filiaalid ja esindused, mis on registreeritud Vene Föderatsiooni territooriumil.

Seega välismaised juriidilised isikud, millel ei ole Venemaa Föderatsiooni territooriumil filiaale ja esindusi, on õigus säilitada Vene Föderatsiooni kodanike isikuandmeid serverites, mis asuvad väljaspool Vene Föderatsiooni territooriumi, kuna nad ei allu ametlikult föderaalametile. seadus, kui see on nende siseriiklike õigusaktidega lubatud.

Toimingud, mis tuleb läbi viia ainult Venemaal

Vastavalt artikli 5. osale. Föderaalseaduse artikli 18 kohaselt tuleb järgmisi toiminguid teha ainult Vene Föderatsiooni territooriumil asuvas serveris:

isikuandmete salvestamine,
isikuandmete süstematiseerimine,
isikuandmete kogumine,
isikuandmete säilitamine,
isikuandmete täpsustamine (uuendamine, muutmine),
isikuandmete väljavõte.

Seoses isikuandmete edastamise ja töötlemisega(mis hõlmab ka andmetöötlust ilma isikuandmete kogumiseta)territoriaalset piirangut ei ole kehtestatud, mistõttu sellised toimingud toimuvad kehtiva korra kohaselt.

Ajakohane teave vastuvõtmise küsimuses ametlikud selgitused Roskomnadzori leiate, klõpsates lingil: http://rkn.gov.ru/.

Isikuandmete piiriülene edastamine

Kehtiv isikuandmete edastamise ja töötlemise kord on kehtestatud Art. Föderaalseaduse artikkel 12, mille kohaselt isikuandmete piiriülest edastamist (välisriikide territooriumil) saab teostada juhul, kui vastuvõttev riik on osaline Euroopa Nõukogu isikute kaitse konventsioonis isikuandmete automaatsel töötlemisel. (allkirjastatud Strasbourgis 28. jaanuaril 1981), edaspidi konventsioon. Lisaks saab isikuandmeid edastada ka teistesse välisriikidesse, mis on tunnistatud suuteliseks tagama isikuandmete subjektide õiguste piisava kaitse (vt Roskomnadzori 15. märtsi 2013. a korraldust nr 274 „Välisriikide nimekirja kinnitamise kohta). välisriigid, kes ei ole Euroopa Nõukogu üksikisikute kaitse isikuandmete automatiseeritud töötlemisel ja isikuandmete subjektide õiguste piisava kaitse tagamise konventsiooni osalised).

Pärast seadusemuudatuste jõustumist ei saa operaator konventsiooniga ühinenud riigi territooriumil asuvates serverites isikuandmeid salvestada, talletada ega hankida. Operaator saab ainult edastamine ja töötlemine andmed selles riigis asuvas serveris. See tähendab, et kõik konventsiooniga ühinenud riigi serverisse salvestatud andmed tuleb teisaldada Vene Föderatsiooni serveritesse.

*Isikuandmetega toimingud*	*Toimingud, mida Venemaa ettevõte saab teha Vene Föderatsiooni serveris*	*Toimingud, mida Venemaa ettevõte saab konventsioonis osaleja serveris teha*
Isikuandmete edastamine
Isikuandmete töötlemine
isikuandmete salvestamine
isikuandmete süstematiseerimine
isikuandmete kogumine
isikuandmete säilitamine
isikuandmete täpsustamine (uuendamine, muutmine).
isikuandmete väljavõte

peal Sel hetkel jõustuvate muudatuste sõnasõnaline tõlgendamine ametlike selgituste puudumisel viitab sellele, et operaatori volitused isikuandmete töötlemisel välisriikide territooriumil asuvate serverite abil on rangelt piiratud.

Eelkõige eeldatakse, et isikuandmete kaitset käsitlevate õigusaktide rikkumisena kvalifitseeritakse isegi isikuandmete varukoopiate salvestamine välismaistes serverites.

Küll aga on kommunikatsiooniministri sõnul kavas luua üsna lai põhiseadus reguleeriv raamistik, mille raames määratakse kindlaks, millist teavet, millistel asjaoludel, millistes süsteemides, kuidas konkreetselt tuleks säilitada ja töödelda, sealhulgas Vene Föderatsiooni territooriumil. Selle raames peavad osakonnad kindlaks määrama, millist teavet, millistel asjaoludel, millistes süsteemides, kuidas konkreetselt tuleks talletada ja töödelda. Venemaa territoorium. Eelkõige võib ministri sõnul kasutajate jaoks "tundetuks" tunnistada Twitterisse ja Facebooki postitatud nime, perekonnanime, sünnikuupäeva. Sellist teavet võidakse säilitada ka välismaal. See tähendab, et on võimalik, et seadus kehtestab loa teatud teabe salvestamiseks välisriikide territooriumil asuvates serverites.

Vastutus jõustuvate muudatuste rikkumise eest

Haldusvastutus

Kodanike kohta teabe (isikuandmete) kogumise, säilitamise, kasutamise või levitamise seadusega kehtestatud korra rikkumise eest Art. 13.11. Haldusõiguserikkumiste seadustik näeb ette järgmised kohustused:

ülekate haldustrahv peal ametnikud summas viissada kuni tuhat rubla;
haldustrahvi määramine juriidilistele isikutele - viis tuhat kuni kümme tuhat rubla.

blokeerimine teabeallikas

Lisaks alates 01.09.2015 tehtud muudatused Föderaal seadus 27. juuli 2006 nr 149-FZ „Teabe kohta, infotehnoloogia ja teabe kaitse kohta.

Need muudatused näevad ette teaberessursi blokeerimise, mille alusel töödeldakse Vene Föderatsiooni kodanike isikuandmeid seadusi rikkudes.

Roskomnadzoril on juba praegu võimalus blokeerida Interneti-ressursse, mis töötlevad Vene Föderatsiooni kodanike isikuandmeid seaduste rikkumisega.

Selle näiteks on Angarski linnakohtu otsus Irkutski piirkond Roskomnadzori hagi kohta määramata arvu isikute õiguste kaitseks seoses nende isikuandmete ebaseadusliku töötlemisega (30. aprilli 2014. a kohtuasi nr 2-799-14). Vastavalt käesoleva juhtumi materjalidele levitas veebisait www.telkniga.com Vene Föderatsiooni kodanike isikuandmeid neid saamata eelnev nõusolek. Selle tulemusena tunnistati veebilehe www.telkniga.com tegevus ebaseaduslikuks ja Venemaa kodaniku õigusi rikkuvaks ning isikuandmeid sisaldava internetti postitatud teabe levitamine Vene Föderatsioonis keelati. Määratud sait on kantud keelatud teabe ühtsesse registrisse.

Isikuandmete subjektide õiguste rikkujate register

Automatiseeritud infosüsteemi "Isikuandmete subjektide õiguste rikkujate register" loomine, mille loomise, moodustamise ja hooldamisega tegeleb Roskomnadzor.

See register sisaldab teaberessursi kohta eelkõige järgmisi andmeid: võrguaadress, Domeeninimi, leheregister, mis võimaldab tuvastada seadusi rikkudes töödeldud teavet.

Registrisse kandmine ja teabeallikale juurdepääsu piiramine on võimalik ainult alusel juriidilist jõudu kohtuakt.

LEIUD

Pärast 01.09.2015 Vene Föderatsiooni kodanike isikuandmete salvestamine, süstematiseerimine, kogumine, säilitamine, täpsustamine (ajakohastamine, muutmine), väljavõte saab teostada asuvate serverite abil eranditult Vene Föderatsiooni territooriumil. Sellega seoses on vaja edastada kõik välisriikides asuvatesse serveritesse salvestatud Venemaa kodanike isikuandmed Vene Föderatsiooni serveritesse.
Mõista muud toimingud on võimalikud välisriikide territooriumil asuvate andmebaaside abil. Operaator on volitatud töötlema tellimusi isikuandmeid kogumata ja arvutama Vene Föderatsiooni kodanike isikuandmeid serverites, mis asuvad riikides, mis on konventsiooni osalised või on loetletud Roskomnadzori 15.03.2013 korralduses nr 274. Ülaltoodud konventsioon Euroopa Nõukogu või Roskomnadzori ordenis 15. märtsil 2013 nr 274 loetletud.
Kui server kuulub välisriigi ettevõttele ja asub välisriigi territooriumil, siis on välisettevõttel õigus seda kasutada Vene Föderatsiooni kodanike isikuandmete salvestamiseks, süstematiseerimiseks, kogumiseks, säilitamiseks, selgitamiseks, väljavõtmiseks, kuna jõustuvad muudatused ei kehti välismaiste juriidiliste isikute suhtes, kellel ei ole Venemaa Föderatsiooni territooriumil filiaale ja esindusi. Roskomnadzori tegevust on sellistele aga raske ennustada välismaised ettevõtted. Roskomnadzor võib kohaldada sellistele välisettevõtetele sanktsioone, näiteks blokeerida teabeallika. Kuidas välisfirmad sellistel juhtudel käituma peaksid, on siiani raske öelda. Lisaks hakkab alates 01.09.2015 kehtima punkt 3.1. Föderaalseaduse artikli 23 punkt 3, mille kohaselt volitatud asutus isikuandmete subjektide õiguste kaitseks on õigus piirata juurdepääsu teabele, mida töödeldakse rikkudes Vene Föderatsiooni isikuandmeid käsitlevaid õigusakte, viisil seadusega kehtestatud Venemaa Föderatsioon.

Tekst
Oleg Akbarov

Tekst
Nikolai Udintsev

Enne suvepuhkusele minekut Riigiduuma Vene Föderatsioon võttis ootamatult vastu järjekordsed "keelavad seadused" – peamise vastukaja tekitas algatus keelata Interneti-teenustel andmete säilitamine väljaspool Vene Föderatsiooni. Ta kutsus esile uue kõnelaine Interneti tulevikust meie riigis ja sellest, et varsti saame World Wide Webi asemel ainult seda kasutada.

Mis juhtus?

Täna, 4. juulil võeti teisel ja kolmandal lugemisel vastu muudatused «Isikuandmete» seaduses. Dokumendi poolt hääletas 325 saadikut, vastu oli 65 parlamendisaadikut. Need muudatused hõlmavad muu hulgas ressursse nagu Facebook, Twitter ja Booking.com, aga ka tuhandeid veebipoode, sadu lennufirmasid ja viisateenuseid. Look At Me mõistab, kuidas see võib lõppeda nii tavainimestele kui ka neile, kelle äri on Internetis.

1. septembril 2016 jõustuv seaduseelnõu reguleerib Interneti-operaatori kohustusi "tagada Vene Föderatsiooni kodanike isikuandmete salvestamine, süstematiseerimine, kogumine, säilitamine, selgitamine (uuendamine, muutmine), väljavõte Vene Föderatsiooni territooriumil asuvad teabeandmebaasid". Seega on pärast määratud kuupäeva isikuandmete säilitamine väljaspool Vene Föderatsiooni keelatud.

Mis on keelatud?

Seaduse järgi peab Roskomnadzor piirama juurdepääsu teabele, mida "töödeldakse seadust rikkudes", see tähendab, et see ei ole Venemaal. Selleks saadab ta teenusemajutajale või selle omanikule kirja teatega seaduserikkumise kohta. Kui viimane ei võta "viivitamatuid meetmeid" rikkumise kõrvaldamiseks, saadab amet kodumaistele teenusepakkujatele teise kirja, mis näitab, et sait on blokeeritud.

Kõik rikkuvad saidid lisatakse uude "musta nimekirja" - isikuandmete subjektide õiguste rikkujate registrisse. Selgitatakse, et Roskomnadzor saab kirja saata alles pärast kohtuotsust. Seadus aga ei selgita, mis põhjusel kohtuprotsess- Roskomnadzori või mõne muu isiku nõudmisel.

Mis sellest tuleb
praktikal?

Isegi kui üksikud ettevõtted (nt Google ja Microsoft) nõustuvad paigaldama oma andmekeskused Venemaale, ei suuda mõned teenused füüsiliselt nõudeid täita. Venemaa seadusandlus. Näiteks usuvad kodumaised eksperdid, et välismaised veebipoed ei saa oma servereid Venemaale installida, kuna nad peavad töötlema andmeid selle riigi territooriumil, kus nad tegutsevad.

Sarnane olukord võib tekkida lennupiletite, hotellide (Booking.com), eluaseme (Airbnb) ja ka maksevahendite (PayPal) välismaiste broneerimisteenuste puhul. Nad peavad salvestama oma andmed rahvusvahelistesse serveritesse, et teised ettevõtted saaksid neile juurdepääsu mis tahes riigist. Vene Föderatsiooni riigiduuma vastu võetud muudatused ei selgita, kas võimaldatakse juurdepääs Venemaa andmekeskustes olevale teabele välismaalt. Ja pole selge, kuidas saavad Venemaal töötada noored Interneti-idufirmad, kellel pole raha Venemaa kasutajatele nii palju tähelepanu pöörata.

Eksperdid ütlevad seda ainus viis selle seaduse jõustamine välismaiste Interneti-ettevõtete, nagu Google või Facebook, vastu tähendab juurdepääsu blokeerimist nende teenustele Venemaal. Selline olukord on tingitud asjaolust, et need ettevõtted asuvad väljaspool Venemaa jurisdiktsiooni. Varasemad sarnased piirangud teistes riikides viisid aga selleni, et teenused nende territooriumil lihtsalt lakkasid töötamast.

Hoolimata välisteenuste võimalikust lahkumisest Venemaa turult ootavad mõned ametnikud majanduslikku kasu. Näiteks vallavalitsuse asetäitja Aleksei Lisovenko usub, et see võib tuua

Isikuandmete säilitamise terminoloogia kujunes välja hiljem.

Aastal 2001 aastal Töökoodeks Venemaal ilmus töötajatele pühendatud 14. peatükk ja 15 aastat hiljem kujundas valitsus lõpuks konfidentsiaalse teabe käsitlemise tingimused.

Teabe salvestamine viitab sellele, kuidas see ajas ja ruumis levib. kasutades konkreetset meediumit. Andmete säilitamise põhitingimus ja eesmärk on neile püsiva juurdepääsu või nõudmisel juurdepääsu võimaldamine.

Andmete salvestamine on lahutamatu osa informatsiooni töötlemine. Kui kodanik annab, on see teabe kogumine, kogumine, selgitamine, väljavõtmine, ajakohastamine ja säilitamine.

Kus saab seda Vene Föderatsiooni territooriumil hoida?

Igal operaatoril peaks olema privaatsuspoliitika sealhulgas järgmised üksused:

Elektrooniline

Isikuandmed viitavad konfidentsiaalne teave ja seetõttu tuleb neid kaitsta. Kõigi selliste avaldustega toimingute jaoks, sealhulgas salvestus, kasutatakse (ISPD).

Venemaal jagatakse need tavaliselt nelja kategooriasse olenevalt teabe tähtsusest ja mahust.

1. kategooria. Tüüpiline isikuandmete infosüsteem enam kui 100 tuhande subjekti avaldustega. See sisaldab teavet rassi, rahvuse, poliitilised vaated, religiooni, intiimelu ja muud väited, mille levitamine avaldab üksikisikute elule selgelt negatiivset mõju.
2. kategooria. Süsteem sisaldab isiklikke avaldusi, mille avalikustamine võimaldab kolmandatel isikutel saada üksikisiku kohta täiendavaid väljavõtteid, välja arvatud esimese kategooriaga seotud andmed.
3. kategooria. Isikuandmetega süsteem, mis võimaldab isikut tuvastada.
4. kategooria. Pakub salvestusruumi, mille avalikustamine ei avalda negatiivset mõju.

Salvestusprotsess algab sellise süsteemi loomisest ja selle kontrollimisest valitsusorganid Venemaa. Pärast seda peab käitaja tagama kõik ruumide insenerkaitsenõuded, süsteemi vastavust kontrollitakse vastavalt:

tuleohutusnõuded;
kaitse;
elektri energia;
maandus;
sanitaarnõuded.

Viimane punkt on ISPD atesteerimine või sertifitseerimine. Kui ISPD on valmis, peab ettevõte end registreerima õiguslik alus kõik protsessid isikuandmetega, mis kuvatakse saidil enne kasutaja kohta avalduste vormile sisestamist.

Seda võib nimetada ükskõik milleks, näiteks "Isikuandmete töötlemise poliitika" või "Nõusolek isikuandmete säilitamiseks".

Peaasi, et klient saaks sellega tutvuda ja klõpsata linnukesele, väljendades sellega oma nõusolekut operaatorile teabe edastamiseks. Kogu sellise teabe salvestamise protsess on reguleeritud seadusandlikud aktid konfidentsiaalsete andmete kohta.

Nende üleandmine kolmandale isikule on keelatud, samuti kasutada eesmärkidel, mida algselt märgitud ei olnud.

Elektroonilise meediaga töötavate operaatorite jaoks näeb juhend välja järgmine:

Juurdepääs andmetele peab olema piiratud.
Teabe edastamine krüpteeritud kanalite kaudu.
Kas .
Pidage arvestust füüsilise andmekandja kohta, kui see on olemas.
Vältida lekkeid.
Eraldi salvestage teave, mida töödeldakse erinevatel eesmärkidel.
teave pärast töötlemist pärast 30-päevast säilitamist (soovitav) või pärast kuue kuu möödumist (kohustuslik).

Ettevõtted võivad andmeid postitada oma äranägemise järgi., sealhulgas kaasaegsetel pilvedel.

Riik reguleerib selgelt PD säilitamise protsessid, kõik sellise teabe operaatorid peavad läbima rea kontrolli ja tõestama oma teabe edastamise võimet. Andmete volitamata levitamise või neile juurdepääsu korral kannab operaator tsiviil-, materiaalset ja isegi kriminaalvastutust.

Mõned nimetavad seda seadust raudse eesriide naasmiseks ja inforuumi muutumise hilinenud mõtiskluseks. Teised seostavad temaga positsioonide tugevdamist ja edasine areng kodumaiste IT-ettevõtete võimsused. Muudatusettepanekute autorid rõhutavad seda uus seadus aidata kaitsta õigusi Venemaa kodanikud isikuandmete töötlemise ja säilitamise valdkonnas. Täpsustuseks, millega äri- ja tavakasutajad lähiajal kokku puutuma peavad, pöördusime Global Office’i ettevõtte projektijuhi Martynova Kristina poole.

Tänapäeval on seadused 242-FZ ja 152-FZ laialt kuulda. Viimastel kuudel on need muutunud ärimeeste, IT-spetsialistide ja lihtsurelike aruteludes ägedateks valutsoonideks. Selle aasta juulis vastu võetud föderaalseadus 242-FZ kehtestas uued reeglid kõigile isikuandmete töötlemise ja säilitamisega seotud osalejatele. Üks peamisi uuendusi puudutas seaduse 152-FZ teksti, mille sätteid täiendati 1. jaanuarist 2016 nõudega säilitada venelaste isikuandmeid Vene Föderatsioonis asuvates serverites:

Isikuandmete kogumisel, sealhulgas teabe- ja telekommunikatsioonivõrgu "Internet" kaudu, on operaator kohustatud tagama Vene Föderatsiooni kodanike isikuandmete salvestamise, süstematiseerimise, kogumise, säilitamise, selgitamise (uuendamise, muutmise), andmebaaside abil väljavõtte. asub Vene Föderatsiooni territooriumil.

Samas saab keelata igasugused toimingud andmetega – kuni arvutiekraanil kuvamiseni välja, kui andmebaasid füüsiliselt välismaal "lamavad". Tõsi, seni pole parlamendiliikmed ega Roskomnadzor andnud ühemõttelisi vastuseid küsimusele, mida täpselt tuleks mõista andmete väljavõtmise, nende süstematiseerimise ja andmebaasi enda all.

Veelgi ebamäärasem on seadusesse 149-FZ lisatud uue mõiste "isik, kes tegeleb teabetöötlusega teabe- ja telekommunikatsioonivõrgus, sealhulgas Internetis" sisu. Kellel on õigus seda staatust saada ja mida juriidilised märgid selline nägu? Võimalik, et seadusandlike lendude analüüs toimub juba väidetava rikkumise fakti põhjal. Sel juhul aitab seadusetähe selgitamine arbitraaži praktika. Kuid jällegi pole selge, mille alusel kohtuprotsess algab – Roskomnadzori või mõne muu isiku nõudmisel.

Rikkuja veebisaidi blokeerimine, selle musta nimekirja kandmine Roskomnadzori poolt ja kasutajate õigus oma isikuandmeid kohtumäärusega kustutada – seda kõike võib vaevalt pidada seaduse uudsuseks. Tegelikult on see "Isikuandmete" ja "Teabeseaduste" sätete väike "uuendus", milles on üsna täielikult sätestatud nii karistusmenetlused (sh rikkujate registri moodustamine) kui ka mehhanismid. õiguskaitse kodanikele.

Isikuandmete kohta

Tasub avaldada austust laiaulatuslikule avalikule pahameelele, mis vallandus samaaegselt seaduse ametlike aruteludega. Kasutajad, kes varem uskusid, et isikuandmed on täisnimi, passiandmed ja telefoninumber, on lõpuks saanud kainuse ja mõistuse hinge. Selgus, et lühend PD peidab "mis tahes teavet, mis on seotud otseselt või kaudselt määratletud või määratud üksikisikule(isikuandmete subjektile)" (artikli 3 152-FZ punkt 1). Need võivad olla terviseandmed ja teave sooritatud tehingute kohta, kirjavahetus sotsiaalvõrgustikes ja registreeritud kontod veebipoodides.

Ettevõtete jaoks on isikuandmed kõikjal leiduv teave. Näiteks Global Office'i klientide jaoks, kes töötavad spetsiaalses serveris 1C: Enterprise. Palga- ja personalijuhtimises kerkib küsimus isikuandmete kohta iga kord aruannete koostamisel, kogudes palgad ja puhkusetasud, haiguslehe arvestus ja maksuuuringud. Veelgi enam, Microsoft Wordi, Exceli, Power Pointi jm tarkvaratoodetega loodud esmapilgul kahjutud dokumendid võivad uue seaduse artikli alla sattuda isegi siis, kui nende põhisisul pole saatja või saajaga mingit pistmist. Kuidas on see võimalik? Tänu metaandmetele, mida saab salvestada mitte ainult dokumendis endas, vaid ka selle atribuutide kirjelduses: näiteks autori nimi, kasutajanimi, dokumendi viimasena salvestanud isiku postiaadress, sõnumi päised Meil jne. Sama varjatud oht on profiili registreerimine ja kirjade edastamine läbi Microsoft Outlooki.

Lisaks töötajate isikuandmetele peavad ettevõtted tegelema ka muud liiki konfidentsiaalse teabega, milleks on ettevõtte andmed, teave vastaspoolte kohta jne. Seaduse järgi on isikuandmed üks kuuest konfidentsiaalse teabe liigist (vt presidendi määrus). Vene Föderatsiooni konfidentsiaalse teabe loetelu kinnitamise kohta). Mugavuse huvides on meie ja meie klientide vahel kokkulepe, et kogu meie pakutavates 1C tarkvaratoodetes salvestatud teave on isiklik ja seetõttu rakendatakse neile krüpteerimist, depersonaliseerimise protseduure ja muid andmekaitsemehhanisme.

Mida peaks äri tegema?

Oma andmekeskuse ehitamine ja hästi magamine on tehnoloogiline luksus, mida ainult suured ettevõtted. Yandexil kulus andmekeskuse esimese etapi ehitamiseks umbes kaks aastat ja veelgi rohkem raha. Enamiku vene kesktalupoegade jaoks on kõige tõenäolisem lahendus helistada juba töötavasse andmekeskusesse, mis pakub serverite asukohateenuseid.

Teine seaduslik viis luua sõbralik kontakt uue seadusega – andmete depersonaliseerimine. Mõned eksperdid panevad sellele suuri lootusi. Isikuandmed eraldatakse subjektist selliselt, et neid ei saa seostada konkreetse isikuga. Sellisel "amorfsel" kujul saate nendega teha kõike. Eeldatakse, et isikuga seotud pöördköitmine toimub pärast anonüümsete andmete tagastamist Vene Föderatsiooni territooriumile. Tänapäeval kasutatakse seda tehnoloogiat edukalt meditsiinis. Saate andmeid anonüümseks muuta Microsofti, SAP-i või Oracle'i toodetud populaarsete ERP- ja CRM-lahenduste abil.

Advokaadid tõid välja veel ühe lünga vastuvõetud seaduses. Nüüd praegune seadusandja ei keela andmete välismaale saatmist ja teabe dubleerimist. Teoreetiliselt saab isikuandmeid säilitada Venemaa territooriumil ja seejärel vabalt minna dubleeritud kujul välismaistesse serveritesse.

Täitke formaalselt andmete salvestamise nõue Vene serverid ka lubada eriprogrammid(Global Office'is on see SecurityIP). Need peidavad töötava serveri lõpliku IP-aadressi, nii et serveri täpset asukohta pole võimalik kindlaks teha.

Loomulikult tekitavad muudatused isikuandmete põhiseaduses raskusi mitte ainult äriringkondadele, vaid ka kasutajatele. Ja Roskomnadzori järjekindla vaikimise tõttu jäävad vastused esilekerkivatele küsimustele endiselt lahtiseks. Seaduse jõustumise 1. jaanuaril 2015 edasilükkamise muudatused on valitsusasutustes veel arutusel. Äri nõuab parlamendiliikmetelt endiselt konkreetsemat keelt ja vähem ebamääraseid fraase. Nimekirjas on esikohal isikuandmete määratluse asendamine. Ilma selge arusaamata, millist tüüpi teavet saab liigitada PD-ks, on uues seaduses valjuhäälselt deklareeritud kodanike õigusi vaevalt võimalik kaitsta.

pilveinfrastruktuur on Integrus Groupi lahendus, mis pakub kaasaegsetele ettevõtetele valmis IT-taristut ilma märkimisväärseid materiaalseid ja inimressursse kaasamata.

Integrus pakub Venemaal äriklientidele isikuandmete kaitse ja säilitamise teenuseid. Meiega ühendust võttes võite olla täiesti kindel, et saate oma käsutusse usaldusväärse turvalise süsteemi ja järgite täielikult seaduse nõudeid.

Kellele meie teenused sobivad

Isikuandmete turvalises serveris hoidmise hinnad Peterburis

Tariifiplaan	Sertifikaadiga ISPD-serveri rentimise hind, rub./kuus **	ISPD-serveri rentimise hind ilma sertifikaadita, rubla / kuus
ISPDn-1 5Gb	4 990	2 490
ISPDn-2 50Gb	9 990	4 990
ISPDn-3 100Gb	19 990	9 990
ISPDn-4 200Gb	29 990	14 990
ISPDn-5 400Gb	39 990	19 990
Makse seadistamine *	10 000

* - Tariifiplaani raames lisandub ISPD-s esimese serveri tellimisel lisaks turvalise virtuaalserveri maksumusele paigaldustasu

summas 10 000 rubla.

** - turvalise ISPD-serveri maksumus koos dokumentide paketiga ja töökoha atesteerimisprotseduuriga.

Isikuandmete säilitamise ja töötlemise turvalise infrastruktuuri müük vastavalt esitatud tariifiplaanidele toimub alates minimaalne tähtaeg- 1 aasta.

Näited töödest

Lõpetasime edukalt projekti Moskva Instituudi üliõpilaste isikuandmete pilve edastamiseks. Väljastati töökoha, sidekanali ja pilveserveri sertifikaadid. Loodi ebastandardne andmebaas, mis hõivab turvalises serveris 5 GB.

Meie sertifikaadid

Mida meie isikuandmete säilitamise teenused sisaldavad

Korraldame teabe töötlemist ja säilitamist välises andmetöötluskeskuses (DPC), pakume teile virtuaalmasinat, mis on kaitstud vastavalt föderaalse isikuandmete kaitse seaduse nr 152-FZ nõuetele.
Rakendame seaduse õiguslikke, organisatsioonilisi ja tehnilisi norme.
Koostame ja anname teie organisatsioonile täieliku nõutavate dokumentide komplekti (võttes arvesse teie tegevusliigi eripära), sealhulgas ohutusnõuetele vastavuse tõendi
Te ei pea subjektidega sõlmima lepingut, et nende isikuandmed edastatakse töötlemiseks välisesse andmekeskusesse.

Tasub mainida kahte nüanssi:

Serveri minimaalne periood on 6 kuud. Kui hoiate 5 GB piires, on hind 4990 rubla kuus. Kui teil on ikkagi vaja rohkem, siis vajate järgmist tariifi: 50 GB ja 9990 rubla. kuus.

Paigaldusmakse maksumus 10 000 rubla. kehtib tüüpilise dokumendikomplekti puhul, teie puhul on see „Platvorm kaugõpe”, see pole meie jaoks tüüpiline ja võib olla vajalik individuaalne areng dokumentatsiooni pakett. Mittestandardse konfiguratsiooni väljatöötamise maksumus on +15 000 rubla. Seda tehakse üks kord.

Selleks, et mõista, kas individuaalne areng on vajalik, on meil vaja Lühike kirjeldus teenus (milline andmebaas ja kus on salvestatud (MySQL; SQL jne)), mida majutatakse ISPD serveris. Need. teenuse toimimise algoritm, kes on teenuses PD subjekt, kes ja kuidas saab teenusele juurdepääsu.

Kuidas see töötab

Iga ettevõte kasutab nüüd oma töös isikuandmeid (PD) töötlevaid infosüsteeme. Näiteks on need raamatupidamise IS, finants-, personali- ja muud. Töötlemine tähendab seaduse järgi selle teabe kogumist, salvestamist, süstematiseerimist, säilitamist, selgitamist, kasutamist, edastamist, kustutamist ja muid toiminguid.

Seetõttu tekib varem või hiljem küsimus, kas viia nende töö kooskõlla föderaalseadusega "Isikuandmete kohta" ja hankida selle vastavuse kohta dokumentaalsed tõendid.

Kõiki isikuandmete säilitamise nõudeid on üsna raske iseseisvalt ja ilma vajaliku kogemuseta täita, mis võib kaasa tuua asjatut aja- ja ressursside raiskamist. Seetõttu pakume oma spetsialistide teenuseid. Nad on isikuandmete säilitamise ja edastamise korraldamise probleeme juba korduvalt lahendanud ning on „lõksudest” hästi teadlikud.

Isikuandmete salvestamine andmekeskuse serverisse: lähenemise eelised

Täisväärtusliku isikuandmete infosüsteemi kaitsesüsteemi (ISPD) ehitamiseks ettevõttes on vaja teha ISDN-i projektieelne uuring, töötada välja turvaohu mudel, luua kontseptsioon ja seejärel kavandada ISDN-kaitse. süsteemi, tarnima, juurutama, atesteerimismeetodeid välja töötama, kontrollima ja väljastama vastavustunnistuse.

Kui korraldate klientide isikuandmete säilitamise sertifitseeritud virtuaalses infrastruktuuris, mis asub välises andmekeskuses, siis on kõigi nende tööde teostamine lihtsustatud ja taandub eelarendatud andmete heakskiitmisele. standardsed dokumendid ja sellega seotud kulud vähenevad oluliselt. Lisaks tagab andmete salvestamine usaldusväärses ja kaasaegses andmekeskuses selle, et teie teave on teile alati kättesaadav, täielik ja kaitstud kadumise eest.

Kui aga edastate PD välisesse andmekeskusesse, tekib reeglina mitmeid raskusi. Näiteks vastavalt föderaalseadusele nr 152-FZ "Isikuandmete kohta" (artikkel 7 ja artikli 6 osad 3-5), mis määrab kindlaks isikuandmete säilitamise korra Venemaal, usaldab operaator isikuandmete töötlemise. PD kolmanda osapoole andmekeskusesse , on vaja saada iga subjekti nõusolek isikuandmete kogumiseks ja säilitamiseks, mis sisaldab andmete loendit ja nendega lubatud toiminguid, eesmärke, tingimusi ja käsitsi kirjutatud allkirja. iga teema kohta (tegelikult sõlmida kliendiga leping isikuandmete säilitamiseks).

Joonis 1. Klassikaline skeem: operaatoriorganisatsioon saadab PD töötlemiseks välisesse andmekeskusesse, suunates kõik mured nende andmete turvalisuse tagamise osas andmekeskuse operaatorile.

Sellise klassikalise andmekeskusega töötamise skeemiga PD-operaatori organisatsioon seisab silmitsi oma töös oluliste ebamugavuste ja piirangutega:

Kõik andmetöötluse korralduslikud ja juriidilised küsimused jäävad aktuaalseks: on vaja anda määrus isikuandmete kohta, välja töötada õiguslikel alustel isikuandmete töötlemiseks ja isikuandmete edastamiseks kolmandatele isikutele (sh andmekeskusele).
Artikli 7 ja artikli 6 osade 3–5 alusel föderaalseadus nr 152-FZ “Isikuandmete kohta” tekib kohustus saada igalt isikuandmete subjektilt nõusolek isikuandmete töötlemiseks andmekeskusesse edastamiseks. Veelgi enam, selline nõusolek tuleb väljastada vastavalt nimetatud föderaalseaduse artikli 9 nõuetele, s.o. sisaldama muu hulgas töötlemise eesmärke, täielik nimekiri isikuandmed, täielik loetelu isikuandmetega toimingutest, milleks nõusolek antakse, nõusoleku kehtivusaeg ja isikuandmete või selle elektroonilise analoogi subjekti omakäeline allkiri.Ja tavaliselt põhjustab sellise nõusoleku saamine operaatoriorganisatsioonile raskusi.

Nende raskuste vältimiseks pakume järgmist töötehnoloogiat:

Sertifitseeritud krüptokaitsevahendite abil on sidekanalite kaudu edastatav PD sideteenuse pakkuja eest kaitstud.
Sarnaselt teeme ettepaneku kaitsta andmekeskuses töötlemisel PD-d – kasutada infokaitsevahendeid, mis välistavad absoluutselt igasuguse andmekeskuse töötajate tehnilise juurdepääsuvõimaluse. Selleks juurutame ühe või mitu virtuaalmasinat, millest igaüks on terviklikult isoleeritud objekt, millele hostiteenuse pakkuja juurdepääs on blokeeritud. See saavutatakse nii hüperviisori funktsioonide kui ka volitamata juurdepääsu eest kaitsmise abil. Edaspidi saab sellise renditud turvalise virtuaalmasinaga töötada töökohalt kliendi kontorist kaugterminali (“Remote Desktop”, VNC terminal või SSH terminal) abil.

Seega ei saa pakkuja ega andmekeskus kuidagi tuvastada isikuandmete subjekti, määrata kliendi virtuaalmasinas oleva teabe hulka, konfidentsiaalse teabe olemasolu. Seetõttu ei saa sellist tööd PD-ga isoleeritud virtuaalmasinas käsitleda PD üleandmisena andmekeskuse operaatorile ega PD töötlemise juhisena, mis vabastab kliendi vajadusest saada subjektidelt nõusolek.

Näide isikuandmete edastamise ja töötlemise korraldamisest turvaliste sidekanalite kaudu

Siin on väike juhtum, mis illustreerib seda tehnoloogiat isikuandmete operaatori näitel, mis koosneb territoriaalselt keskkontorist ja filiaalidest.

Joonis 2. Organisatsioon edastab isikuandmeid avatud kanalite kaudu

ISP edastab isikuandmeid sisaldavaid IP-pakette. Föderaalseaduse-152 artikli 3 lõike 3 kohaselt on see juba isikuandmete töötlemise erijuhtum. Seega on föderaalseaduse 152 artikli 3 lõike 2 kohaselt Interneti-teenuse pakkuja juba muutumas PD-operaatoriks. Ja vastavalt föderaalseaduse-152 artikli 6 ja artikli 7 nõuetele, meie kujutletav organisatsioon, mis edastab PD avatud kanalite kaudu, on sel juhul juba vaja saada isikuandmete subjektide nõusolek oma isikuandmete edastamiseks selge tekstina. teenusepakkuja võrkude kaudu. Ja Interneti-teenuse pakkuja peab omakorda võtma kõik vajalikud organisatsioonilised ja tehnilised meetmed nende andmete kaitsmiseks.

Kui aga võetakse kasutusele meetmed andmete krüpteerimiseks (krüptograafiline kaitse) enne nende saatmist Interneti-teenuse pakkuja sidekanalite kaudu, siis juriidilisest seisukohast PD töötlemiseks üleandmise fakti enam ei teki. Sest föderaalseaduse-152 artikli 3 lõike 1 kohaselt on isikuandmed mis tahes teave, mis on seotud otseselt või kaudselt tuvastatud või tuvastatava füüsilise isikuga (isikuandmete subjekt).

Joonis 3 illustreerib, et sideteenuse pakkujale ei anta teavet, mis võiks isikuandmete subjekti otseselt või kaudselt tuvastada.

Joonis 3. Organisatsioon edastab isikuandmeid turvaliste kanalite kaudu

KOKKU: rakendus krüptograafilised vahendid PD kaitse enne nende saatmist teenusepakkuja kanalite kaudu võimaldab juriidilisest vaatepunktist vabaneda asjaolust, et need edastatakse töötlemiseks sellele pakkujale.

Isikuandmete kaitse virtuaalses infrastruktuuris töötlemise ajal

Samamoodi pakub Integrus isikuandmete kaitsmist turvaliste andmeedastuskanalite abil nende töötlemisel andmekeskustes, pilvehoidlates ja virtuaalhostides kasutades spetsiaalsed vahendid teabe kaitse.

Kaitse paigaldatakse ja konfigureeritakse selliselt, et täielikult välistaks andmekeskuse töötajate (administraatorid, insenerid, operaatorid) tehnilise juurdepääsu isikuandmetele, mis organisatsioonil andmekeskuses on. Selline kaitse viiakse läbi vastavalt PD-kaitsesüsteemi projektile, kasutades Venemaa FSTEC-i poolt sertifitseeritud infoturbe tööriistu (sealhulgas virtuaalmasinate hüperviisorit ja volitamata juurdepääsu eest kaitsvaid tööriistu), samuti kasutades sertifitseeritud krüptograafilise teabe kaitse tööriistu. vastavalt Venemaa Föderaalse Julgeolekuteenistuse nõuetele (sidekanalite kaudu edastamisel ja virtuaalses infrastruktuuris töötlemisel). Sellist skeemi on üksikasjalikult illustreeritud joonisel 4.

Joonis 4. PD kaitsetehnoloogia virtuaalses infrastruktuuris.

Isikuandmete kaitse - teenused "Integrus" organisatsioonilises ja juriidilises sfääris

Lisaks turvasüsteemi korraldamisele teostame kõiki organisatoorseid ja juriidilisi töid:

Töötame isikuandmete töötlemise seaduslike aluste, selle ülesannete, meetodite ja tähtaegade kallal.
Koostame ja avaldame dokumendi, mis deklareerib isikuandmetega töötamise valdkonna poliitikat (isikuandmete säilitamise, töötlemise eeskirjad) ning korraldus- ja haldusdokumentide kogumi (IP klassifitseerimise aktid, juhendid, määrused ja ajakirjad).
Töötame välja teated isikuandmete töötlemise kohta, mis saadetakse Roskomnadzorile (vajadusel).

Kui tahad valmistuda infosüsteem, mis vastab isikuandmete säilitamise seaduse nõuetele ja vastab kõigile standarditele, kui soovite töötada isikuandmetega probleemideta, mitte karta klientide, töötajate või reguleerivate asutuste pretensioone, võtke ühendust Integruse spetsialistidega. Jätke päring veebisaidil oleva tagasisidevormi kaudu, helistage või kirjutage meile ja me nõustame teid hea meelega probleemi tehnilise ja juriidilise poole osas.