11 лет защищаем компании от рисков
info@data-sec.ru
+7 800 350-11-52
+7 495 108-71-52
Заказать звонок
Центр безопасности данных
Услуги и решения
  • Персональные данные
  • Конфиденциальная информация
  • Защищенные приложения
  • Средства защиты информации
  • General Data Protection Regulation
  • Консалтинг и обучение
Каталог СЗИ
  • Защита серверов и рабочих станций
    Защита серверов и рабочих станций
    • Защита информации от НСД
    • Средства доверенной загрузки
  • Сетевая безопасность
    Сетевая безопасность
    • Межсетевое экранирование
Информация
  • Ликбез по персональным данным
  • Штрафы за нарушения
  • Статьи и публикации
  • Вопросы и ответы
  • Новости о ПДн
  • Законодательство
Компания
  • О компании
  • История
  • Лицензии и сертификаты
  • Клиенты
  • Партнеры
  • Вакансии
Контакты
    Услуги по приведению в соответствие требованиям закона о персональных данных
    Центр безопасности данных
    Услуги и решения
    • Персональные данные
    • Конфиденциальная информация
    • Защищенные приложения
    • Средства защиты информации
    • General Data Protection Regulation
    • Консалтинг и обучение
    Каталог СЗИ
    • Защита серверов и рабочих станций
      Защита серверов и рабочих станций
      • Защита информации от НСД
      • Средства доверенной загрузки
    • Сетевая безопасность
      Сетевая безопасность
      • Межсетевое экранирование
    Информация
    • Ликбез по персональным данным
    • Штрафы за нарушения
    • Статьи и публикации
    • Вопросы и ответы
    • Новости о ПДн
    • Законодательство
    Компания
    • О компании
    • История
    • Лицензии и сертификаты
    • Клиенты
    • Партнеры
    • Вакансии
    Контакты
      Центр безопасности данных
      Телефоны
      +7 800 350-11-52
      +7 495 108-71-52
      Заказать звонок
      • Услуги и решения
        • Назад
        • Услуги и решения
        • Персональные данные
        • Конфиденциальная информация
        • Защищенные приложения
        • Средства защиты информации
        • General Data Protection Regulation
        • Консалтинг и обучение
      • Каталог СЗИ
        • Назад
        • Каталог СЗИ
        • Защита серверов и рабочих станций
          • Назад
          • Защита серверов и рабочих станций
          • Защита информации от НСД
          • Средства доверенной загрузки
        • Сетевая безопасность
          • Назад
          • Сетевая безопасность
          • Межсетевое экранирование
      • Информация
        • Назад
        • Информация
        • Ликбез по персональным данным
        • Штрафы за нарушения
        • Статьи и публикации
        • Вопросы и ответы
        • Новости о ПДн
        • Законодательство
      • Компания
        • Назад
        • Компания
        • О компании
        • История
        • Лицензии и сертификаты
        • Клиенты
        • Партнеры
        • Вакансии
      • Контакты
      • +7 800 350-11-52
        • Назад
        • Телефоны
        • +7 800 350-11-52
        • +7 495 108-71-52
        • Заказать звонок
      info@data-sec.ru
      info@data-sec.ru
      • Главная
      • Ликбез
      • Хранение персональных данных за границей

      Хранение персональных данных за границей

      Хранение персональных данных за границей

      Хранение персональных данных за пределами РФ для многих операторов сопряжено с рядом проблем. Несмотря на понимание важности сохранения конфиденциальности личной информации, компании и предприниматели не всегда знают и понимают, что конкретно разрешено, а что запрещено законом. За последние 5 лет были приняты многочисленные нормативно-правовые акты, регулирующие трансграничную передачу ПДн, но их введение в некоторых аспектах еще больше все усложнило текущую ситуацию. Разобраться во всех нюансах весьма непросто. Даже при делегировании полномочий по контролю информационной безопасности нужно быть в курсе основных требований со стороны законодательства.

      Как определяются требования к хранению персональных данных за рубежом в ФЗ-152?

      Среди разнообразия законов, правительственных постановлений и президентских приказов главным регулирующим нормативно-правовым актом по операциям с ПДн является ФЗ-152. Это означает, что осуществляемая фирмой или коммерсантом деятельность, в том числе связанная с экстерриториальной обработкой информации, должна быть организована в соответствие с данным законом. Главным требованием, предусмотренным 12 статьей, является хранение персональных данных на зарубежном хостинге только в тех государствах, которые подписали Европейскую конвенцию, устанавливающую необходимость обеспечения защиты в автоматизированных БД. Допускаются также операции по передаче и обработке в странах, не являющихся участниками Конвенции, но способных предотвратить утечки и сохранить конфиденциальность ПДн. Ограничения предусмотрены для того, чтобы у недобросовестных операторов не было шанса перемещать сервера туда, где менее серьезно относятся к безопасности сведений о гражданах.

      Еще несколько сведений, которые необходимо знать:

      • за проверки соблюдения нормативов отвечает, прежде всего, Роскомнадзор;
      • нарушение требований безопасности предусматривает административную ответственность, при этом сотрудники контролирующих органов имеют право заблокировать те ПДн, которые хранятся или применяются в обход закона;
      • фирмы, частные и должностные лица обязаны позаботиться о том, чтобы для сохранения конфиденциальной информации использовались БД, территориально расположенные в Российской Федерации. Исключением не являются иностранные компании, предоставляющие услуги и товары российским гражданам через Интернет;
      • несмотря на обязательство хранить и собирать сведения в российских базах, операторы имеют право (при соблюдении остальных условий ФЗ-152) копировать и передавать информацию за рубеж, но при этом запрещено осуществлять сбор на иностранном сервере, а потом копировать в российскую БД.

      Главные нюансы, предусмотренные законом о запрете хранения персональных данных

      По мере расширения законодательной базы в отношении защиты ПДн граждан у организаций возникает все больше вопросов о том, как наладить работу без нарушений. С 2017 года в нашей стране действует ФЗ-242, который предусматривает:

      1. Запрет на систематизацию, запись и уточнение, а также накопление личной информации за пределами РФ.
      2. Возможность передачи и копирования в другие страны, но только при условии, чтобы собраны сведения были в соответствии с установленными в России требованиями по работе с ПДн.
      3. Невозможность одновременной работы БД в РФ и за границей.
      4. Место расположения баз ПДн прописывается в уведомлении, которое каждый оператор при начале обработки должен подать в Роскомнадзор. Отдельного заполнения и предоставления документов о локализации серверов не установлено.

      Кроме того, с 2019 года за хранение персональных данных за границей с нарушениями операторам грозят штрафные санкции, поэтому очень остро стоит вопрос налаживания системы безопасности автоматизированных систем с базами, где хранятся собранные ПДн.

      Допускается ли хранение персональных данных на сервере за границей и применение облачных технологий?

      Первоначально частная информация должна быть собрана и размещена в базе, расположенной в РФ, но в дальнейшем никто не запрещает осуществлять передачу ПДн в другие государства, где они будут храниться до определенного момента. Но не все так просто, как хотелось бы. Формально участие нашей страны в Европейской конвенции предполагает, что контролирующие органы не имеют права запрещать трансграничную передачу ПДн, однако для осуществления подобной операции необходимо выполнить целый ряд условий:

      • определить конкретную цель обработки;
      • дать гарантию субъекту, что после её достижения личные сведения будут обезличены либо уничтожены;
      • учесть, что действия с ПДн будут также регулироваться национальным законодательством страны, куда передаются;
      • прекратить использование в случае отзыва согласия.

      Отдельного внимания заслуживает хранение персональных данных на иностранном сервере в стране, которая не может гарантировать адекватную защиту. Такое допускается только при:

      • подписании субъектом согласия в письменном виде;
      • наличии разрешения на совершение подобных операций в ФЗ или заключенных Россией международных соглашений;
      • необходимости обеспечения защиты жизни и здоровья гражданина;
      • исполнении ранее подписанного соглашения, одной из сторон которого является владелец ПДн.

      Важные сведения, касающиеся трансграничности

      1. Применение системы SAR HR для осуществления кадрового и бухучета предполагает задействование исключительно серверов, находящихся внутри страны. В том числе это касается операций, связанных с начислением заработной платы.
      2. ФЗ-242 не запрещает использование PaaS, SaaS и прочих облачных технологий, но оператору необходимо иметь в распоряжении документы, служащие подтверждением размещения серверов в пределах РФ.
      3. Если планируете пользоваться хостингом в другой стране, нужно будет позаботиться о том, чтобы первоначальный сбор проводился в России с учетом прописанных в ФЗ-152 требований.

      Штрафные санкции

      Эффективность законодательного регулирования в значительной степени зависит от наказания, предусмотренного за нарушение требований о хранении персональных данных за рубежом. С 10 февраля 2021 года Правительство РФ утвердило решение об изменении КоАП, а точнее, статьи, которая касается штрафов за соблюдение нормативно-правовых норм в отношении ПДн. Новый законопроект действует в отношении всех операторов, в том числе тех, которые осуществляют трансграничную передачу личной информации. При первичном выявлении нарушений физическое лицо оштрафуют на сумму 2-6 тысяч рублей, представителя органа власти — на 10-20 тысяч рублей, а компании придется заплатить до 100 тысяч рублей в госбюджет. За повторное игнорирование правил относительно использования сведений в случаях, не прописанных в российском законодательстве, можно получить удвоенный штраф.

      Отдельные санкции установлены в отношении тех операторов ПДн, которые хранили, передавали и использовали приватную информацию о гражданах без предварительного письменного согласия. Максимальная сумма штрафа (для юридических лиц) составляет 150 тысяч рублей, а должностные и физические лица вынуждены будут заплатить до 40 тысяч рублей и до 10 тысяч рублей, соответственно.

      Отношение общественности и бизнесменов по поводу ужесточения наказания нельзя назвать однозначным, в частности, многих не устраивает неопределенность и расплывчатость формулировок в законах, регулирующих операции с ПДн на иностранных серверах. Фактически никто, кроме узких специалистов по безопасности персональных данных, не понимает, как организовать работу предприятия таким образом, чтобы ничего не нарушить и не быть оштрафованными. На сегодняшний день оптимальное решение для профилактики санкций и успешного прохождения проверок — сотрудничество на постоянной основе с экспертами в сфере ПДн, которые отслеживают законодательные требования и вовремя предлагают пути корректировки работы в соответствии с ними.


      Теги
      персональные данные хранение
      • Prev
      • Next
      Другие статьи Ликбеза
      • Что такое персональные данные?
        Что такое персональные данные?
      • Виды персональных данных
        Виды персональных данных
      • Зачем защищать персональные данные?
        Зачем защищать персональные данные?
      • Штрафы в области персональных данных в 2023 году
        Штрафы в области персональных данных в 2023 году
      • Как защищать персональные данные?
        Как защищать персональные данные?
      • Автоматизированная и неавтоматизированная обработка персональных данных
        Автоматизированная и неавтоматизированная обработка персональных данных
      • Обработка персональных данных без использования средств автоматизации
        Обработка персональных данных без использования средств автоматизации
      • Обработка персональных данных с использованием средств автоматизации
        Обработка персональных данных с использованием средств автоматизации
      • Угрозы безопасности персональных данных
        Угрозы безопасности персональных данных
      • Типы угроз персональных данных
        Типы угроз персональных данных
      • Актуальные угрозы безопасности персональных данных
        Актуальные угрозы безопасности персональных данных
      • Методика определения актуальных угроз безопасности персональных данных
        Методика определения актуальных угроз безопасности персональных данных
      • Банк данных угроз безопасности информации
        Банк данных угроз безопасности информации
      • Модель угроз безопасности персональных данных
        Модель угроз безопасности персональных данных
      • Классификация информационных систем персональных данных (отменена)
        Классификация информационных систем персональных данных (отменена)
      • Информационная система типовая или специальная?
        Информационная система типовая или специальная?
      • Уведомление Роскомнадзора об обработке персональных данных
        Уведомление Роскомнадзора об обработке персональных данных
      • Образец уведомления об обработке персональных данных
        Образец уведомления об обработке персональных данных
      • Уведомление об изменении данных в Роскомнадзор
        Уведомление об изменении данных в Роскомнадзор
      • Уведомление о прекращении обработки персональных данных
        Уведомление о прекращении обработки персональных данных
      • Комментарии
      Загрузка комментариев...

      Назад к списку Следующая статья
      • Ликбез по персональным данным
      • Штрафы за нарушения
      • Статьи и публикации
      • Вопросы и ответы
      • Новости о ПДн
      • Законодательство
      Приведение в соответствие 152-ФЗ
      Всегда рядом
      Всегда рядом Оказываем услуги дистанционно на всей территории России
      Цены сбалансированы
      Цены сбалансированы Индивидуальный подход при формировании стоимости работ
      Привлекательные сроки
      Привлекательные сроки Приведение обработки ПДн в соответствие 152-ФЗ – от 10 рабочих дней
      Огромный опыт
      Огромный опыт На рынке защиты персональных данных с 2011 года
      Компания
      О компании
      История
      Лицензии и сертификаты
      Клиенты
      Партнеры
      Вакансии
      Контактная информация
      Услуги
      Персональные данные
      Конфиденциальная информация
      Защищенные приложения
      Средства защиты информации
      General Data Protection Regulation
      Консалтинг и обучение
      Стоимость услуг
      Информация
      Ликбез по персональным данным
      Штрафы за нарушения
      Статьи и публикации
      Вопросы и ответы
      Новости о ПДн
      Законодательство
      Карта сайта
      Мессенджеры для связи:
      Наши контакты:

      +7 800 350-11-52
      +7 495 108-71-52
      Пн - Пт: с 8:00 до 17:00
      info@data-sec.ru
      Пользовательское соглашение  ⋅  Политика обработки персональных данных  ⋅  Заявление о конфиденциальности  ⋅  Файлы «Cookie»  ⋅  Правила копирования материалов  ⋅  Письмо директору
      © 2011–2023 Центр безопасности данных

      О файлах «Cookie»

      Мы используем файлы «Cookie» для сбора и анализа информации о производительности и использовании сайта, а также для улучшения и индивидуальной настройки предоставления информации. Нажимая кнопку «Принять» или продолжая пользоваться данным сайтом, вы соглашаетесь на размещение файлов «Cookie»

      Подробнее