Работа над усовершенствованием нормативно-правовой базы в сфере защиты ПДн в нашей стране ведется постоянно, что неудивительно, учитывая постоянное появление новых угроз безопасности, популяризацию электронной коммерции и вступления в силу международных соглашений. Особенно внимание разработчики уделяют процессам автоматизированной обработки информации. Иметь представление об актуальных требованиях хранения персональных данных на территории РФ и законах, которые регулируют взаимоотношения оператора и субъекта ПДн, чрезвычайно важно. За нарушение действующих правил можно получить серьезный штраф, который удваивается при повторном обнаружение проблем с безопасностью. Кроме финансовых потерь несоблюдение нормативов грозит ухудшением репутации, а это непосредственно влияет на прибыльность бизнеса.
Когда были приняты новые требования к хранению персональных данных на сервере?
Глобальные изменения в регулировании автоматизированных БД произошли в 2015 году, а точнее, 1 сентября, когда начал действовать ФЗ-242. Примечательно, что приняли его почти на год раньше — 21.07.2014, чтобы компании, госструктуры и частные лица, работающие с ПДн, могли адаптироваться и внести корректировки в организацию взаимодействия с клиентами, партнерами и т.д.
Главное нововведение, предусмотренное этим законом, — хранение персональных данных в России. В нем четко прописано, что сервера, с помощью которых осуществляется сбор и сохранение личных сведений, должны находиться на территории страны. Законопроект не предусматривает запрет на трансграничную передачу, как часто думают предприниматели, но устанавливает требование использовать, прежде всего, национальные БД, которые необходимо обезопасить от несанкционированного доступа. Также документ дает владельцам ПДн право подавать в суд для принудительного удаления информации из Интернета, если есть признаки нарушения правил их сбора и использования. Операторы-нарушители, согласно постановлению Правительства № 857, вносятся в специальный реестр, который доступен каждому. Как физическое, так и юридическое лицо может выяснить до принятия решения о сотрудничестве, насколько ответственно фирма или предприниматель относится к вопросу информационной безопасности.
Почему возникли сложности после вступления в силу закона о хранении данных на серверах?
С момента вступления в силу нововведений, предусмотренных ФЗ-242, прошло больше 5 лет, но до сих пор многие операторы недовольны установленными требованиями (хотя и тратят деньги и усилия, чтобы им соответствовать). Дело в том, что хранение персональных данных на серверах в России сопряжено с рядом неудобств и сложностей:
- невозможность достижения беспрерывности рабочих процессов из-за ограниченности релокации;
- повышенный риск административных атак — федеральное законодательство в случае получения жалобы предусматривает обязательное изъятие оборудования из серверной до выяснения всех обстоятельств. Пока вы соберете доказательства, пока пройдет полная проверка баз данных, пока аппаратуру вернут и настроят, может пройти несколько месяцев, а это огромный финансовый и репутационный ущерб для бизнеса;
- внушительные денежные расходы — стоимость хостинга за границей на порядок ниже. В среднем за хранение персональных данных на сервере в пределах РФ приходится тратить на
15-20% больше, при этом качество услуг часто оставляет желать лучшего; - длительный и сложный процесс восстановления в случае технических сбоев. Впрочем, в последние пару лет отечественные провайдеры предлагают опцию аренды вычислительных мощностей для Disaster Recovery, поэтому проблему можно решить (правда, придется потрудиться, чтобы найти партнера с нужным вам оборудованием и адекватными ценами).
Законодательство не требует от операторов размещать абсолютно всё оборудование внутри страны. Нужно, чтобы в России была наиболее полная и обновляемая база данных, для которой хватит
Главные нюансы, которые нужно знать операторам
На то, чтобы разобраться в правовых аспектах операций с ПДн, требуется много времени, усилий и юридическая подготовка. Поэтому без консультации специалиста, особенно если занимаетесь продажами через Интернет, не обойтись. Чем сложней автоматизированная система и чем значительней объем обрабатываемой информации, тем больше нюансов приходится принимать в расчет.
Разъясним те моменты, с которыми чаще всего возникают затруднения при организации хранения персональных данных россиян:
- Экстерриториальная передача сведений в другие государства допускается, если они были собраны с соблюдением требований российского законодательства на российских серверах.
- Копирование на иностранные сервера не требует дополнительного письменного согласия от субъекта, если при подписании изначального разрешения была указана возможность трансграничной передачи.
- Информационный обмен предусмотрен с государствами, подписавшими Европейскую конвенцию о защите ПДн или включенными в перечень стран, которые могут предотвратить незаконное попадание личных сведений в распоряжение третьих лиц.
- Если страна, где находится сервер, не является участником Конвенции Совета Европы и не относится к числу государств, гарантирующих сохранность ПДн, передача возможна только с письменного согласия владельца либо в рамках международных договоров РФ и в случаях, предусмотренных ФЗ. Не считается также нарушением, если копирование информации необходимо для защиты здоровья и жизни россиянина.
- Использование БД за границей не предполагает указание в соглашении субъекта ПДн конкретных лиц, отвечающих за процесс обработки и хранения персональных данных пользователей. Но при этом в документе обязательно нужно прописать виды обрабатываемых сведений, цели использования и конкретного списка запланированных действий.
- Как и в случае с операциями в пределах России, после достижения цели или при отзыве соглашения на оператора возлагается обязанность уничтожить ПДн.
- В ФЗ-242 нет новых технических и прочих требований относительно обеспечения безопасности автоматизированных БД, поэтому в данном вопросе необходимо руководствоваться положениями ФЗ-152, принятыми в 2006 году.
- Если собираемые данные не дают возможности идентифицировать гражданина, то они не относятся к персональным, соответственно, могут собираться и храниться на серверах в других государствах.
- С точки зрения действующего законодательства, материнская фирма международной организации является третьей стороной, что накладывает ряд ограничений на работу с ПДн. Одновременно с этим есть возможность делегировать ей часть действий по обработке личных сведений.
- Организуя работу серверов в России, нужно принимать во внимание требования ФСТЭК и ФСБ в отношении технической защиты, обеспечения конфиденциальности и профилактики взлома автоматизированных систем.
Единственное исключение в законе о хранении персональных данных в РФ касается сервисов бронирования авиабилетов, которые все без исключения подключены к международным системам и пользуются услугами иностранных хостинг-провайдеров. Им не нужно формировать БД на российских серверах, но это не значит, что к ним не применяются другие положения ФЗ-152 и правительственных постановлений.