Хранение персональных данных новый закон

Вступил в силу закон о хранении и обработке персональных данных россиян с использованием серверов, находящихся на территории России

Установлен порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства РФ в области персональных данных. Сегодня вступил в силу Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

Напомним, документом установлена обязанность хранения на территории России персональных данных россиян, используемых интернет-серверами. Так, операторы должны при сборе персональных данных, в том числе посредством Интернета, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории нашей страны. Кроме того, россиянам предоставлено право в судебном порядке требовать удаления своих персональных данных, если они размещены в Интернете с нарушением законодательства.

Также предусмотрено создание Реестра нарушителей прав субъектов персональных данных, в котором будут отражены сведения об интернет-сайтах, содержащих информацию, обрабатываемую с нарушением законодательства РФ в области персональных данных. Сегодня вступает в силу и постановление Правительства РФ от 19 августа 2015 г. № 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных».

Отметим, в начале августа Минкомсвязи России на своем официальном сайте разъяснило порядок применения новых правил. В частности, был разрешен спорный вопрос о допустимости трансграничной передачи данных – ведомство отметило, что подобные действия закон не нарушают. Кроме того, Минкомсвязи России посчитало, что под действие поправок не попадают российские и иностранные авиакомпании, и подчеркнуло, что правила нового закона распространяются исключительно на российских резидентов.

Портал ГАРАНТ.РУ узнал, как отразятся новые требования на работе крупных компаний. Так, в пресс-службе «Вконтакте» отметили, что личные данные пользователей этой социальной сети всегда хранились на территории России, поэтому никаких затруднений новые требования не вызовут. В свою очередь, по сообщению пресс-службы Mail.Ru Group, компания также готова к соблюдению вступающего в силу закона. «Для наших пользователей при этом ничего не изменится», – подчеркнули представители компании. Готова к вступлению в силу указанного закона и компания Enter – ее серверы находятся на территории РФ.

С другими документами, вступившими в силу сегодня, можно ознакомиться в нашем Правовом календаре.

Приватность по-европейски

В чем отличие нового законодательства ЕС о защите персональных данных от практики российской цензуры и почему оно не решит проблем европейских пользователей интернета

25 мая 2018 года вступает в силу Регламент ЕС 2016/679 «О защите физических лиц в отношении обработки персональных данных» (сокращенно ОПЗД, Общие правила защиты данных), который заменяет рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года.

Новый закон получил статус Регламента, поэтому в отличие от Директивы он подлежит непосредственному принятию всеми государствами-членами Евросоюза. ОПЗД вступят в силу незамедлительно уже 25 мая и реально сотрясут основы всего международного рынка информационных технологий.

За традиционно возвышенной риторикой, подчиненной, разумеется, «защите прав граждан», кроется столь могучий репрессивный и разрушительный потенциал, что российским коллегам евробюрократии впору обзавидоваться.

Читайте также

Ритуальная борьба с интернетом. О конфискации смартфонов как действенном методе поддержания стабильности

Регламент ОПЗД устанавливает цели, принципы и правила защиты физических лиц в отношении обработки персональных данных и их свободного перемещения в рамках Евросоюза, включая трансграничную передачу данных.

Персональные данные впредь будут собираться и обрабатываться «правомерно, справедливо и прозрачно в отношении субъекта данных»; цели сбора информации должны быть «определенными, четкими и законными»; сбор данных должен «ограничиваться целями, для которых они обрабатываются», а сами данные должны «соответствовать действительности» и потому регулярно «обновляться и корректироваться без задержки».

Условия обработки данных призваны защитить «цифровые права граждан», под которыми в ОПЗД понимается право на доступ к собранным личным данным, право требовать удаления данных, право переносить данные из одной процессинговой системы в другую, право на защиту данных по дизайну системы по умолчанию, и право на ознакомление с логом манипуляций с данными.

Иными словами, все те, кто занимаются сбором информации в мировой компьютерной сети, отныне смогут делать это только с полного ведома и согласия тех, чьи данные собираются.

Вроде пока все красиво.

Красота начинает вянуть как только мы переходим к анализу конкретных мер по защите «цифровых прав граждан».

Один из фундаментальных принципов ОПЗД — запрет на выведение и хранение персональных данных граждан ЕС за пределы Евросоюза. Напоминает российский ФЗ от 21 июля 2014 г. № 242-ФЗ, не правда ли? Спешу успокоить читателя — совпадение сугубо формальное.

Принципиальное отличие ОПЗД от многочисленных российских законодательных инициатив, направленных против свободного развития интернета: в РФ «заботу» о «правах граждан» инициирует государство. Проблема в том, что никто государству эти хлопоты не делегировал. Дума сама решила всех окутать своей заботой, причем разговоры о «защите прав граждан» ведутся явно для красного словца: подлинный пафос российских законов — обеспечение «безопасности государства» и «борьба с терроризмом».

В европейском ОПЗД любимых российских жупелов, слава богу, нет в помине. Формально Евросоюз исходит именно из интересов частных граждан, поэтому правомерность или неправомерность сбора данных определяет не Роскомнадзор, а сами граждане, чьи данные собирают в интернете. Именно частные граждане в каждом конкретном случае должны дать прямым текстом собственно согласие (или не дать) на сбор информации о них самих.

Роль государства в ОПЗД сводится к проверке доказательств предоставления согласия гражданами, которая делегируется специально создаваемой бюрократической структурой: информационным контролером каждой страны-члена ЕС. Если структура или лицо, собирающее информацию о гражданах ЕС, не может предоставить весомых доказательств ранее полученного согласия, информационный контролер вправе запретить такую деятельность.

ОПЗД делегируют гражданам ЕС целый букет новых прав. Скажем, отныне можно потребовать объяснения от собирателя данных, зачем и с какой целью он это делает. В случае, если гражданина не устраивают эти цели, у него есть право отказать в предоставлении личной информации.

И вот тут мы вплотную подходим к репрессивной природе ОПЗД, которую не в силах скрыть даже благородная риторика. Проблема в том, что существующие собиратели данных (давайте не будем строить иллюзий: новый закон ЕС направлен почти исключительно против американских монополистов информационных технологий: Google, Facebook, eBay, Amazon, Twitter и пр.!) давным-давно все моменты, связанные с делегированием прав на сбор данных, оговаривают в соглашениях, с которыми пользователи обязаны выразить согласие до того, как им предоставляются услуги.

Можно возразить, что в существующих соглашениях утаиваются «некрасивые» варианты использования персональных данных, вроде передачи их третьим лицам для последующего задействования в целевой рекламе.

Все верно, однако ОПЗД ровным счетом ничего не изменят в сложившемся статус-кво на мировом рынке IT-услуг: Google сотоварищи просто добавят в текст пользовательских соглашений пункты о разрешении передавать личные данные третьим лицам, использовании этих данных в целевой рекламе, и всем остальном, чего только не пожелает Евросоюз.

После добавления новых пунктов перед европейским пользователем сохранится, однако, все та же старая дилемма: либо соглашаться и получать услуги, либо не соглашаться и отправляться на все четыре стороны!

Хотите собирать впредь лайки в Facebook и лепить селфи в Instagram? Не вопрос: подпишите согласие о передаче данных третьим сторонам.

Не подпишите, не будет вам лайков и селфи. Вот и весь разговор.

То, что Google сотоварищи именно так и поступит, можно не сомневаться — у онлайн-сервисов банально нет иного выхода: они вынуждены собирать информацию о пользователях и передавать ее третьим лицам, потому что иначе они лишатся рекламы, на которой строится вся их модель бизнеса. Патология очередной законодательной инициативы Евросоюза, направленной против американских онлайн-сервисов, заключается в том, что прежде, чем что-то запрещать и диктовать условия, необходимо создать собственные альтернативы.

Именно так поступил Китай, который воздвиг Великий файрвол не ради сохранения чистоты идеологии, как популярно заблуждаются в мире, а для защиты собственных сервисов, которые сегодня дают технологическую фору американским конкурентам: Baidu занял место Google Search, Taobao — eBay, Aliexpress вытеснил Amazon, WeChat — WhatsApp, QZone — Facebook, Weibo — Twitter, iQiyi — YouТube.

У Евросоюза ничего даже отдаленно похожего в рукаве нет, поэтому они и пребывают в плане развития интернета в каменном веке. Последние 20 лет, вместо того, чтобы создавать хоть какие-то собственные конкурентоспособные альтернативы в сети и, тем самым, лишать американские компании монополии, ЕС предпочитает бороться с этими монополиями с помощью штрафов.

Вот краткий послужной список:

  • в 2004 году ЕС оштрафовал Microsoft на 497 млн евро за нарушения антимонопольной политики (можно подумать, что в Европе есть какая-то своя альтернатива Windows);
  • в 2006 году ЕС добавил еще 280 млн евро штрафов и поставил на счетчик (1,5 млн евро за каждый день просрочки);
  • в 2008 году ЕС наказал Microsoft на очередные 899 млн «за отказ подчиниться решению 2004 года»;
  • в 2009 году ЕС оштрафовал Intel на 1,06 млрд евро (!) за «незаконное предоставление скидочных купонов покупателям»;
  • в 2014 году ЕС потребовал с Amazon 250 млн евро за оптимизацию налогов с помощью законодательства Люксембурга;
  • в 2017 году ЕС оштрафовал Google на 2,42 млрд евро за манипуляции результатами поисковых запросов (для справки: на Google приходится 95% поисковых запросов в ЕС);
  • Уже несколько лет ЕС пытается выбить из Apple (разумеется, пока безуспешно) 13 млрд евро за использование вполне законной налоговой лазейки по схеме «Ирландия — Нидерланды — Люксембург».
  • В 2018 году Европейский суд приговорил американского производителя чипов для мобильных устройств компанию Qualcomm к штрафу в 997 млн евро за подкуп компании Apple.

Кроме штрафов в арсенале развития онлайн-бизнеса у Евросоюза есть еще и запретительные таможенные пошлины.

Именно так борются в Европе с китайским Aliexpress, уничтожившим весь европейский IT-ритейл своими волшебными (для конечного потребителя) ценами.

Кстати, российские законодатели европейских коллег услышали и не сегодня-завтра собираются ввести аналогичные репрессии против китайских монополистов онлайн-розницы.

На этом конструктив Евросоюза в плане развития информационных технологий заканчивается: вместо развития местных альтернатив, единственно способных преодолеть американскую монополию в сфере IT — репрессивное законодательство, штрафы и пошлины.

ОПЗД — очередное печальное свидетельство полной оторванности бюрократии ЕС от реальной жизни. Вместо того, чтобы совершенствовать законодательство и направить его на поддержку и стимулирование развития собственных онлайн-сервисов, Брюссель идет по пути примитивного запретительства, сдерживающего цифровую экспансию США и Китая.

О финансовой нагрузке ОПЗД на частный бизнес даже говорить страшно: по предварительным подсчетам дополнительные вложения, которые потребуются для обеспечения соответствия услуг новому Регламенту, составят 200 млрд евро (!) для компаний из стран ЕС и почти 42 млрд для американских предпринимателей.

Самое, однако, катастрофическое последствие внедрения ОПЗД заключено в концептуальной несовместимости Регламента ЕС 2016/679 с сущностью и природой блокчейна, в котором хранение данных осуществляется экстерриториально в распределенной и открытой форме. Запрещая и первое, и второе, и третье, ОПЗД гарантированно будут тормозить развитие самой передовой и перспективной технологии, обладающей потенциалом уже в ближайшем будущем стать основой договорных и финансовых отношений в мире.

Однако рискну предположить, что очередная репрессалия евробюрократии утонет в неспособности довести собственные инициативы до практического воплощения. И будет благополучно спущена на тормозах.

Если вы тоже считаете, что журналистика должна быть независимой, честной и смелой, станьте соучастником «Новой газеты».

«Новая газета» — одно из немногих СМИ России, которое не боится публиковать расследования о коррупции чиновников и силовиков, репортажи из горячих точек и другие важные и, порой, опасные тексты. Четыре журналиста «Новой газеты» были убиты за свою профессиональную деятельность.

Мы хотим, чтобы нашу судьбу решали только вы, читатели «Новой газеты». Мы хотим работать только на вас и зависеть только от вас.

5 шагов по организации учета и хранения персональных данных

Сохранности персональных данных стоит уделить особое внимание, так как с прошлого года законодатель ужесточил ответственность для работодателя за несоблюдение обязанности по их защите. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и как организовать правильный учет и хранение персональных данных сотрудников.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1. из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ). Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись. При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо.

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ. Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения. Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия. Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Хранение персональных данных новый закон

После изменения российского законодательства, регулирующего хранение и обработку персональных данных, следом за введением принципа локализации баз персональных данных и блокировкой LinkedIn среди ИТ-специалистов все чаще возникают вопросы о том, какую информацию можно держать на зарубежных серверах.

Поспешим успокоить наших свободолюбивых читателей: хранить персональные данные за пределами России все еще разрешено, но с оговорками. И если вы хотите соблюдать российское законодательство и, вместе с тем, обезопасить данные от возможных административных атак недоброжелателей — этот пост для вас. Мы сформулировали основные «правила игры», в соответствии с которыми сегодня осуществляется хранение и трансфер персональных данных граждан Российской Федерации за границу.

Персонализируй это: что подразумевается под термином «персональные данные»

Понять, чего именно требует российское законодательство, нелегко. Минкомсвязи, правда, подготовило памятку по основным вопросам обработки персональных данных, но ясной и доходчивой ее не назовешь (обращаем ваше внимание, что по данной ссылке любой желающий может задать уточняющий вопрос экспертам министерства, не стоит пренебрегать этой возможностью). Начнем хотя бы с вопроса о том, что такое «персональные данные». Как люди культурные мы должны сперва определить предмет разговора.

В российском законе о персональных данных сказано следующее:

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»
Это калька со статьи 2 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. Но, в отличие от соответствующей бумаги, данная формулировка не прозрачна. И столь же не современна, как калька. О какой именно информации идет речь?

Минкомсвязи и Роскомнадзор избегают уточнять понятие «персональные данные», ссылаясь на отсутствие полномочий. Позиция ведомственных теоретиков от юриспруденции в этом случае сводится к известной шутке: «два юриста — три мнения». Так что желающим разобраться в вопросе на практике приходится самостоятельно изучать юридическую практику и принимать решения на свой страх и риск.

Первое, что бросается в глаза, — закон «О персональных данных» защищает только физических лиц. При этом информация о них (с точки зрения закона) становится «персональными данными» только в случае, если ее можно с уверенностью соотнести с конкретным человеком.

Как много и какие именно сведения необходимо собрать, чтобы они стали персональными данными, вопрос спорный. В странах Евросоюза персональными данными может стать практически любая информация, если она позволяет как-либо выделить человека, например, из массы пользователей сайта.

Хорошей аналогией тут будет детективная работа. Как только информации становится достаточно, чтобы указать на преступника, она превращается в персональные данные, даже если сыщик не знает настоящего имени того высокого джентльмена, что единственный из подозреваемых курит трубку.

Показателен в этом плане и вступающий в силу с 25 мая 2018 года регламент N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС».
В нем под термином «персональные данные» также понимается любая информация, относящаяся к идентифицированному физическому лицу, но этот термин подробно раскрывается:

«Идентифицируемое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица».
Таким образом, в Европе в качестве персональных могут рассматриваться и большие данные, если их достаточно, чтобы выделить человека из толпы. Отметим, что Евгений Черешнев, руководитель компании Biolink Technologies, ввел в отечественный оборот термин «Цифровая ДНК», которым описывает совокупность «больших данных», позволяющую безошибочно определить данного конкретного пользователя. Я, как исследователь новых медиа, использую для того же явления термин «цифровой след».

Российская Федерация разделяет с европейскими странами базовое определение персональных данных, но подход к составлению их перечня в стране долгое время был формальным и от того более узким.

Персональными данными признавались фамилия, имя, отчество и номер телефона, дата рождения, дата регистрации, номер паспорта, ИНН, данные трудового договора в различных комбинациях, но не по отдельности.

Кроме того, персональными данными признаются специфические сведения вроде информации об отпечатках пальцев, о геноме человека или о его здоровье.

Но это не все. Олег Ефимов, управляющий партнер правового партнерства «Ефимов и партнеры», к которому мы обратились за консультацией по практической стороне вопроса, уточняет, что ранее суды этим и ограничивались, но с изменением позиции Роскомнадзора произошел переход к расширительному толкованию термина. Так, например, Роскомнадзор однозначно расценивает в качестве персональных данных сочетание имени и адреса электронной почты.

В обновленном европейском законодательстве предусмотрены также ограничения на обработку персональных данных, «раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, и обработку данных, касающихся состояния здоровья или половой жизни». Для операций с такой информацией необходимо получить отдельное согласие субъекта персональных данных.

«Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается».
Эти данные можно обрабатывать с письменного согласия лица, которому они принадлежат, а также если они являются общедоступными или обезличенными.

Передача за рубеж: что ограничено, то не запрещено

Россия входит в число стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 года, — и значит, может обмениваться данными с другими участниками конвенции без дополнительных формальностей.
Передача данных в страну, не охваченную конвенцией, требует согласия их владельца. Его можно получить в письменном виде или запросить через форму на сайте.

Дополнительно в юридическом поле появляется термин трансграничной передачи данных.

«Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу».

Однако это определение может поменяться. Наш эксперт Олег Ефимов подсказывает, что на данный момент существует проект Федерального закона, где эта формулировка заметно упрощается: «трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства». Т.е. изменилась привязка с местоположения лица, которому принадлежат сервера, на географическое положение сервера. Сейчас этот проект проходит процедуру оценки регулирующего воздействия.

Сохранность данных

Согласно разъяснениям Минкомсвязи, при трансграничной передаче персональных данных ответственность за их сохранность несет принимающая сторона. Так, например, два дата-центра, с которыми мы плотно сотрудничаем, находятся в Чехии, подписавшей Конвенцию 1981 года, и принадлежат чешскому юрлицу. И в нашем случае охрана информации будет осуществляться по чешским законам, обеспечивающим более надежную защиту от потенциальных рисков, включая, например, риски изъятия оборудования.

При этом передавать персональные данные можно без дополнительного согласия их обладателей. Но юристы тут добавляют, что в соответствии со статьей 22 Федерального закона «О персональных данных» оператор персональных данных обязан уведомить Роскомнадзор о наличии трансграничной передачи персональных данных, а их субъект имеет право получить от оператора информацию об осуществленной или о предполагаемой трансграничной передаче данных.

Что подразумевается под локализацией

Вернемся к законам. В чем же заключается требование о локализации баз с персональными данными на территории Российской Федерации?

Прежде чем ответить на этот вопрос, уточним, что законодательно данными российских граждан признается вся информация, собранная на территории Российской Федерации, если оператор персональных данных специально не уточнял вопрос гражданства.

Оператор «обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».

Олег Ефимов сразу добавляет, что под «обработкой персональных данных» также понимают сбор, использование, обезличивание, блокирование, удаление, уничтожение персональных данных, на которые требования о локализации баз данных не распространяются.

При этом для целей профессиональных журналистов, СМИ, научной, литературной или иной творческой деятельности Федеральный закон «О персональных данных» предусматривает исключение из правила.

В остальных случаях оператор обязуется создавать базы, содержащие персональные данные российских граждан, и совершать с ними различные операции на территории России.

Изображение: NewWay.biz

Эту правовую норму придется учитывать при проектировании ИТ-инфраструктуры компании, но она не запрещает передавать базы персональных данных на сервера в других странах.

Комментарий экспертов тут таков:

Для соблюдения закона важно, чтобы на территории России оставалась основная, наиболее полная и актуальная база персональных данных. На прочих серверах можно размещать ее копии или части. Причем в таких дочерних базах персональные данные можно не только хранить, но и обрабатывать, но при условии, что данные будут использоваться в тех же целях, что и в основной базе данных.
Поскольку в российском законодательстве нет узких определений баз данных и точных требований к тому, как именно с технической точки зрения должны храниться персональные данные, у компании, работающей с ними, остается возможность выбора.

Ни гражданский кодекс, ни ГОСТ Р 20886-85, ни Модельный закон о персональных данных никак не ограничивают форму хранения данных и позволяют называть локализованной базой данных все: от полноценного цифрового хранилища любой архитектуры до таблиц в Excel или бумажной картотеки.

В сухом остатке

Изъятие оборудование, длительные отключения, незаконные блокировки — этим списком не исчерпываются проблемы, с которыми сталкиваются пользователи российских хостингов. В этом контексте решением проблемы видится зарубежный сервер.

Как с точки зрения субъекта персональных данных, так и с позиции компании, оперирующей его данными, то же чешское законодательство как нельзя лучше подходит для размещения баз данных с такой важной информацией, как персональные данные. Например, доступ к любой информации или инфраструктуре клиента, размещенной в этой стране, возможен исключительно по решению чешского суда.

Кроме того, местное законодательство позволяет использовать шифрование, которое в Российской Федерации потребовало бы дополнительной сертификации.

Действующие в ЕС международные стандарты обеспечивают безопасность баз данных и беспрепятственную работу с ними с территории Российской Федерации, что также не противоречит требованиям российского закона о локализации персональных данных, который направлен на то, чтобы обеспечить присутствие иностранных компаний в России.

Выполнение требований закона для отечественных организаций не столь обременительно и, при грамотном подходе, не мешает использовать иностранные хостинги так, как этого требуют бизнес-процессы и элементарные соображения безопасности бизнеса.