Локализация персональных данных в России. Рациональный подход

Логотип компании
Локализация персональных данных в России. Рациональный подход
Операторам информационных систем с ПДн (далее – ИСПДн), обрабатывающим персональные данные граждан РФ, следует соблюдать следующие принципы...

Обязанность операторов по размещению баз с персональными данными на территории РФ

22.07.2014 был опубликован текст Федерального закона № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», который вступил в силу 01.09.2015. Им в ст.18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» были внесена часть 5 следующего содержания: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».

Это требование распространяется на всех операторов, за исключением некоторых случаев обработки персональных данных (ПДн) СМИ и органами государственной власти. К исключениям также относится п. 2 ч. 1 ст. 6 Закона № 152-ФЗ: «Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей». Однако, по нашему мнению, такое исключение может применяться только в тех случаях, когда на оператора возлагается обязанность по сбору и дальнейшей обработке ПДн за рубежом.

Важной особенностью положений Закона № 242-ФЗ является акцент на гражданстве субъектов ПДн. Ранее законодательство РФ было направлено на защиту прав субъектов ПДн безотносительно их гражданства. В случае если оператор поручает другому лицу обработку персональных данных, включая их сбор, указанное требование распространяется и на это лицо. При этом оператор обязан обеспечить размещение данных на территории РФ.

Необходимо отметить, что требование распространяется только на обработку ПДн при их сборе. Таким образом, можно сделать вывод, что последующие действия с ПДн могут производиться в базах данных (далее – БД) на территории иностранных государств. Кроме того, изменения в Закон № 152-ФЗ не затрагивают трансграничную передачу ПДн.

Общие рекомендации по выполнению требований Закона № 242-ФЗ

Операторам информационных систем с ПДн (далее – ИСПДн), обрабатывающим персональные данные граждан РФ, следует соблюдать следующие принципы:

  1. Сбор ПДн, в том числе с территории иностранных государств, ведется только в БД на территории РФ.

  2. Объем и актуальность ПДн, хранящихся в БД на территории РФ, должны быть равны или превосходить соответствующие показатели в отношении ПДн, хранящихся в зарубежных БД.

  3. Получение новых ПДн посредством использования (анализа) имеющихся ПДн, которые были собраны в БД на территории РФ и переданы за рубеж, может производиться с помощью зарубежных БД и без предварительной локализации в РФ1.

В начале августа 2015 года Минкомсвязь на своем сайте открыла раздел «Обработка и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года». В нем предлагаются разъяснения и ответы на вопросы, подготовленные на основании информации, полученной от представителей бизнеса, научного сообщества и органов государственной власти (Совета Федерации, Минкомсвязи, Роскомнадзора). В ноябре 2016 года Роскомнадзор опубликовал свой комментарий к Закону № 242-ФЗ. Следует обратить внимание, что публикуемые в этих источниках разъяснения иногда противоречат друг другу.

Стратегии выполнения требований Закона № 242-ФЗ

В связи с противоречивостью и фрагментарностью правоприменительной практики и комментариев уполномоченных органов затруднительно сделать однозначные выводы об оптимальных стратегиях выполнения требований к обработке персональных данных операторами, обладающими БД с ПДн российских граждан за пределами территории РФ. Можно выделить восемь возможных стратегий выполнения требований Закона № 242-ФЗ, которые допустимо комбинировать их между собой:

  1. Перенос ИСПДн целиком на территорию РФ.

  2. Отсутствие действий, связанных с модификацией порядка функционирования и (или) структуры ИСПДн.

  3. Отказ от обработки ПДн с помощью средств вычислительной техники (автоматизированной обработки ПДн).

  4. Обезличивание ПДн (с возможностью обратного сопоставления и без такового) при передаче в зарубежные БД.

  5. Передача ИСПДн иностранным юридическим лицам. Операторами ПДн, обрабатываемых в таких системах, становятся иностранные юридические лица, не работающие на территории России. Стратегия реализуется путем осуществления прямого сбора, систематизации, обновления и хранения ПДн с помощью компании за пределами России.

  6. Отделение БД от серверов приложений, с последующим переносом БД с ПДн на территорию России.

  7. Создание на территории РФ промежуточной БД с целью хранения, использования и актуализации в ней собранных в РФ ПДн, с возможностью последующей передачи таких ПДн за границу. БД с ПДн может представлять собой документ в формате Excel, Word или находиться на бумажных носителях, если этого достаточно для целей обработки. Процессы в зарубежных системах (например, в глобальных системах международных холдингов и групп компаний), связанные с последующей обработкой ПДн, сохраняются неизменными или адаптируются для автоматического использования данных из России.

  8. Репликация БД, которая находится вне территории России. Реплика БД помещается на территорию России и синхронизируется с зарубежной БД на регулярной основе.

Перечисленные стратегии формировались исходя из презумпции, что обработка ПДн при осуществлении процедур по обеспечению непрерывности информационно-технологической инфраструктуры и восстановлению ее после сбоев, разработке и тестированию программных модулей информационных систем не регулируется напрямую требованиями Закона № 242-ФЗ в части размещения БД с ПДн на территории РФ. Данное предположение основывается на следующем доводе: в рамках резервной информационно-технологической инфраструктуры и сред разработки и тестирования программных модулей ИС не осуществляется сбор ПДн субъектов. ПДн передаются в указанную инфраструктуру и среды из иных БД с ПДн. Для минимизации юридических рисков, связанных с обработкой ПДн в средах разработки и тестирования программных модулей ИС, оператору рекомендуется рассмотреть возможность применения технологий обезличивания (обратимого и необратимого) или шифрования ПДн.

Представленные выше стратегии рассматривают только вопросы логики распределения информационных потоков внутри и между ИСПДн, но не затрагивают вопросы правового характера.

Оценка реализации стратегий выполнения требований Закона № 242-ФЗ

Выбор реализуемой стратегии в каждом конкретном случае (для конкретной ИСПДн) основывается на принципе минимизации вероятного ущерба (рисков) компании и расходов на ее реализацию.

Предположения о расходах на реализацию стратегии в отношении отдельно взятой ИСПДн. Расходы подразделяются на:

  1. однократные;

  2. периодические.

Периодические расходы рассчитываются исходя из жизненного цикла системы, который можно изменять в отношении каждой из оцениваемых систем при наличии такой необходимости.

Предположения о вероятном ущербе от реализации стратегии в отношении отдельно взятой ИСПДн. Вероятный ущерб подразделяется на:

  1. штраф;

  2. влияние на бизнес;

  3. репутационный ущерб.

Для обеспечения вычисления суммарных расходов, уровней рисков и общей оценки стратегии качественным значениям предложенной шкалы ставятся в соответствие количественные значения. Количественные значения представляют собой безразмерную величину (условные пункты) от 0 до 1000.

Оценка стратегий осуществляется в отношении только тех систем, БД с ПДн которых полностью или частично располагаются за пределами РФ.

Читайте также
Если вы планируете внедрение в компании единой системы управления доступом, то обязательно будете размышлять об аспектах, которые касаются непосредственно сценариев входа: нужен второй фактор, или вход по ЕСИА, или необходимо ограничить вход из-за границы. Но сценарии — это малая часть. Давайте сделаем мысленное упражнение, чтобы понять, насколько масштабная работа вам предстоит.  

При оценке стратегий применяется допущение, что в течение жизненного цикла систем проверка со стороны Роскомнадзора будет проведена как минимум один раз.

Привлекательность каждой стратегии оценивается по формуле Si=Ci+Oi*Tэ+Pо,i*Pв,i*Pд,i*M*S1+Pо,i*Pв,i*Pсми,I*D, позволяющей выяснить величину расходов на реализацию стратегии, которая определяется следующими переменными:

  • Si – обозначение оцениваемой стратегии (значение i соответствует порядковому номеру стратегии);

  • Ci – однократные расходы при реализации стратегии i;

  • Oi – периодические расходы при реализации стратегии i;

  • Tэ – ожидаемый период эксплуатации ИСПДн;

  • Pо,i – вероятность обнаружения ИСПД проверяющими органами при реализации стратегии i;

  • Pв,i – вероятность выявления нарушений в обнаруженной ИСПДн по результатам проверки при реализации стратегии i;

  • Pд,i – вероятность признания постановления Роскомнадзора законным при реализации стратегии i;

  • М – мультипликатор (уровень) влияния на бизнес;

  • S1 – расходы на реализацию Стратегии 1, включая периодические за период жизненного цикла;

  • Pсми,i – вероятность освещения результатов в СМИ при реализации стратегии i;

  • D – вероятный репутационный ущерб.

Влияние на бизнес выражается в виде расходов на реализацию Стратегии 1, умноженных на мультипликатор. Мультипликатор зависит от критичности системы для бизнеса, сложности в переносе системы, а также вовлеченности системы в основные бизнес процессы и находится в промежутке от 1 до 3 единиц.

Оценка вероятности выявления правонарушения и его доказывания представляет собой экспертное мнение, основанное на соответствующих знаниях, навыках и опыте лиц, привлеченных к такой оценке, и не учитывает оценку возможности нарушения оператором требований об уведомлении Роскомнадзора в части местонахождения БД с ПДн и привлечения оператора к юридической ответственности по ст. 19.7 КоАП РФ, поскольку информационное письмо от имени оператора о внесении изменений в сведения в реестре операторов (в части местонахождения БД с ПДн), осуществляющих обработку ПДн, формируется и направляется в Роскомнадзор централизованно, вне зависимости от выбора той или иной стратегии выполнения требований 242-ФЗ.

Вероятность обнаружения ИСПДн зависит в первую очередь оттого, производилось ли уведомление Роскомнадзора о данной ИСПДн, а также вовлеченности ИСПДн в деятельность организации, и оценивается в соответствии со шкалой 0–100%. Для основных бизнес-процессов вероятность обнаружения ИСПДн выше.

Вероятность выявления правонарушения (осуществить выявление несоответствия могут органы государственной власти, в лице Роскомнадзора и Прокуратуры, субъекты ПДн, контрагенты оператора и иные лица) в ИСПДн зависит от реализованной стратегии, а также компетентности проверяющих.

Целесообразно выделять две оценки степени соответствия:

  1. степень соответствия с точки зрения органов государственной власти, опирающихся на политическую ситуацию и ведомственное мнение. Указанная степень соответствия используется для оценки вероятности выявления правонарушения.

  2. степень соответствия с точки зрения судов, опирающихся на юридическую трактовку и внутренне убеждение судьи. Указанная степень соответствия используется для оценки вероятности доказывания.

Степень соответствия стратегий требованиям 242-ФЗ анализируется по следующей шкале:

  • легкообнаружимое несоответствие (вероятность – 100%);

  • труднообнаружимое несоответствие (вероятность – 80%);

  • крайне труднообнаружимое несоответствие или соответствие с сильнозаметными уязвимостями (вероятность – 60%);

  • соответствие со среднезаметными уязвимостями (вероятность – 40%);

  • соответствие со слабозаметными уязвимостями (вероятность – 20%);

  • полное соответствие (вероятность – 0%).

Так, Стратегия 1 может быть оценена в качестве безрисковой, а выбор Стратегии 2 чреват наибольшим юридическим риском среди всех восьми стратегий. При реализации остальных стратегий вы в большей (стратегии 4, 5, 8) или меньшей степени (стратегии 3, 6, 7) рискуете столкнуться с наступлением неблагоприятных последствий, описанных далее.

Вероятность распространения информации в СМИ зависит от значимости нарушения и степени вовлеченности в основные процессы организации и также оценивается в соответствии со шкалой 0–100%.

Действующим законодательством не установлена прямая юридическая ответственность за неисполнение операторами требований о локализации БД с ПДн (ч. 5 ст. 18 152-ФЗ), поэтому влияние административных штрафов при расчете общей оценки стратегии штраф в явном виде не учитывается. Но данный пробел может быть восполнен в среднесрочной перспективе. Так, 13.06.2019 в Государственную Думу был внесен законопроект, в котором ст. 13.11 КоАП РФ предложено дополнить частями 8 и 9, согласно которым невыполнение оператором требований по локализации БД с ПДн при их сборе влечет наложение на него административного штрафа, в том числе на юридических лиц – до 6 млн рублей. Повторное совершение административного правонарушения, предусмотренного ч. 8 ст. 13.11 КоАП РФ, влечет наложение административного штрафа на юридических лиц в размере до 18 млн рублей. В то же время глава Минкомсвязи России считает чрезмерно завышенными штрафы за отказ хранить персональные данные на территории РФ, предусмотренные вышеуказанным законопроектом.



1 - Согласно разъяснениям Роскомнадзора и Минкомсвязи, сбор ПДн – это процесс целенаправленного получения данных непосредственно от субъекта или привлеченных для этого третьих лиц. Обязанность по их локализации в БД на территории РФ возникает только в период сбора ПДн. Если, например, в зарубежной системе на основании собранных и локализованных в РФ данных о работнике определяется его грейд, делается вывод о необходимости направления работника на повышение квалификации или о его продвижении по службе, то такие ПДн нельзя рассматривать как получаемые во время сбора, то есть они не были получены от субъекта или через уполномоченных оператором лиц.

Опубликовано 06.11.2019

Похожие статьи