Как оператору исполнить обязанность по размещению баз с персональными данными на территории РФ

На бумажных Электронные

Что это такое?

Впервые понятие персональных данных в России было определено в законодательном акте «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 года. Терминология по хранению персональных данных сформировалась позже.

В 2001 году в Трудовом кодексе России появилась 14 глава, посвященная защите персональных данных сотрудников, а спустя 15 лет правительство, наконец, сформировало термины по обращению с конфиденциальной информацией.

Под хранением информации подразумевается способ ее распространения во времени и пространстве при помощи определенного носителя. Основными условием и целью хранения данных называется обеспечение к ней постоянного доступа или доступа по требованию.

Хранение данных является составной частью обработки информации. Когда гражданин дает согласие на обработку персональных данных, речь идет о сборе, накоплении, уточнении, извлечении, обновлении и хранении информации.

Персонализируй это: что подразумевается под термином «персональные данные»

Понять, чего именно требует российское законодательство, нелегко. Минкомсвязи, правда, подготовило памятку по основным вопросам обработки персональных данных, но ясной и доходчивой ее не назовешь (обращаем ваше внимание, что по данной ссылке любой желающий может задать уточняющий вопрос экспертам министерства, не стоит пренебрегать этой возможностью). Начнем хотя бы с вопроса о том, что такое «персональные данные». Как люди культурные мы должны сперва определить предмет разговора.
В российском законе о персональных данных сказано следующее:
«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»
Это калька со статьи 2 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. Но, в отличие от соответствующей бумаги, данная формулировка не прозрачна. И столь же не современна, как калька. О какой именно информации идет речь?
Минкомсвязи и Роскомнадзор избегают уточнять понятие «персональные данные», ссылаясь на отсутствие полномочий. Позиция ведомственных теоретиков от юриспруденции в этом случае сводится к известной шутке: «два юриста — три мнения». Так что желающим разобраться в вопросе на практике приходится самостоятельно изучать юридическую практику и принимать решения на свой страх и риск.
Первое, что бросается в глаза, — закон «О персональных данных» защищает только физических лиц. При этом информация о них (с точки зрения закона) становится «персональными данными» только в случае, если ее можно с уверенностью соотнести с конкретным человеком.
Как много и какие именно сведения необходимо собрать, чтобы они стали персональными данными, вопрос спорный. В странах Евросоюза персональными данными может стать практически любая информация, если она позволяет как-либо выделить человека, например, из массы пользователей сайта.
Хорошей аналогией тут будет детективная работа. Как только информации становится достаточно, чтобы указать на преступника, она превращается в персональные данные, даже если сыщик не знает настоящего имени того высокого джентльмена, что единственный из подозреваемых курит трубку.


Показателен в этом плане и вступающий в силу с 25 мая 2018 года регламент N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС».
В нем под термином «персональные данные» также понимается любая информация, относящаяся к идентифицированному физическому лицу, но этот термин подробно раскрывается:
«Идентифицируемое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица».
Таким образом, в Европе в качестве персональных могут рассматриваться и большие данные, если их достаточно, чтобы выделить человека из толпы. Отметим, что Евгений Черешнев, руководитель компании Biolink Technologies, ввел в отечественный оборот термин «Цифровая ДНК», которым описывает совокупность «больших данных», позволяющую безошибочно определить данного конкретного пользователя. Я, как исследователь новых медиа, использую для того же явления термин «цифровой след».
Российская Федерация разделяет с европейскими странами базовое определение персональных данных, но подход к составлению их перечня в стране долгое время был формальным и от того более узким.

Персональными данными признавались фамилия, имя, отчество и номер телефона, дата рождения, дата регистрации, номер паспорта, ИНН, данные трудового договора в различных комбинациях, но не по отдельности.
Кроме того, персональными данными признаются специфические сведения вроде информации об отпечатках пальцев, о геноме человека или о его здоровье.
Но это не все. Олег Ефимов, управляющий партнер правового партнерства «Ефимов и партнеры», к которому мы обратились за консультацией по практической стороне вопроса, уточняет, что ранее суды этим и ограничивались, но с изменением позиции Роскомнадзора произошел переход к расширительному толкованию термина. Так, например, Роскомнадзор однозначно расценивает в качестве персональных данных сочетание имени и адреса электронной почты.
В обновленном европейском законодательстве предусмотрены также ограничения на обработку персональных данных, «раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, и обработку данных, касающихся состояния здоровья или половой жизни». Для операций с такой информацией необходимо получить отдельное согласие субъекта персональных данных.
Похожая норма закреплена и в статье 10 закона Российской Федерации «О персональных данных».
«Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается».

Эти данные можно обрабатывать с письменного согласия лица, которому они принадлежат, а также если они являются общедоступными или обезличенными.

Передача за рубеж: что ограничено, то не запрещено

Россия входит в число стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 года, — и значит, может обмениваться данными с другими участниками конвенции без дополнительных формальностей.
Передача данных в страну, не охваченную конвенцией, требует согласия их владельца. Его можно получить в письменном виде или запросить через форму на сайте.
Дополнительно в юридическом поле появляется термин трансграничной передачи данных.

«Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу».
Однако это определение может поменяться. Наш эксперт Олег Ефимов подсказывает, что на данный момент существует проект Федерального закона, где эта формулировка заметно упрощается: «трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства». Т.е. изменилась привязка с местоположения лица, которому принадлежат сервера, на географическое положение сервера. Сейчас этот проект проходит процедуру оценки регулирующего воздействия.

В сухом остатке

Изъятие оборудование, длительные отключения, незаконные блокировки — этим списком не исчерпываются проблемы, с которыми сталкиваются пользователи российских хостингов. В этом контексте решением проблемы видится зарубежный сервер.
Как с точки зрения субъекта персональных данных, так и с позиции компании, оперирующей его данными, то же чешское законодательство как нельзя лучше подходит для размещения баз данных с такой важной информацией, как персональные данные. Например, доступ к любой информации или инфраструктуре клиента, размещенной в этой стране, возможен исключительно по решению чешского суда.
Кроме того, местное законодательство позволяет использовать шифрование, которое в Российской Федерации потребовало бы дополнительной сертификации.
Действующие в ЕС международные стандарты обеспечивают безопасность баз данных и беспрепятственную работу с ними с территории Российской Федерации, что также не противоречит требованиям российского закона о локализации персональных данных, который направлен на то, чтобы обеспечить присутствие иностранных компаний в России.
Выполнение требований закона для отечественных организаций не столь обременительно и, при грамотном подходе, не мешает использовать иностранные хостинги так, как этого требуют бизнес-процессы и элементарные соображения безопасности бизнеса.

Соответствующий законопроект был внесен в Государственную думу 24 июня 2014 года межфракционной группой депутатов: Вадимом Деньгиным, Андреем Луговым (оба — ЛДПР) и Александром Ющенко (КПРФ). Был принят в третьем чтении 4 июля 2014 года. 325-ю голосами «за» и 65-ю голосами «против» — не поддержали закон 60 депутатов КПРФ, из всей фракции «за» голосовал только Ющенко. Законопроект был одобрен Советом Федерации 9 июля 2014 года.

Закон вносит поправки в ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года, ФЗ «О персональных данных» от 27 июля 2006 года. и ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» от 26 декабря 2008 года.

Согласно поправкам, операторы интернет-сайтов «обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ». Доменные имена и сетевые адреса, которые не будут соблюдать положений закона, будут внесены в специальный реестр нарушителей прав субъектов персональных данных. Вести его должен Роскомнадзор, а основанием для включения в список будет имеющий законную силу судебный акт. Кроме того, нарушение закона повлечет штраф в размере до 10 тыс. рублей или ограничение доступа к данному ресурсу. После устранения нарушений доступ предполагается восстанавливать. Исключение из закона сделано для личной информации, которая передается в рамках международных соглашений: так, при сборе личных данных для выдачи виз российским гражданам иностранные государства могут хранить их на своей территории. Также в августе 2015 г. Минкомсвязи разъяснило, что закон не коснется систем бронирования авиабилетов.

19 Апреля 2019

Выбираем стратегии выполнения требований закона к обработке персональных данных и оцениваем риски их применения

Рост мировой геополитической напряженности в первой половине 2014 г. между Россией и некоторыми зарубежными странами, взаимные и встречные санкции побудили российские власти выступить с рядом инициатив по обеспечению национальной безопасности РФ.

22 июля 2014 г. был опубликован текст Федерального закона № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», который вступил в силу 1 сентября 2015 г. Им в ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» были внесены дополнения следующего содержания: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет”, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».

Это требование распространяется на всех операторов, за исключением некоторых случаев обработки персональных данных (далее – ПДн) СМИ и органами государственной власти. К исключениям также относится п. 2 ч. 1 ст. 6 Закона № 152-ФЗ: «Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей». Однако, по нашему мнению, такое исключение может применяться только в тех случаях, когда на оператора возлагается обязанность по сбору и дальнейшей обработке ПДн за рубежом.

Важной особенностью положений Закона № 242-ФЗ является акцент на гражданстве субъектов ПДн. Ранее законодательство РФ было направлено на защиту прав субъектов ПДн безотносительно их гражданства.

В случае если оператор поручает другому лицу обработку персональных данных, включая их сбор, указанное требование распространяется также и на это лицо. При этом оператор обязан обеспечить размещение данных на территории РФ.

Необходимо отметить, что требование распространяется только на обработку ПДн при их сборе. Таким образом, можно сделать вывод о том, что последующие действия с ПДн могут производиться в базах данных (далее – БД) на территории иностранных государств. Кроме того, изменения в Закон № 152-ФЗ не затрагивают трансграничную передачу ПДн.

Способы выполнения требований к обработке персональных данных

В связи с противоречивостью и фрагментарностью правоприменительной практики и комментариев уполномоченных органов затруднительно сделать однозначные выводы о наиболее оптимальных стратегиях выполнения требований к обработке персональных данных операторами, обладающими БД с ПДн российских граждан за пределами территории РФ. Можно выделить восемь возможных стратегий выполнения требований Закона № 242-ФЗ (см. рис. ниже). Допустимо комбинировать их между собой.

Следует дать дополнительные пояснения к некоторым из стратегий.

  • Стратегия № 5 подразумевает отказ от процесса обработки ПДн с помощью организации – российского резидента. Стратегия реализуется путем осуществления прямого сбора, систематизации, обновления и хранения ПДн с помощью организации за пределами России. Такая компания – оператор ПДн не подпадает под российскую юрисдикцию.
  • Стратегия № 7 подразумевает создание на территории РФ промежуточной информационной системы или БД с целью хранения, уточнения, удаления собираемых в России ПДн и их последующей передачи для обработки другому оператору, в том числе за границу. БД с ПДн может представлять собой документ в формате Excel, Word или находиться на бумажных носителях, если этого достаточно для целей обработки. Процессы в зарубежных системах (например, в глобальных системах международных холдингов и групп компаний), связанные с последующей обработкой ПДн, сохраняются неизменными или адаптируются для автоматического использования данных из России.

Перечисленные стратегии формировались исходя из презумпции, что обработка ПДн при осуществлении процедур по обеспечению непрерывности информационно-технологической инфраструктуры и восстановления ее после сбоев, при разработке и тестировании программных модулей информационных систем не регулируется напрямую Законом № 242-ФЗ в части размещения БД с ПДн на территории РФ. Данное предположение основывается на следующем доводе: в рамках резервной информационно-технологической инфраструктуры и сред разработки и тестирования программных модулей ИС не осуществляется сбор ПДн субъектов. ПДн передаются в указанную инфраструктуру и среды из иных БД с ПДн. Для минимизации юридических рисков, связанных с обработкой ПДн в средах разработки и тестирования программных модулей ИС, оператору рекомендуется рассмотреть возможность применения технологий обезличивания (обратимого и необратимого) или шифрования ПДн.

Представленные стратегии рассматривают только вопросы логики распределения информационных потоков внутри и между ИСПДн, но не затрагивают вопросы правового характера.

Риски применения стратегий выполнения требований Закона № 242-ФЗ

Для просчета юридических рисков, сопутствующих применению стратегий выполнения требований Закона № 242-ФЗ, оценивалась вероятность4 выявления правонарушения (обнаружить несоответствие могут Роскомнадзор и Прокуратура, субъекты ПДн, контрагенты оператора и иные лица) и дальнейшего доказывания этого факта в суде. Для этого выявлялась степень соответствия стратегии требованиям закона с точки зрения органов госвласти, опирающихся на политическую ситуацию и ведомственное мнение, и судов, руководствующихся юридической трактовкой и внутренним убеждением.

Отметим, что здесь не учитывалась возможность нарушения оператором требования об уведомлении Роскомнадзора о местонахождении БД с ПДн и привлечения его к ответственности по ст. 19.7 КоАП РФ, поскольку письмо о внесении изменений в сведения в реестре операторов он обязан направить в ведомство вне зависимости от выбора стратегии.

Ниже приведено графическое представление интегральной оценки в диапазоне от 0 до 5 баллов в отношении величины юридических рисков для каждой из стратегий. Так, стратегия № 1 получила 0 баллов, что демонстрирует ее безрисковость. Выбор стратегии № 2 чреват наибольшим юридическим риском среди всех восьми стратегий. При реализации остальных стратегий вы в большей (стратегии № 4, 5, 8) или меньшей степени (стратегии № 3, 6, 7) рискуете столкнуться с наступлением неблагоприятных последствий, описанных далее.

Оценка реализации стратегий выполнения требований Закона № 242-ФЗ

Выбор стратегии основывается на принципе минимизации вероятного ущерба компании и расходов на ее реализацию. При этом ущерб подразделяется на штраф, влияние на бизнес и репутационный ущерб. Расходы могут быть однократными и периодическими.

Чтобы вычислить расходы, определить риски и дать общую оценку стратегии качественные значения ставятся в соответствие с количественными, которые представляют собой безразмерную величину (условные пункты).

Количественное значение Описание
Однократные расходы Периодические расходы Оценка репутационного ущерба
0 Реализация стратегии не предполагает затрат со стороны компании. Эксплуатация технических решений и сопровождение организационных процессов не требуют дополнительных затрат компании. Риски отсутствуют. Например, вследствие прекращения обработки ПДн в системе.
10 Технические и организационные изменения просты. Трудозатраты незначительны. Эксплуатация и сопровождение требуют минимальных дополнительных затрат компании. Риски минимальны. Например, для систем, в которых обрабатываются ограниченные перечни ПДн или данные ограниченного количества субъектов ПДн.
30 Технические и организационные изменения не представляют большой сложности и являются локальными для систем и бизнес-процессов. Трудозатраты невысокие. Эксплуатация и сопровождение требуют незначительных дополнительных затрат компании. Риски средние. Например, для систем, в которых обрабатываются незначительные перечни ПДн.
50 Технические и организационные изменения значительны и могут затронуть смежные системы или бизнес-процессы. Трудозатраты высокие. Эксплуатация и сопровождение требуют больших дополнительных затрат компании. Риски высокие. Например, для систем, в которых обрабатываются множество категорий ПДн или данные большого количества субъектов.
100 Технические и организационные изменения сложны в реализации. Трудозатраты очень высокие. Эксплуатация и сопровождение требуют очень больших дополнительных затрат компании. Риски очень высокие. Например, для систем, в которых обрабатываются множество категорий ПДн большого количества субъектов.
1000 Технические и организационные изменения настолько значительны, что их реализуемость в краткосрочной и среднесрочной перспективе с приемлемыми трудозатратами сомнительна. Эксплуатация и сопровождение требуют крайне больших дополнительных затрат компании. Риски крайне высокие. Например, для систем, в которых обрабатываются специальные или биометрические категории ПДн большого количества субъектов.

Оценка стратегий осуществляется в отношении только тех систем, базы данных с ПДн которых полностью или частично располагаются за пределами РФ. При оценке применяется допущение, что в течение жизненного цикла систем проверка со стороны Роскомнадзора будет проведена как минимум один раз.

  • Si – обозначение оцениваемой стратегии (значение i соответствует порядковому номеру стратегии);
  • Ci – однократные расходы при реализации стратегии i;
  • Oi – периодические расходы при реализации стратегии i;
  • Tэ – ожидаемый период эксплуатации ИСПДн;
  • Pо,i – вероятность обнаружения ИСПД проверяющими органами при реализации стратегии i;
  • Pв,i – вероятность выявления нарушений в обнаруженной ИСПДн по результатам проверки при реализации стратегии i;
  • Pд,i – вероятность признания постановления Роскомнадзора законным при реализации стратегии i;
  • М – мультипликатор (уровень) влияния на бизнес;
  • S1 – расходы на реализацию стратегии, включая периодические за период жизненного цикла;
  • Pсми,i – вероятность освещения результатов в СМИ при реализации стратегии i;
  • D – вероятный репутационный ущерб.

Влияние на бизнес выражается в виде расходов на реализацию стратегии, умноженных на мультипликатор. Мультипликатор зависит от критичности системы для бизнеса, сложности переноса системы, вовлеченности ее в основные бизнес-процессы и находится в промежутке от 1 до 3 единиц.

Вероятность обнаружения ИСПДн зависит в первую очередь от того, был ли уведомлен Роскомнадзор об этой системе, а также от вовлеченности ее в деятельность организации, и оценивается по шкале 0–100%. Для основных бизнес-процессов вероятность обнаружения ИСПДн выше. Вероятность выявления правонарушения в ИСПДн зависит от реализованной стратегии и компетентности проверяющих.

Чтобы упростить процедуру оценки вероятностей, используется экспертное мнение о степени соответствия стратегий требованиям Закона № 242-ФЗ. Степень соответствия анализируется по следующей шкале:

  • легкообнаружимое несоответствие (вероятность – 100%);
  • труднообнаружимое несоответствие (вероятность – 80%);
  • крайне труднообнаружимое несоответствие или соответствие с сильнозаметными уязвимостями (вероятность – 60%);
  • соответствие со среднезаметными уязвимостями (вероятность – 40%);
  • соответствие со слабозаметными уязвимостями (вероятность – 20%);
  • полное соответствие (вероятность – 0%).

Вероятность распространения информации в СМИ зависит от значимости нарушения, степени вовлеченности системы в основные процессы организации и также оценивается по шкале 0–100%.

Действующим законодательством не установлена прямая ответственность за неисполнение операторами требований о локализации БД с ПДн (ч. 5 ст. 18 Закона № 152-ФЗ). Однако этот пробел может быть восполнен в среднесрочной перспективе. Размер штрафа может быть установлен в пределах 50 тыс. руб. (с учетом размера штрафа, установленного ч. 1 ст. 13.11 КоАП РФ). Это значительно меньше прочих расходов на реализацию стратегий и величины сопутствующих рисков. При расчете общей оценки стратегии штраф в явном виде не учитывается.

Рассмотрим пример оценки восьми стратегий в отношении отдельно взятой ИСПДн.

Итак, в рассмотренном примере наиболее привлекательной оказалась стратегия № 1 – создание промежуточной БД на территории РФ. Немного менее привлекательной является стратегия № 2 – перенос БД на территорию РФ.

1 Согласно разъяснениям Роскомнадзора и Минкомсвязи, сбор ПДн – это процесс целенаправленного получения данных непосредственно от субъекта или привлеченных для этого третьих лиц. Обязанность по их локализации в БД на территории РФ возникает только в период сбора ПДн. Если, например, в зарубежной системе на основании собранных и локализованных в РФ данных о работнике определяется его грейд, делается вывод о необходимости направления работника на повышение квалификации или о его продвижении по службе, то такие ПДн нельзя рассматривать как получаемые во время сбора, т.е. они не были получены от субъекта или через уполномоченных оператором лиц.

2 Например, Минкомсвязь указывает, что понятие «база данных» на уровне федерального закона раскрыто в абз. 2 ст. 1260 ГК РФ следующим образом: «Базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины». Тут же ведомство поясняет, что при применении Закона № 242-ФЗ под термином «база данных» будет пониматься указанное выше значение, предполагающее, что с помощью ЭВМ одновременно должны быть обеспечены поиск и любая обработка соответствующей информации, что представляется возможным при условии их наличия в электронной форме. Роскомнадзор придерживается мнения, что следует руководствоваться понятием, которое дано в Модельном законе о персональных данных, принятом в Санкт-Петербурге 16 октября 1999 г. Постановлением № 14-19 на 14-м пленарном заседании Межпарламентской Ассамблеи государств – участников СНГ: «база персональных данных» – это упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных). Следовательно, базой данных можно считать таблицу в формате Excel, Word, в которой содержится информация о персональных данных граждан или иным образом упорядоченный массив персональных данных, в том числе поддающийся обработке при помощи ЭВМ. Такое понимание базы данных позволяет распространить требования законодательства о персональных данных на все материалы, содержащие персональные данные, вне зависимости от того, каким образом они скомпонованы и в каком формате обрабатываются – бумажном или электронном.

3 С данным расширительным толкованием понятия БД можно не согласиться, так как согласно п. 10 ст. 3 Закона № 152-ФЗ БД является неотъемлемой частью ИСПДн, а обработка ПДн, содержащихся в БД, осуществляется с использованием информационных технологий и технических средств (средств автоматизации). При этом, согласно ч. 1 ст. 1 Закона № 152-ФЗ, без использования средств автоматизации могут обрабатываться ПДн, зафиксированные на материальном носителе и содержащиеся в картотеках или иных систематизированных собраниях ПДн. Таким образом, упорядоченные массивы ПДн можно условно разделить на две категории: базы данных в составе ИСПДн; картотеки и иные систематизированные собрания ПДн.

4 Оценка проводилась в течение трех лет. Указанный срок был определен на основании нормы, закрепленной в п. 33 Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утв. Приказом Минкомсвязи России от 14 ноября 2011 г. № 312).

Где можно хранить на территории РФ?

Федеральный закон №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных ведомостей в информационно-телекоммуникационных сетях» предусматривает два основных места хранения, или носителя – бумажный и электронный.

Хранить данные разрешается на следующих носителях.

  1. Компьютерные жесткие диски (внутри серверов дата-центров, расположенных на территории Российской Федерации).
  2. Флэш-накопители памяти.
  3. CD, DVD диски и носители других форматов.
  4. Облачные сервера, предоставляемые юридическими лицами для хранения информации.
  5. Бумажные носители (бланки, формы, документы, справки).

Основные правила

Основные правила хранения ПД утверждены Федеральным законом «О персональных данных».

В пункте 7 статьи 5 закона сказано, что хранение информации должно осуществляться в форме, не позволяющей определить субъекта (владельца) ведомостей более длительное время, чем того требуют цели конкретного информационного взаимодействия.

Также уточняется, что длительность хранения должна устанавливаться федеральным законом, договором или другими актами между субъектом и оператором сведений такого типа. Доступ к ведомостям должен быть максимально ограничен.

Работники подписывают документы о неразглашении, а также ведут учет всех сохраняемых данных, указывая:

  • Наименование, тип, емкость документа.
  • Местонахождение носителя.
  • Дата начала хранения (регистрации).
  • Ответственное за хранение лицо.

Внимание! Хранить персональные данные граждан, согласно акту 149-ФЗ, можно только на серверах, которые физически находятся на территории Российской Федерации.

На практике это означает, что, например, банки, постоянно работающие с конфиденциальными сведениями, должны иметь свои дата-центры в РФ или обратиться в дата-центры, предлагающие услуги ро размещению серверов.

Подробная инструкция, как хранить на носителях

На бумажных

Для операторов, хранящих информацию на бумажных носителях, разрабатывается «Регламент учета, хранения и уничтожения физических носителей персональных данных». В нем указаны все особенности работы с ПД на конкретном предприятии.

Скачать образец инструкции учета, хранения и уничтожения физических носителей ПД

У каждого оператора должна быть политика хранения сведений персонального характера, включающая такие пункты:

  1. Назначение ответственного лица.
  2. Организация допусков к конфиденциальной информации некоторых работников на основе приказов, оформленных на физических носителях.
  3. Организация специализированных хранилищ с ограниченным доступом.
  4. Обеспечение отдельного хранения персональных сведений с разными целями обработки или несовместимыми целями.
  5. Использование разных носителей для разновидностей ПД, не относящихся к одной категории.
  6. Оформление документов с ПД согласно законодательству (вписывается шапка с целью обработки ведомостей, наименованием оператора информации, его контактов).
  7. Сопровождение всех документов отметкой о согласии субъекта на обработку сведений о нем.

Электронные

Персональные сведения относятся к конфиденциальной информации, поэтому должны быть защищены. Для всех операций с такими ведомостями, включая хранение, используются «Информационные системы персональных данных» (ИСПД).

Их в России принято делить на четыре категории в зависимости от важности и объема информации.

  • Категория 1. Типовая информационная система персональных данных с ведомостями более чем на 100 тысяч субъектов. В ней содержится информация о расовой, национальной принадлежности, политических взглядах, религии, интимной жизни и другие ведомости, распространение которых окажет явное негативное влияние на жизнь физических лиц.
  • Категория 2. Система вмещает в себя персональные ведомости, разглашение которых позволит третьим лицам получить о физическом лице дополнительные ведомости, кроме данных, относящихся к первой категории.
  • Категория 3. Система с персональными сведениями, которые дают возможность идентифицировать физическое лицо.
  • Категория 4. Предусматривает хранение обезличенных персональных данных, раскрытие которых не окажет негативного влияния.

Процесс хранения начинается с создания такой системы и ее проверки государственными органами России. После этого оператор должен обеспечить все требования по инженерной защите помещения, проверяется соответствие системы по:

  1. требованиям пожарной безопасности;
  2. охране;
  3. электрическому питанию;
  4. заземлению;
  5. санитарным требованиям.

Последним пунктом является аттестация или сертификация ИСПД. Если ИСПД готова, то компании предстоит прописать юридическую основу всех процессов с персональными сведениями, которая будет появляться на сайте перед введением ведомостей о пользователе в форму.

Она может называться как угодно, например, «Политика обработки персональных данных» или «Согласие на хранение личной информации».

Скачать образец Политики обработки персональных данных

Главное, чтобы клиент мог ознакомиться с ней и нажать на «галочку», выразив таким образом свое согласие на предоставление оператору информации. Весь процесс хранения такой информации регламентируется законодательными актами о конфиденциальных данных.

Запрещается передавать их третьему лицу, а также использовать в целях, которые не были указаны изначально.

Для операторов, работающих с электронными носителями, инструкция будет выглядеть следующим образом:

  1. Доступ к данным необходимо ограничить.
  2. Передавать информацию по зашифрованным каналам.
  3. Иметь документацию по ПД.
  4. Вести учет физических носителей, если есть.
  5. Предотвращать утечки.
  6. Раздельно хранить информацию, которая обрабатывается с разными целями.
  7. Уничтожать информацию после обработки после 30 дней хранения (желательно) или по истечении шести месяцев (в обязательном порядке).

Размещать данные компании могут как им удобно, в том числе на современны облаках.

В государстве четко регламентированы процессы хранения ПД, все операторы такой информации должны пройти ряд проверок и доказать свою способность обеспечить информации конфиденциальность. В случае несанкционированного распространения или доступа к данным, оператор несет гражданскую, материальную и даже уголовную ответственность.

За невыполнение требований о хранении в РФ персональных данных россиян введены многомиллионные штрафы. Соответствующий закон подписан президентом РФ Владимиром Путиным и размещен на официальном интернет-портале правовой информации.

Согласно этой новации Кодекс РФ об административных правонарушениях будет дополнен нормой, согласно которой вводятся штрафные санкции для операторов, не выполнивших при сборе персональных данных россиян, в том числе через интернет, предусмотренное законом требование о систематизации и хранении информации в базах данных исключительно на территории РФ, то есть использовавших хранилища за рубежом.

При этом за такое правонарушение устанавливаются штрафы для граждан в размере от 30 тыс. до 50 тыс. рублей, для должностных лиц — от 100 тыс. до 200 тыс. рублей, для юридических лиц — от 1 млн до 6 млн рублей. В случае повторного нарушения штрафы увеличатся. Для граждан они составят от 50 тыс. до 100 тыс. рублей, для должностных лиц — от 500 тыс. до 800 тыс. рублей, для юридических лиц — от 6 млн до 18 млн рублей.

Повторное неисполнение оператором требования, согласно которому он должен уведомить федеральные органы о запуске новых программ для приема и обработки данных, повлечет за собой штраф в размере от 5 тыс. до 10 тыс. рублей для граждан. Отмечается, что для должностных лиц сумма штрафа составит от 50 тыс. до 100 тыс. рублей, а для юридических — от 500 тыс. до 1 млн рублей.

About the author

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *