Новое в законе «О персональных данных»
Последние поправки в закон о персональных данных не только создают большое количество сложностей для иностранного бизнеса, но и способны здорово раззадорить спящего дракона № 152-ФЗ. А отрасли предстоит ближе познакомиться с его скверным нравом и обнаружить дополнительные «зубы» у данного закона в самых неожиданных местах.
Изменения на поверхности
Ключевой нормой вступившего в силу закона № 242-ФЗ1 является требование о локализации персональных данных (ПДн): при сборе ПДн оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ. Текст данной нормы занимает всего два абзаца и не дает полноценного ответа на вопрос, как ее следует исполнять.
Согласно текущему пониманию ситуации операторам во многих случаях придется либо перенаправить свои потоки ПДн через российские серверы, либо полностью перенести инфраструктуру в Россию, либо удостовериться в том, что обрабатываемые данные не являются персональными данными.
Существующее сегодня понимание закона во многом основано на неофициальных разъяснениях, озвученных Роскомнадзором и Минкомсвязи в течение 2015 г. Данные разъяснения частично опубликованы на сайте Минкомсвязи2 и на площадке РАЭК3 и отражают консолидированную позицию государственных органов по большинству вопросов, касающихся локализации ПДн.
Однако важно помнить, что подходы Роскомнадзора и Минкомсвязи не всегда совпадают между собой. Разъяснения Минкомсвязи, как правило, содержат более удобные для бизнеса толкования, в то время как интерпретации Роскомнадзора являются более сдержанными.
Например, до сих пор отсутствует ясность по одному из ключевых вопросов — может ли оператор использовать иностранные базы данных при условии первоначальной записи и хранения ПДн в российской базе данных? Роскомнадзор полагает, что требование использовать российские базы данных означает возможность использовать исключительно их. На сайте же Минкомсвязи содержатся противоречивые пояснения. Операторам предстоит самостоятельно восполнить множественные пробелы и противоречия при исполнении закона.
Динамика толкований
Помимо этого, многие помнят, что первые неофициальные толкования закона, появившиеся прошлой осенью4, разительно отличались от разъяснений, опубликованных Минкомсвязи сейчас. И даже в настоящее время позиции государственных органов продолжают эволюционировать.
В таком случае попытка сослаться на существующие сегодня разъяснения, имеющие форму простой публикации на сайте Минкомсвязи, в лучшем случае позволит оператору избежать штрафа, но вряд ли позволит избежать предписания об устранении выявленных нарушений. Кроме того, нельзя исключить возможности исчезновения некоторых разъяснений с сайта, как это уже случалось. Единственным относительно надежным способом зафиксировать разъяснения будет являться направление письменного запроса в Минкомсвязи или Роскомнадзор, но, по слухам, даже данный способ в последнее время начинает давать сбои.5
Наиболее правильным решением будет при выборе той или иной интерпретации тщательно взвешивать риски и оценивать возможные действия, если правоприменительная практика пойдет по какому-либо другому пути.
Неприметные косвенные ограничения на передачу данных
После принятия закона о локализации ПДн представители Роскомнадзора стали особенно часто обращать внимание операторов на несоответствие способов обработки ПДн заявленным целям, особенно в контексте локализации.
Таким образом, операторам необходимо не только внедрить российские серверы, но и быть готовыми объяснить, зачем данные российских граждан из российских систем передаются за рубеж. В идеале данные обстоятельства должны быть отражены в договорах между операторами или иных документах.
Будет ужесточен контроль
Принятый закон, помимо прочего, вывел контроль и надзор за обработкой ПДн из-под действия закона «О защите прав юридических лиц...»8, взамен которого было решено принять постановление правительства. Проект документа находится на этапе согласования.9
Данный проект существенно расширяет возможности Роскомнадзора по проведению как плановых, так и внеплановых проверок, в большинстве случаев допускает проверки без согласия прокуратуры, а также нормативно закрепляет фактически применяемую уже сегодня процедуру «систематического наблюдения».
Другая важная норма наделяет Роскомнадзор правом в случае неисполнения предписания направлять требование о приостановлении деятельности по обработке ПДн до устранения нарушения. Эта норма создает существенную угрозу непрерывности бизнес-процессов у операторов.
Наконец, необходимо вспомнить о появлении нового «Реестра нарушителей прав субъектов персональных данных», в который в этом году уже было внесено несколько сайтов на основании полученных Роскомнадзором судебных решений. При этом речь шла о совершенно произвольных нарушениях законодательства о персональных данных, таких как отсутствие согласий субъектов, а не только о нарушении требований о локализации.
Как теперь «с этим» жить
Учитывая расширение контрольно-надзорной деятельности Роскомнадзора по всем направлениям, целесообразно как можно скорее привести информационные системы и документы в соответствие требованиям закона. Особое внимание необходимо уделить созданию необходимых документов, поскольку сейчас акцент планируется делать на документальных проверках. Однако необходимо понимать, что рано или поздно Роскомнадзор перейдет от документального к непосредственному исследованию информационных систем, и единственный вопрос — как скоро технические несоответствия информационных систем с безупречными документами начнут регулярно выявляться при проведении проверок на практике.
Тем же операторам, которые полагают, что их документы и бизнес-процессы уже приведены в соответствие законодательству, следует еще раз проверить, насколько данные процессы отвечают заявленным целям обработки ПДн, а также убедиться в наличии не только политики об обработке ПДн, но и всех иных документов, начиная с согласий и заканчивая моделью угроз безопасности ПДн.
Кроме того, поскольку возможности блокировок интернет-сайтов на основании любых нарушений закона о персональных данных представляют большую угрозу для бизнеса, аудит процессов по обработке персональных данных на значимых для бизнеса (например, B2C) сайтах также является одной из приоритетных рекомендуемых мер.
1 О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях: федеральный закон Российской Федерации от 21 июля 2014 г. № 242-ФЗ // Российская газета — 2011. — 25 июля (№ 160).
2 Сайт Минкомсвязи России [Электронный ресурс]. — Режим доступа: http://minsvyaz.ru/ru/personaldata/.
3 Сайт ПД-Инфо — все про закон о персональных данных [Электронный ресурс]. — Режим доступа: http://www.pd-info.ru/.
4 Новый Н., Черненко Е. Данные о гражданах прописали в России. [Электронный ресурс] / Н. Новый, Е. Черненко // Газета «Коммерсантъ» — 2014. 2 октября (№ 178) — Режим доступа: http://www.kommersant.ru/doc/2580152.
5 Борисов, С. СЗПДн. Анализ. Низы не могут, верхи не хотят. Сайт Securitylab.ru by Positive Technologies. [Электронный ресурс] // Режим доступа: http://www.securitylab.ru/blog/personal/sborisov/153863.php.
6 Агеев А. СЗПДн. Электронный ящик — персональные данные. Сайт Securitylab.ru by Positive Technologies. [Электронный ресурс] // Режим доступа: http://www.securitylab.ru/blog/personal/itsec/152772.php.
7 Федеральный закон «О персональных данных»: научно-практический комментарий. Под редакцией заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. — М.: Редакция «Российской газеты», 2015. Вып. 11. — С. 74.
8 О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля: Федеральный закон Российской Федерации от 26 декабря 2008 г. № 294-ФЗ // Собрание законодательства РФ — 2008. — 29 декабря(№ 52)
9 Федеральный портал проектов нормативных правовых актов [Электронный ресурс]. — Режим доступа: http://regulation.gov.ru/projects?#npa=21646.
Автор: Вадим Перевалов, юрист, Бейкер и Макензи — Си-Ай-Эс, Лимитед
Опубликовано: Журнал «Information Security/ Информационная безопасность» #5, 2015
Источник: ITSec.Ru
Читайте также:
ПодписатьсяБанковская гарантия на период действия гарантийных обязательств
В рамках закупочной процедуры по 44-ФЗ Заказчик обязан либо имеет право вставлять в проект контракта необходимые ему пункты. Например, штрафные санкции, возможность расторжения договора в одностороннем порядке, а также включение в договор гарантийных обязательств. Рассмотрим последний.