В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
Ключевой нормой вступившего в силу закона № 242-ФЗ1 является требование о локализации персональных данных (ПДн): при сборе ПДн оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ. Текст данной нормы занимает всего два абзаца и не дает полноценного ответа на вопрос, как ее следует исполнять.
Согласно текущему пониманию ситуации операторам во многих случаях придется либо перенаправить свои потоки ПДн через российские серверы, либо полностью перенести инфраструктуру в Россию, либо удостовериться в том, что обрабатываемые данные не являются персональными данными.
Существующее сегодня понимание закона во многом основано на неофициальных разъяснениях, озвученных Роскомнадзором и Минкомсвязи в течение 2015 г. Данные разъяснения частично опубликованы на сайте Минкомсвязи2 и на площадке РАЭК3 и отражают консолидированную позицию государственных органов по большинству вопросов, касающихся локализации ПДн.
Однако важно помнить, что подходы Роскомнадзора и Минкомсвязи не всегда совпадают между собой. Разъяснения Минкомсвязи, как правило, содержат более удобные для бизнеса толкования, в то время как интерпретации Роскомнадзора являются более сдержанными.
Например, до сих пор отсутствует ясность по одному из ключевых вопросов – может ли оператор использовать иностранные базы данных при условии первоначальной записи и хранения ПДн в российской базе данных? Роскомнадзор полагает, что требование использовать российские базы данных означает возможность использовать исключительно их. На сайте же Минкомсвязи содержатся противоречивые пояснения. Операторам предстоит самостоятельно восполнить множественные пробелы и противоречия при исполнении закона.
Помимо этого, многие помнят, что первые неофициальные толкования закона, появившиеся прошлой осенью4, разительно отличались от разъяснений, опубликованных Минкомсвязи сейчас. И даже в настоящее время позиции государственных органов продолжают эволюционировать.
В таком случае попытка сослаться на существующие сегодня разъяснения, имеющие форму простой публикации на сайте Минкомсвязи, в лучшем случае позволит оператору избежать штрафа, но вряд ли позволит избежать предписания об устранении выявленных нарушений. Кроме того, нельзя исключить возможности исчезновения некоторых разъяснений с сайта, как это уже случалось. Единственным относительно надежным способом зафиксировать разъяснения будет являться направление письменного запроса в Минкомсвязи или Роскомнадзор, но, по слухам, даже данный способ в последнее время начинает давать сбои.5
Наиболее правильным решением будет при выборе той или иной интерпретации тщательно взвешивать риски и оценивать возможные действия, если правоприменительная практика пойдет по какому-либо другому пути.
После принятия закона о локализации ПДн представители Роскомнадзора стали особенно часто обращать внимание операторов на несоответствие способов обработки ПДн заявленным целям, особенно в контексте локализации.
Таким образом, операторам необходимо не только внедрить российские серверы, но и быть готовыми объяснить, зачем данные российских граждан из российских систем передаются за рубеж. В идеале данные обстоятельства должны быть отражены в договорах между операторами или иных документах.
Принятый закон, помимо прочего, вывел контроль и надзор за обработкой ПДн из-под действия закона "О защите прав юридических лиц…"8, взамен которого было решено принять постановление правительства. Проект документа находится на этапе согласования.9
Данный проект существенно расширяет возможности Роскомнадзора по проведению как плановых, так и внеплановых проверок, в большинстве случаев допускает проверки без согласия прокуратуры, а также нормативно закрепляет фактически применяемую уже сегодня процедуру "систематического наблюдения".
Другая важная норма наделяет Роскомнадзор правом в случае неисполнения предписания направлять требование о приостановлении деятельности по обработке ПДн до устранения нарушения. Эта норма создает существенную угрозу непрерывности бизнес-процессов у операторов.
Наконец, необходимо вспомнить о появлении нового "Реестра нарушителей прав субъектов персональных данных", в который в этом году уже было внесено несколько сайтов на основании полученных Роскомнадзором судебных решений. При этом речь шла о совершенно произвольных нарушениях законодательства о персональных данных, таких как отсутствие согласий субъектов, а не только о нарушении требований о локализации.
Учитывая расширение контрольно-надзорной деятельности Роскомнадзора по всем направлениям, целесообразно как можно скорее привести информационные системы и документы в соответствие требованиям закона. Особое внимание необходимо уделить созданию необходимых документов, поскольку сейчас акцент планируется делать на документальных проверках. Однако необходимо понимать, что рано или поздно Роскомнадзор перейдет от документального к непосредственному исследованию информационных систем, и единственный вопрос – как скоро технические несоответствия информационных систем с безупречными документами начнут регулярно выявляться при проведении проверок на практике.
Тем же операторам, которые полагают, что их документы и бизнес-процессы уже приведены в соответствие законодательству, следует еще раз проверить, насколько данные процессы отвечают заявленным целям обработки ПДн, а также убедиться в наличии не только политики об обработке ПДн, но и всех иных документов, начиная с согласий и заканчивая моделью угроз безопасности ПДн.
Кроме того, поскольку возможности блокировок интернет-сайтов на основании любых нарушений закона о персональных данных представляют большую угрозу для бизнеса, аудит процессов по обработке персональных данных на значимых для бизнеса (например, B2C) сайтах также является одной из приоритетных рекомендуемых мер.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2015