10 ноября 2021 г.
В последнее время в России все больше говорят о персональных данных — требования к работе с ними ужесточаются и конкретизируются, а соответствующее законодательство постоянно меняется. Для компаний это означает этим требованиям следовать, иначе компаниям грозят санкции — вплоть до полной блокировки интернет-ресурса. Проблема в том, что не всегда очевидно, кого эти положения касаются и как их соблюдать. Разберемся, на кого распространяются требования о локализации данных российских пользователей и как проверить, соблюдены ли они.
Почему это важно?
Одна из глобальных задач российских властей — создание безопасной интернет-среды для оборота персональных данных (ПДн) россиян. В связи с этим постепенно ужесточаются как нормы законодательства, регулирующего требование к операторам таких данных, так и контроль за их соблюдением. Выполнять требования становится все сложнее, так как правила игры постоянно меняются. Одно из требований — обязанность локализовать ПДн, что означает хранение сведений о российских пользователях на территории России.
Изначально это требование появилось с «прицелом» на крупных иностранных игроков, так как для его выполнения им необходимо открыть на территории России свои подразделения, а это означает дополнительные налоговые поступления в российский бюджет. В итоге некоторые компании требования выполнили, другие — Twitter, Facebook и WhatsApp — пока отделались штрафами. По информации Роскомнадзора, на сегодняшний день хранение персональных данных российских пользователей локализовали более 600 представительств зарубежных компаний в России, в число которых входят Apple, Microsoft, Samsung, LG, Booking PayPal и многие другие.
Сейчас, когда Роскомнадзор все больше автоматизирует проверку исполнения законодательства в сфере ПДн, стать объектами проверок могут не только крупные иностранные игроки, но и небольшие российские компании. Речь идет о всех организациях, которые обрабатывают ПДн российских пользователей, поэтому важно не только разбираться в требованиях закона, но и уметь проверять, соблюдены ли они.
Причем санкции могут ждать не только компании, которые не локализуются, но и тех, кто будет использовать такие данные, поэтому необходимо следить, выполняют ли все требования контрагенты. Также это касается организаций, использующих маркетинговые инструменты, собирающие данные (сервисы рассылок, сервисы для проведения квизов и т.д.).
Каким образом можно проверить соблюдение установленных требований?
Во-первых, можно использовать общедоступные интернет-сервисы с соответствующим функционалом. Один из них — Whois. С его помощью можно увидеть сведения о сайте, узнать регистратора и возраст домена, проверить, кому принадлежат сайт и домен. Информация может быть разной, но в большинстве случаев можно узнать:
- имя регистратора;
- DNS-серверы;
- срок действия домена и дату его регистрации;
- администратора сайта (в зависимости от доменной зоны может быть скрыт);
- способы связи с администратором, если контактные данные не скрыты.
До конца этого года должна заработать Информационная система, разработкой которой занимается Главный радиочастотный центр (ФГУП при Роскомнадзоре). Этот сервис позволит определять адрес хостинга ресурса с точностью до федерального округа или субъекта РФ.
Если говорить о Роскомнадзоре, то служба, помимо уже указанных способов, может направлять в организации запросы, в ответ на которые юрлица обязаны предоставить блок-схему, где будет отражено местонахождение баз данных. Чтобы такую проверку пройти, необходимо подтвердить соблюдение требований о локализации данных. При этом, если у компании есть сомнения в том, распространяются ли на нее эти требования и не допущены ли нарушения, стоит обратиться к специалистам для проведения аудита в этой части. Это касается и случаев, когда компании используют иностранные решения, в связи с чем не всегда очевидно, выполняются ли требования российского законодательства.
Кому не нужно «локализоваться»?
Перед тем, как выбирать решения и способы локализации данных, убедитесь в том, что на вашу компанию распространяются эти требования закона. Так, есть ряд случаев, когда это не требуется:
- данные не являются персональными (но это еще нужно доказать);
- информационные системы бронирования авиаперевозчиков и агентов по продаже билетов (для них такие требования заработают в октябре следующего года);
- при отсутствии цели сбора персональных данных на электронную почту почтовый сервер не будет требовать локализации. В случае создания почтовых ящиков, предназначенных для сбора персональных данных, например, соискателей вакантных должностей (recruting@company.ru, vacancies@bank.ru), их необходимо рассматривать в качестве информационной системы персональных данных и в отношении таких почтовых серверов обеспечивать локализацию на территории РФ;
- если персональная информация о пользователях была загружена в базу данных, расположенную за пределами России, до 1 сентября 2015 года;
- персональные данные были созданы, а не собраны;
- данные о пользователях собираются не в базе данных. При этом Роскомнадзор дал следующее определение базе данных — это упорядоченный массив данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных). Таким образом, даже таблица Excel, содержащая персональную информацию, будет относиться к базе данных.
Как оптимизировать процесс локализации данных?
Если же требования о локализации все же должны быть выполнены, стоит рассмотреть все варианты и выбрать способ, который будет наименее затратным для организации.
Способы для оптимизации затрат на локализацию:
- перенос всей базы данных на сервер, расположенный на территории Российской Федерации. Например, такое решение подойдет для локализации Office 365 и корпоративного почтового сервера Microsoft Exchange. Это можно осуществить благодаря заключению контракта с облачным провайдером ActiveCloud, а также можно воспользоваться комплексными решениями от сервиса InCountry;
- использование промежуточной базы данных в России, в которую будут вноситься персональные данные граждан РФ (например, Excel-таблица, причем есть разъяснение Роскомнадзора, разрешающее такую практику). При этом работникам предприятия/организации нужно будет раздать памятку с указаниями, как правильно работать с конкретной системой, чтобы последовательность внесения в нее данных (сначала Excel файл — потом система) соответствовала требованиям закона;
- обезличивание персональных данных в системе. Однако «легальные способы» обезличивания установлены только для государственных и муниципальных органов власти, поэтому может потребоваться написать заключение о том, что оставшаяся персональная информация в системе не может быть отнесена к персональным данным. С этим может помочь сертифицированные приложение DFG152;
- перекладывание ответственности за локализацию данных на подрядчика или головную компанию. В таком случае следует в соглашении с подрядчиком или головной компанией предусмотреть штраф за несоблюдение требований о локализации;
- использование альтернативных российских аналогов систем;
- отказ от использования информационной системы в России в случае, если данные действия не приведут к потерям для бизнеса.
Если в силу специфики работы какой-либо компании, ей подходит только иностранное решение, то и в этом случае выход есть. На российском рынке есть игроки, способные доработать иностранный софт под конкретный функционал для выполнения требований российского законодательства о локализации данных. Причем компании сейчас нередко используют именно иностранные решения, так как они больше отвечают их потребностям, но в этом случае все же стоит обратить особое внимание на то, соблюдены ли требования закона.
Если говорить о законодательстве, регулирующем локализацию данных российских пользователей, то можно однозначно сказать, что в ближайшее время российские власти продолжат работу в этом направлении — и в части расширения требований закона, и в части более жесткого контроля за их соблюдением. При этом закон только недавно начал работать в России, поэтому компании ждет период постоянных изменений, так как законодатель будет изучать применение норм на практике и в соответствии с этим дорабатывать нормативную базу. Поэтому в ближайшее время игнорировать этот закон не стоит — лучше заранее определиться, будете ли вы локализовывать данные и как вы будете это делать.
Источник: Мария Шурукина, старший консультант по защите персональных данных компании Б-152