Локализация персональных данных
Сегодня мы поговорим об одной из самых острых и важных тем – локализация персональных данных.
««Что это вообще такое?»
В соответствии с п. 5 статьи 18 152-ФЗ «О персональных данных» оператор обязан обрабатывать и хранить данные граждан нашей страны на территории России. Этот тезис и характеризуется одним термином - локализация.
Прямо говоря, если вы, являясь оператором ПД, собираете данные граждан Российской Федерации, то обрабатывать и хранить эти данные вы обязаны с использованием серверов, находящихся на территории нашей страны. Цель такого требования проста и понятна – храня данные тут, вы не передаете их заграницу во «вражеские» пенаты.
««Да ладно, как и всегда есть куча исключений, наверное?»
Исключения конечно есть. Только вот не уверены мы, что они к вам относятся.
Таким образом под исключения попадают ситуации, когда: - обработка ПД происходит для достижения целей, предусмотренных международным договором Российской Федерации, или для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей) - обработка ПД осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах - обработка ПД происходит при предоставлении государственных или муниципальных услуг - обработка ПД производится для осуществления профессиональной деятельности журналиста, законной деятельности СМИ, научной литературной творческой деятельности, если не нарушаются права и законные интересы субъекта персональных данных Нашли себя? Нет? Тогда продолжаем.
««Ок, а кому это нужно?»
Локализация необходима каждой компании, собирающий и обрабатывающей ПД россиян. Даже, если вы ведете свою деятельность, предположим, с территории Латвии, но при этом ваш интернет-бизнес направлен на граждан России, то вы попадаете под данное требование.
Помимо ситуации с иностранным юридическим лицом, очень часто случается так, что российские компании хранят данные на зарубежных серверах. Это также попадает под нарушение. Интересно, что исходя из практики Роскомнадзор очень легко определяет направленность деятельности сайта на россиян. Есть определенные сигнализирующие нюансы, которые не остаются незамеченными.
Например: - наличие доменного имени, связанного с Российской Федерацией (ru, рф, su, москва, moscow и т.п.); - наличие русскоязычной версии интернет-сайта, созданной владельцем такого сайта; - возможность производить расчеты в российских рублях; - возможность доставки товара, оказания услуги или пользования цифровым контентом на территории России; - использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту. Список, кстати говоря, незакрытый. То есть любые обстоятельства, свидетельствующие о связи с российским рынком могут трактоваться Роскомнадзором как угодно.
««И как быть?»
Итак, самый очевидный вариант – перенести хранение и обработку данных на российские сервера при помощи отечественных дата-центров. Но есть еще несколько вариантов решения этой проблемы. Самый простой способ - передача данных зарубеж в обезличенном виде. Это значит, что персональные данные будут храниться в России, а передаваться зарубеж будут под специальным ID. Таким образом, возможность соотношения данных с субъектом будет нулевая.
Помимо этого, можно использовать российский сервер в качестве посредника. Сначала данные попадают на него, а после уходят за рубеж. Регуляторов такие варианты устраивают, так как требование о первичном сборе данных на территории РФ будет соблюдено. Стоит понимать, что закон не запрещает обрабатывать данные за границей, но обязательным условием должен быть их первоначальный сбор и хранение на территории РФ.
««А что мне будет, если я не буду этого делать?»
А вот тут-то и начинается самое страшное. Сам по себе штраф сравнительно небольшой – до 10 тысяч рублей. Но есть кое-что похуже.
В соответствии с п. 4 статьи 17 ФЗ-149 «Об информации, информационных технологиях и о защите информации»: «Провайдер хостинга, оператор связи и владелец сайта в сети «Интернет» не несут ответственность перед правообладателем и перед пользователем за ограничение доступа к информации и/или ограничение ее распространения в соответствии с требованиями настоящего Федерального закона». Это значит, что за небольшим штрафов последует блокировка вашего ресурса. До тех пор, пока вы не отчитаетесь перед Роскомнадзором об использовании отечественных дата-центров, простой обеспечен. Больно? Очень.
««И что делать-то?»
Для начала стоит понять, где находятся сервера ваших дата-центров и определить где собираются и хранятся данные. А дальше действовать, используя вышеперечисленные методы.
Мы за то, чтобы интернет-бизнес в России был честным и работал без перебоев. И мы всегда готовы в этом помочь.
Всегда на страже закона о персональных данных.
Автор статьи – Максим Филиппович, эксперт сервиса по защите бизнеса в интернете
В соответствии с п. 5 статьи 18 152-ФЗ «О персональных данных» оператор обязан обрабатывать и хранить данные граждан нашей страны на территории России. Этот тезис и характеризуется одним термином - локализация.
Прямо говоря, если вы, являясь оператором ПД, собираете данные граждан Российской Федерации, то обрабатывать и хранить эти данные вы обязаны с использованием серверов, находящихся на территории нашей страны. Цель такого требования проста и понятна – храня данные тут, вы не передаете их заграницу во «вражеские» пенаты.
««Да ладно, как и всегда есть куча исключений, наверное?»
Исключения конечно есть. Только вот не уверены мы, что они к вам относятся.
Таким образом под исключения попадают ситуации, когда: - обработка ПД происходит для достижения целей, предусмотренных международным договором Российской Федерации, или для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей) - обработка ПД осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах - обработка ПД происходит при предоставлении государственных или муниципальных услуг - обработка ПД производится для осуществления профессиональной деятельности журналиста, законной деятельности СМИ, научной литературной творческой деятельности, если не нарушаются права и законные интересы субъекта персональных данных Нашли себя? Нет? Тогда продолжаем.
««Ок, а кому это нужно?»
Локализация необходима каждой компании, собирающий и обрабатывающей ПД россиян. Даже, если вы ведете свою деятельность, предположим, с территории Латвии, но при этом ваш интернет-бизнес направлен на граждан России, то вы попадаете под данное требование.
Помимо ситуации с иностранным юридическим лицом, очень часто случается так, что российские компании хранят данные на зарубежных серверах. Это также попадает под нарушение. Интересно, что исходя из практики Роскомнадзор очень легко определяет направленность деятельности сайта на россиян. Есть определенные сигнализирующие нюансы, которые не остаются незамеченными.
Например: - наличие доменного имени, связанного с Российской Федерацией (ru, рф, su, москва, moscow и т.п.); - наличие русскоязычной версии интернет-сайта, созданной владельцем такого сайта; - возможность производить расчеты в российских рублях; - возможность доставки товара, оказания услуги или пользования цифровым контентом на территории России; - использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту. Список, кстати говоря, незакрытый. То есть любые обстоятельства, свидетельствующие о связи с российским рынком могут трактоваться Роскомнадзором как угодно.
««И как быть?»
Итак, самый очевидный вариант – перенести хранение и обработку данных на российские сервера при помощи отечественных дата-центров. Но есть еще несколько вариантов решения этой проблемы. Самый простой способ - передача данных зарубеж в обезличенном виде. Это значит, что персональные данные будут храниться в России, а передаваться зарубеж будут под специальным ID. Таким образом, возможность соотношения данных с субъектом будет нулевая.
Помимо этого, можно использовать российский сервер в качестве посредника. Сначала данные попадают на него, а после уходят за рубеж. Регуляторов такие варианты устраивают, так как требование о первичном сборе данных на территории РФ будет соблюдено. Стоит понимать, что закон не запрещает обрабатывать данные за границей, но обязательным условием должен быть их первоначальный сбор и хранение на территории РФ.
««А что мне будет, если я не буду этого делать?»
А вот тут-то и начинается самое страшное. Сам по себе штраф сравнительно небольшой – до 10 тысяч рублей. Но есть кое-что похуже.
В соответствии с п. 4 статьи 17 ФЗ-149 «Об информации, информационных технологиях и о защите информации»: «Провайдер хостинга, оператор связи и владелец сайта в сети «Интернет» не несут ответственность перед правообладателем и перед пользователем за ограничение доступа к информации и/или ограничение ее распространения в соответствии с требованиями настоящего Федерального закона». Это значит, что за небольшим штрафов последует блокировка вашего ресурса. До тех пор, пока вы не отчитаетесь перед Роскомнадзором об использовании отечественных дата-центров, простой обеспечен. Больно? Очень.
««И что делать-то?»
Для начала стоит понять, где находятся сервера ваших дата-центров и определить где собираются и хранятся данные. А дальше действовать, используя вышеперечисленные методы.
Мы за то, чтобы интернет-бизнес в России был честным и работал без перебоев. И мы всегда готовы в этом помочь.
Всегда на страже закона о персональных данных.
Автор статьи – Максим Филиппович, эксперт сервиса по защите бизнеса в интернете
