+7(499)-938-42-58 Москва
8(800)-333-37-98 Горячая линия

Чего ждать бизнесу от закона о хранении персональных данных?

Содержание

Закон о хранении персональных данных на территории РФ с 1 сентября 2016 года

Чего ждать бизнесу от закона о хранении персональных данных?

Принятый закон «О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях)» затрагивает не только Федеральный закон №152 «О персональных данных» о местах хранения баз данных с персональными данными россиян, но и другие аспекты, относящиеся к законодательству о персональных данных.

В 152-ФЗ изменения коснулись ст. 18 «Обязанности оператора при сборе персональных данных» (оператор при сборе персональных данных россиян, в том числе через интернет, должен хранить их в базах данных, расположенных на территории РФ), а также ст. 22 «Уведомление об обработке персональных данных» (о том, что нужно уведомлять контролирующий орган Роскомнадзор о месте хранения баз данных).

Также в принятом законе Роскомнадзор наделяется полномочиями вести реестр нарушителей прав субъектов персональных данных,  ограничивать доступ к информации, обрабатываемой с нарушением законодательства о персональных данных, возможностью блокировать ресурсы. И, нужно сказать, что формально контролирующий орган уже наделен таким правом по 139-ФЗ. Например,  8 июля Роскомнадзором был заблокирован сайт telkniga.com с номерами сотовых телефонов россиян.

На кого повлияет закон о хранении персональных данных на территории РФ?

Прежде всего, закон должен коснуться крупных российских компаний, хранящих персональные данные за границей. Им необходимо будет переносить свои дата-центры на территорию России, что потребует больших финансовых затрат. Ведь хостинг на зарубежных ресурсах значительно дешевле.

Поэтому можно предположить, что некоторые компании захотят сэкономить и попытаться обойти закон. Например, создавать копии лишь части базы данных и продолжать хранить основную базу за границей. Технически очень сложно определить, что данные хранятся не на территории России.

Отсюда возникает вопрос, каким образом контролирующий орган будет отслеживать выполнение закона, это кажется нетривиальной задачей.

Но многие российские компании, для которых важен имидж, которые стремятся соблюсти все требования законодательства, будут размещать базы данных на территории нашей страны.

Рассмотрим, на кого еще может распространяться принятый закон.

Согласно 152-ФЗ, законодательство о персональных данных распространяется на российских операторов и, в соответствии с разъяснениями Роскомнадзора, на представительства иностранных юридических лиц, ведущих свою деятельность на территории РФ.

То есть на иностранные компании, осуществляющие сбор персональных данных россиян, в том числе с помощью информационно-телекоммуникационной сети «Интернет», действие 152-ФЗ не распространяется.

Если же взять какой-нибудь отель в Турции, на сайте которого происходит сбор персональных данных россиян, то доступ к нему будет ограничен из-за несоблюдения требований нашего законодательства.

Но одно дело, когда это касается сайта какого-то небольшого отеля, а другое — когда речь идет о сайте крупной компании.

Отелю для выполнения российского законодательства не имеет смысла переносить базу данных на территорию РФ с рациональной точки зрения, так как для него это будут слишком большие финансовые затраты.

Но такие корпорации, как Microsoft, IBM, EMC и многие другие, захотят продолжить работать на российском рынке и постараются сохранить клиентов, создавая дата-центры или арендуя уже существующие. И в этом можно увидеть положительный момент: создание дата-центров на территории России повлечет развитие отечественной IT-индустрии.

Как изменится контроль над обработкой персональных данных?

Подписанный закон также вносит изменения в Федеральный закон №294 «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», выводя из-под действия этого закона контроль и надзор за обработкой персональных данных, за соблюдением требований в связи с распространением информации в информационно-телекоммуникационной сети «Интернет». Это значит, что если сейчас Роскомнадзор может прийти в компанию с проверкой только один раз в три года (это регулируется 294-ФЗ), то c вступлением закона в силу с 1 сентября 2016 года он может делать это в любой момент. При этом станет необязательной публикация Роскомнадзором плана проверок на следующий год, и, следовательно, компании даже не будут знать, когда к ним придут с проверкой. Для обычных компаний малого и среднего бизнеса это изменение более существенно по сравнению с изменениями, касающимися хранения персональных данных на территории России.

В последнее время российское законодательство активно меняется, особенно в области персональных данных. И есть вероятность того, что закон, который вступит в силу 1 сентября 2016 года, все же претерпит некоторые изменения. Тем более что сейчас в нем действительно много неясных моментов, помимо перечисленных.

Елена Республиканская , эксперт продукта Контур.Персональные данные

Источник: https://kontur.ru/articles/1017

Чего ждать бизнесу от закона о хранении персональных данных?

Чего ждать бизнесу от закона о хранении персональных данных?

Закон, обязывающий компании размещать персональные данные россиян на серверах на территории РФ, наделал шума. Как этот закон повлияет на бизнес? Что же будет с сервисами, которыми мы сегодня пользуемся?   

Принятый закон «О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях)» затрагивает не только Федеральный закон №152 «О персональных данных» о местах хранения баз данных с персональными данными россиян, но и другие аспекты, относящиеся к законодательству о персональных данных.

В 152-ФЗ изменения коснулись ст. 18 «Обязанности оператора при сборе персональных данных» (оператор при сборе персональных данных россиян, в том числе через интернет, должен хранить их в базах данных, расположенных на территории РФ), а также ст. 22 «Уведомление об обработке персональных данных» (о том, что нужно уведомлять контролирующий орган Роскомнадзор о месте хранения баз данных).

Также в принятом законе Роскомнадзор наделяется полномочиями вести реестр нарушителей прав субъектов персональных данных,  ограничивать доступ к информации, обрабатываемой с нарушением законодательства о персональных данных, возможностью блокировать ресурсы. И, нужно сказать, что формально контролирующий орган уже наделен таким правом по 139-ФЗ. Например,  8 июля Роскомнадзором был заблокирован сайт telkniga.com с номерами сотовых телефонов россиян.

На кого повлияет закон о хранении персональных данных на территории РФ?

Прежде всего, закон должен коснуться крупных российских компаний, хранящих персональные данные за границей. Им необходимо будет переносить свои дата-центры на территорию России, что потребует больших финансовых затрат. Ведь хостинг на зарубежных ресурсах значительно дешевле.

Поэтому можно предположить, что некоторые компании захотят сэкономить и попытаться обойти закон. Например, создавать копии лишь части базы данных и продолжать хранить основную базу за границей. Технически очень сложно определить, что данные хранятся не на территории России.

Отсюда возникает вопрос, каким образом контролирующий орган будет отслеживать выполнение закона, это кажется нетривиальной задачей.

Но многие российские компании, для которых важен имидж, которые стремятся соблюсти все требования законодательства, будут размещать базы данных на территории нашей страны.

Рассмотрим, на кого еще может распространяться принятый закон.

Согласно 152-ФЗ, законодательство о персональных данных распространяется на российских операторов и, в соответствии с разъяснениями Роскомнадзора, на представительства иностранных юридических лиц, ведущих свою деятельность на территории РФ.

То есть на иностранные компании, осуществляющие сбор персональных данных россиян, в том числе с помощью информационно-телекоммуникационной сети «Интернет», действие 152-ФЗ не распространяется.

Если же взять какой-нибудь отель в Турции, на сайте которого происходит сбор персональных данных россиян, то доступ к нему будет ограничен из-за несоблюдения требований нашего законодательства.

Но одно дело, когда это касается сайта какого-то небольшого отеля, а другое — когда речь идет о сайте крупной компании.

Отелю для выполнения российского законодательства не имеет смысла переносить базу данных на территорию РФ с рациональной точки зрения, так как для него это будут слишком большие финансовые затраты.

Но такие корпорации, как Microsoft, IBM, EMC и многие другие, захотят продолжить работать на российском рынке и постараются сохранить клиентов, создавая дата-центры или арендуя уже существующие. И в этом можно увидеть положительный момент: создание дата-центров на территории России повлечет развитие отечественной IT-индустрии.

Как изменится контроль над обработкой персональных данных?

Подписанный закон также вносит изменения в Федеральный закон №294 «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», выводя из-под действия этого закона контроль и надзор за обработкой персональных данных, за соблюдением требований в связи с распространением информации в информационно-телекоммуникационной сети «Интернет». Это значит, что если сейчас Роскомнадзор может прийти в компанию с проверкой только один раз в три года (это регулируется 294-ФЗ), то c вступлением закона в силу с 1 сентября 2016 года он может делать это в любой момент. При этом станет необязательной публикация Роскомнадзором плана проверок на следующий год, и, следовательно, компании даже не будут знать, когда к ним придут с проверкой. Для обычных компаний малого и среднего бизнеса это изменение более существенно по сравнению с изменениями, касающимися хранения персональных данных на территории России.

В последнее время российское законодательство активно меняется, особенно в области персональных данных. И есть вероятность того, что закон, который вступит в силу 1 сентября 2016 года, все же претерпит некоторые изменения. Тем более что сейчас в нем действительно много неясных моментов, помимо перечисленных.

Елена Крюкова, эксперт продукта Контур.

Источник: КонтурОригинал: https://kontur.ru/articles/1017

Источник: http://bishelp.ru/business/upravljaem-biznesom/chego-zhdat-biznesu-ot-zakona-o-hranenii-personalnyh-dannyh

Хранение персональных данных в облаке: что бизнесу нужно об этом знать | Rusbase

Чего ждать бизнесу от закона о хранении персональных данных?

Небольшим компаниям непросто соблюсти все требования закона о персональных данных. Олег Коновалов, руководитель направления облачных сервисов OnCloud.ru компании «Онланта» (входит в группы компаний «ЛАНИТ»), рассказывает, зачем отдавать обработку персональных данных на аутсорсинг и как посчитать стоимость их обработки внутри компании.

Чаще всего компании, предоставляющие услугу обработки персональных данных, – это облачные сервис-провайдеры. Они имеют необходимые ресурсы для обработки и хранения персональных данных: межсетевые экраны, маршрутизаторы, ПО для защиты от несанкционированного доступа, антивирусы, и еще у них есть сотрудники для администрирования средств защиты.

Что именно я отдам на аутсорсинг?

Сценариев может быть несколько.

  • Передать на обслуживание аутсорсинговой компании всю IT-инфраструктуру, в том числе и защиту персональных данных.
  • Передать на обслуживание информационную систему, содержащую персональные данные. Сервис-провайдер разместит ее в защищенном облаке вместе с рабочими местами пользователей этой системы.
  • Разместить в защищенном облаке информационную систему, содержащую персональные данные, а защитой рабочих мест пользователей заниматься самостоятельно.
  • Разместить в защищенном облаке только базу данных с персональными данными.

На рынке наибольшей популярностью пользуются третий и четвертый сценарии – это наиболее простые решения, поэтому и самые тиражируемые.

Они удобны для провайдера, так как у него уже создана и аттестована техническая база под данные услуги, требуется лишь обеспечить доступ заказчиков в инфраструктуру.

Первый и второй сценарии выбирают, как правило, крупные компании с большим бюджетом и специфическими бизнес-задачами.

Чего ждать от сервис-провайдера?

Вы точно можете рассчитывать на партнерство и консультационную поддержку. Что именно делает сервис-провайдер?

  • Дает рекомендации. Нюансов в сфере хранения персональных данных действительно много. Все они связаны со спецификой конкретного бизнеса.
  • Делает расчет необходимых вычислительных мощностей в облаке.
  • Переносит ваши системы на эти мощности.
  • Организует закрытый контур для персональных данных. Закрытый контур – сеть или сегмент сети, защищенный с помощью сертифицированных технических и программных средств. Если закрытый контур в облаке аттестован ФСТЭК и ФСБ, это, как правило, снимает большую часть вопросов при проверке Роскомнадзора.
  • Помогает с подготовкой необходимых документов и внутренних регламентов для работы с персональными данными.

Цена вопроса

Для оценки мы использовали решения компаний «Код безопасности» и Infotecs. Рассмотрим простой вариант: 2-3 сервера в закрытом контуре, 20-30 пользователей, которые подключаются к ним с помощью VPN c ГОСТ-шифрованием.

За помощь в подготовке внутренних распорядительных документов и настройку средств безопасности сервис-провайдер попросит 75-100 тысяч рублей разовым платежом плюс ежемесячные отчисления в размере 15-20 тысяч рублей – за предоставление средств защиты для серверов и рабочих мест пользователя и их администрирование. Стоимость такой услуги из расчета на 3 года, как правило, на 50-100% ниже, чем внедрение решения у себя. Оплачивать эту услугу вы будете на ежемесячной основе по счетам, выставляемым сервис-провайдером.

При самостоятельной организации хранения персональных данных только на оборудование и покупку лицензий уйдет 200-300 тысяч рублей. Трудозатраты и дальнейшая поддержка информационной системы – отдельная статья расходов.

Если задача, которая стоит перед бизнесом, выбивается из данного описания, это не значит, что сервис-провайдер не сможет организовать защиту персональных данных конкретно под ваш кейс, просто потребуется более серьезная проработка решения.

Кто будет нести ответственность?

Закон позволяет передать информационные системы, в которых обрабатываются персональные данные, на аутсорсинг. Cервис-провайдер может взять на себя все технические работы по обработке персональных данных и разделить юридическую ответственность оператора персональных данных.

В ФЗ-152 очень четко определена ответственность. Оператор отвечает непосредственно перед субъектом персональных данных, поэтому каждый сервис-провайдер должен быть оператором персональных данных.

При покупке услуги по их хранению и обработке, помимо основного договора, необходимо заключить договор-поручение. В этом документе один оператор персональных данных (заказчик) поручает другому оператору (сервис-провайдеру) хранение и обработку персональных данных субъектов.

Важно понимать, что, согласно 152-ФЗ, при такой схеме работы сервис-провайдер безусловно несет ответственность за сохранность данных, но с заказчика (первого оператора) никто ответственность не снимает, поэтому нужно очень внимательно подходить к выбору делового партнера.

Кому отдавать персональные данные?

Операторам, которые имеют аттестацию ФСТЭК и ФСБ и работают в рамках ФЗ-152. Поменьше обращайте внимание на красивые презентации от облачного провайдера. Чтобы понять, действительно ли можно доверять сервис-провайдеру, узнайте, аттестован ли закрытый контур, в котором планируется хранить ваши данные.

Хотя аттестация необязательна, ее наличие свидетельствует о том, что решение, которое предлагает сервис-провайдер, соответствует требованиям 21 приказа ФСТЭК (в нем описаны организационные и технические меры по защите персональных данных) и прошло проверку аккредитованным органам по аттестации ФСТЭК.

Где безопаснее хранить персональные данные…

…в облаке или в своей IT-инфраструктуре?

Это очень популярный вопрос.

Безопасность информационных систем (ИС), работающих в облаке, обеспечивают те же аппаратные и программные средства, что и безопасность ИС в ШЕ-инфраструктуре крупного предприятия, владеющего собственным дата-центром и часто своим облаком в этом дата-центре. Такая техническая база обеспечивает максимальную безопасность, но стоит дорого. Для малых и средних компаний подобные технические решения часто неподъемны и по финансовым соображениям, и из-за нехватки специалистов необходимой квалификации.

В облаке стоимость обеспечения информационной безопасности распределяется на большое количество заказчиков. В итоге стоимость услуг несопоставима со стоимостью покупки аппаратных и программных средств для обеспечения такого же уровня безопасности.

Кроме того, на провайдера ложатся все задачи по своевременному обновлению средств информационной безопасности.

За возможные инциденты облачный провайдер несет финансовую ответственность перед заказчиками. Любой сбой или утечка информации тут же становятся известны на рынке, риски потерять клиентов очень высоки.

Будет ли провайдер иметь доступ к персональным данным, которые я храню?

Нет, провайдер не имеет доступа к персональным данным, которые принадлежат вашей компании.

Что в итоге?

Если вы планируете организовать хранение персональных данных с нуля и еще не успели погрузиться в проблему достаточно глубоко, мы рекомендуем обратиться к провайдеру хотя бы для первичной консультации, чтобы вам помогли правильно определить категорию персональных данных и уровень защиты, который требуется обеспечить.

Подводных камней множество, поэтому вам не помешает серьезная экспертиза. Вам вполне могут рассказать то, чего вы не знали, или предложат решение, которое может оказаться дешевле и проще, чем вы представляли.

Рекомендуем ставить задачу сразу перед несколькими провайдерами, а дальше смотреть на предложенные решения и конечную стоимость услуг.

Если вы уже давно обрабатываете персональные данные, но ваше решение не в полной мере соответствует закону, четко определите свой бюджет и условия работы и приходите к провайдеру с конкретным техническим заданием. Внимательно изучите договор-поручение, чтобы понимать, какие риски вы сможете впоследствии переадресовать провайдеру.

Материалы по теме:

Актуальные материалы — в Telegram-канале @Rusbase

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Источник: https://rb.ru/opinion/personalnye-dannye/

Закон о хранении персональных данных простыми словами. Защита персональных данных в России

Чего ждать бизнесу от закона о хранении персональных данных?

Персональные данные – это сведения о том или ином физическом лице. Эту информацию пользователи вводят на различных интернет-серверах ежедневно. В 2015 году подписан закон о хранении персональных данных. Согласно этому акту информация о гражданах РФ может храниться лишь на территории России. Что это значит? И чем грозит несоблюдение этого закона?

Предыстория

Еще в далеком 2006 году был принят ФЗ о персональных данных, призванный регулировать специфические отношения физических лиц с так называемыми операторами. Целью его было обеспечить защиту пользователей интернета от нежелаемой обработки и передачи личных данных третьему лицу.

Оператор – это понятие довольно широкое. Им может быть и государственный орган, и юридическое лицо, и физическое. Оператор – это тот, кто в каких-либо целях вносит личные данные о человеке в свою базу.

Он, разумеется, не имеет права разглашать данные и использовать их в целях, которые неизвестны тому, кто их предоставил. Такие действия неэтичны, а последние десять лет они являются также и незаконными.

С 1 сентября 2015 года, после того как был подписан закон о хранении персональных данных на территории России, оператор больше не вправе пользоваться в своей работе иностранными серверами. Для того чтобы понять, кого в первую очередь касаются подобные изменения и какое они влияние оказывают, следует разобраться с основными понятиями.

Персональные данные

Существует ошибочное мнение, что это понятие означает информацию, которая содержится в паспорте и других важных документах. В действительности персональными данными являются различные сведения о человеке. Это не обязательно может быть номер или серия паспорта. Такими данными являются имя, фамилия, дата рождения, адрес электронной почты.

Таким образом, если владелец бизнеса создает корпоративный сайт, содержащий форму для регистрации посетителей, он становится оператором персональных данных. Пользоваться он полученной информацией может лишь для осуществления той деятельности, о которой известно тем, кто ее предоставил.

Разглашение персональных данных предполагает административную или уголовную ответственность, в зависимости от тяжести преступления.

Конфиденциальность информации

Распространять данные о человеке оператор может лишь с его согласия. Подобные действия неправомерны. Неразглашение персональных данных – важное условие обработки информации. Основные ее принципы содержатся во второй главе закона. Распространять оператор имеет право только те сведения, которые содержатся в общедоступных источниках, например – адресных и телефонных книгах.

Персональные данные можно разделить на общие, биометрические и специальные. Общие содержатся в паспорте, дипломе, военном билете, трудовой книжке. К специальным относится информация о расовой, религиозной, политической принадлежности.

Биометрические данные – это биологические и физиологические особенности человека. К ним же и относятся фото и видеозаписи. Таким образом, передачу подобных файлов третьему лицу можно идентифицировать как разглашение личных данных. Исключением являются групповые фотографии.

Обработка

В законодательных актах встречаются словосочетания, смысл которых может быть не всегда ясен. Одно из них – обработка персональных данных.

Под этим термином понимают действия, которые оператор производит над полученной информацией, а именно персональными данными. Он их накапливает, хранит, уточняет, использует, обезличивает, блокирует и уничтожает. На все это оператор имеет право.

Преступает закон он лишь тогда, когда происходит разглашение персональных данных, то есть передача личной информации третьему лицу.

С 1 сентября 2015 г. введены существенные ограничения в этой сфере деятельности. Закон о хранении персональных данных не позволяет, например, владельцу интернет-сайта хранить полученные данные на иностранных серверах. Даже если он пользуется ими исключительно в благих целях.

Обезличивание

Это действие производится для того, чтобы скрыть принадлежность персональных данных того или иного человека (в законодательном акте он именуется субъектом). Это своего рода защита персональных данных. Способов обезличивания существует несколько:

  • замена части информации;
  • замена цифровых данных:
  • сокращение сведений;
  • распределение сведений на разных серверах.

Субъект

Человек вправе получить доступ к своим персональным данным. Права субъекта персональных данных предполагают возможность физического лица, чьи данные хранятся в базе, требовать от оператора, чтобы он их уточнил, изменил, при необходимости уничтожил. Каждый человек вправе требовать предоставление сведений в том случае, если они не содержат данных других субъектов.

Другие понятия

Все данные о человеке хранятся в базах. С помощью определенных средств они обрабатываются и используются оператором. Эта технология называется информационной системой персональных данных.

Ею сегодня пользуются все, начиная от мелких коммерсантов, заканчивая государственными исполнительными органами. На них же и возложена защита персональных данных.

Контроль соблюдения требований, предусмотренных законодательством, осуществляют Роскомнадзор, ФСБ и ФСТЭК.

Трансграничная передача данных – это передача информации физическому или юридическому лицу иностранного государства.

ФЗ о персональных данных обеспечивает неприкосновенность физического лица, его семейной и личной жизни. Новый закон преследует те же цели, однако создает определенные неудобства для многих операторов.

Хранение данных на территории России

В своей деятельности каждый оператор должен теперь использовать только те базы данных, которые хранятся на территории России. Для чего созданы такие ограничения? Закон, о котором говорилось выше, затрагивает прежде всего безопасность персональных данных. Но ничего не говорится о сфере его действия.

Все области деятельности на территории России должны осуществляться с соблюдением Законодательства РФ. Однако во Всемирной сети любые действия имеют трансграничный и виртуальный характер, что осложняет контроль над работой операторов.

В то же время то, что интернет-сайт доступен жителям России, вовсе не говорит, что на него должно распространяться российское законодательство. Хранение баз данных на российских серверах облегчает контроль над деятельностью операторов.

Закон о хранении персональных данных предусматривает обработку персональных данных лишь на российских интернет-ресурсах. Но здесь существуют и исключения. Они касаются иностранных серверов, направленных на территорию РФ. На такую направленность может указывать русскоязычность сайта или доменное имя.

Однако, поскольку русский язык довольно распространен и за пределами РФ, дополнительно рассматриваются следующие элементы: возможность расчета в российских рублях, заключение договоров на территории РФ. Таким образом, иностранные предприниматели включают в свою бизнес-стратегию российских потребителей.

А действие закона о персональных данных при этом направлено и на их деятельность.

Иностранные серверы

Итак, хранение персональных данных закон теперь допускает лишь на российских серверах. Базы данных, находящиеся за пределами РФ, обрабатываться не могут. Госдума приняла закон об этом запрете. Однако документ этот порождает многие проблемы. И прежде всего трудности касаются предпринимательской деятельности.

Специалисты в области электронных коммуникаций полагают, что это может привести к уходу глобальных интернет-ресурсов, а он, в свою очередь, к существенным экономическим потерям. В первую очередь речь идет о сайтах по бронированию авиабилетов.

Неудобства для предпринимателей

Специалисты полагают, что новый закон негативно отразится на деятельности многих российских компаний. Каждый его нарушитель с 1 сентября 2016 года попадает в черный список Роскомнадзора.

Этот перечень сегодня состоит из пиратских сайтов и сайтов, пропагандирующих незаконную деятельность либо действия, не соответствующие морально-этическим нормам (насилие, суицид, детское порно, экстремизм). Запрет на эти ресурсы вполне понятен.

Но многие предприятия, которые осуществляют абсолютно законную деятельность, возможно, не смогут перенести свои базы на российские ресурсы к указанной дате.

Еще одна цель этого закона – обеспечение безопасности персональных данных от действий американских спецслужб.

Этим государственным структурам иностранные ресурсы обязаны предоставлять всю имеющуюся информацию.

Однако, обеспечив безопасность персональных данных от проникновения сотрудников зарубежных спецслужб, закон создает немало неудобств и проблем для мелких, средних и крупных российских предприятий.

Сервисы для хранения данных

Большинство компаний сегодня осуществляют продажи, прибегая к интернет-маркетингу. Один из основных инструментов – email-рассылка. Владельцы корпоративных сайтов пользуются онлайн-сервисами для информирования своих клиентов о различных мероприятиях, которые проводятся в их компаниях.

Эта схема настолько распространена, что без нее сегодня сложно представить развитие какого бы то ни было бизнеса. Существует все же заблуждение, что владельцы сайтов не являются операторами, поскольку они не хранят персональные данные. Это за них делают специальные онлайн-сервисы.

Но ведь обрабатывает и формирует данные о пользователях именно владелец сайта. А потому он является оператором и в ближайшее время обязан перенести всю имеющуюся у него информацию о пользователях интернета на российские ресурсы.

Сделать это непросто, и подобные действия, прежде всего, сопряжены с немалыми финансовыми затратами.

Обратная сила закона

Устоявшиеся правовые принципы предполагают, что уже имеющиеся у операторов базы персональных данных, созданные до даты подписания закона, не являются нарушением. Однако использование персональных данных предполагает их обновление и изменение. Закон же гласит, что обрабатывать эту информацию оператор теперь вправе лишь на российском сервере.

Сбор информации

Оператор обязан осуществить локализацию всех данных на российском сервере. И эти действия, согласно формулировке в законе, тесно связаны со сбором персональных данных. Этот термин используется для обозначения целенаправленного получения информации о физических лицах.

Ее, как правило, предоставляет сам пользователь интернета. Но нередко случается, что данные попадают случайно. Например, в результате получения различных писем. Сбором информации также не являются данные об одном юридическом лице, полученные другой организацией.

Такая информация является контактной, и ее обработка необходима для осуществления совместной деятельности.

Передача данных за пределы РФ

Закон не затрагивает трансграничную передачу данных. Положения, которые были сформулированы еще в 2006 году, не утратили своей силы.

А потому операторы, как и прежде, вправе передавать данные, внесенные в базу, созданную на территории РФ, в другие, находящиеся за рубежом. Однако такие действия требуют соблюдения определенных норм.

Прежде всего, оператор должен убедиться в том, что страна, на территорию которой будет осуществляться передача данных, обладает адекватной защитой личной информации пользователей интернета.

Влияние нового закона на банковскую сферу

Многие покупки сегодня осуществляются через интернет. Покупатель часто оплачивает товары банковской картой. Сотовые компании и платежные системы находятся, как правило, на иностранных серверах. Российская платежная система пока отсутствует. И без нее соблюдать закон будет непросто.

Однако некоторые крупные компании все же хранят информацию на территории РФ. А обмениваясь данными с иностранными партнерами, они прибегают к обезличиванию.

Дата-центр

В настоящий момент в Московской области строится новый дата-центр, который станет самым крупным в России. В этот проект инвестируют средства крупные компании, поскольку они не могут недооценивать важность хранения персональных данных. Однако эти работы сопряжены с некоторыми трудностями. Построить быстро дата-центр невозможно.

Специалисты полагают, что новый закон необходимо дорабатывать. Иначе он не сможет действовать в полную силу. Главным его недостатком является очередной запрет, от которого особенно может пострадать малый и средний бизнес. А эта область сегодня и без того находится в довольно плачевном состоянии. Так или иначе, у нового закона немало противников, но есть и те, кому он не страшен.

Источник: http://fb.ru/article/228449/zakon-o-hranenii-personalnyih-dannyih-prostyimi-slovami-zaschita-personalnyih-dannyih-v-rossii

Хранение персональных данных на территории РФ

Чего ждать бизнесу от закона о хранении персональных данных?

C 1 сентября 2015 года в Российской Федерации начинало действовать положение о локализации хранения и отдельных процессов обработки персональных данных , определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»

Для того, чтобы понять, что можно делать, а что нельзя, мы подготовили данный материал.

Итак, о чем же говорит закон?

Полный текст закона Вы можете прочитать здесь.

Что нельзя делать?

  • Полностью хостить сайт, содержащий персональные данные, вне территории Российской Федерации, без принятия дополнительных мер.
  • Предоставлять прямой доступ с российского сайта в зарубежные информационные системы, если персональные данные предварительно не зафиксированы в базе на территории Российской Федерации.
  • Напрямую использовать по схеме Saas приложения, обрабатывающие персональные данные и находящиеся за пределами РФ, без принятия дополнительных мер.

Не накладывается никаких ограничений на передачу персональных данных после их сбора и записи в базу данных на территории России, в том числе – на трансграничную передачу, предоставление к ним доступа с территории иных государств, а также на использование персональных данных граждан РФ после их трансграничной передачи, включая использование данных из информационных систем, находящихся за пределами РФ.

Закон в новой редакции не устанавливает новых, дополнительных ограничений на трансграничную передачу персональных данных, не вводит запрет на обработку персональных данный в дата-центрах и облачных инфраструктурах, находящихся вне территории Российской Федерации, за исключением периода их сбора.

Административная ответственность

Статья 13.11 Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:

  • На граждан в размере от 300 до 500 рублей;
  • На должностных лиц – от 500 до 1 тысячи рублей;
  • На юридических лиц – от 5000 до 10 000 рублей.

Что можно делать?

Не стоит забывать о том, что ограничения на размещение баз персональных данных вводятся на период сбора (внесения изменений) персональных данных и не затрагивают их последующей обработки после завершения сбора (внесения изменений).

Ограничения касаются только персональных данный граждан Российской Федерации и не касаются персональных данных граждан других государств и лиц без гражданства.

Что делать, чтобы выполнить закон?

  • Обеспечить первичное размещение баз данных, в которые собираются персональные данные граждан России, на технических средствах, целиком располагающихся на территории Российской Федерации;
  • Обеспечить уточнение, обновление, изменения, извлечение персональных данных в этих базах сначала на территории России и лишь затем передавать их за рубеж при необходимости;
  • Применять те же правила в отношении персональных данных граждан, чье гражданство неизвестно или установить его нельзя.

На территории России всегда должна быть актуальная база персональных данных, используемых российским оператором персональных данных в своей деятельности.

Есть два варианта:

  • Перестроить архитектуру информационной системы и обеспечить первичную запись, хранение и актуализацию персональных данных в базах на территории России. Хранение и использование копий баз с персональными данными в зарубежных сервисах, таких как Microsoft Azure или Office365, не нарушает закон.

или

  • Хранить данные в информационной системе за рубежом в зашифрованном виде, а расшифровывать данные только в приложении, находящимся на территории России.

Следует помнить, что зашифрованный массив данных без ключа у провайдера – не персональные данные!

Как использовать облачные продукты компании Microsoft?

  1. Необходим локальный AD компании, в который заносятся персональные данные сотрудников.

    Локальный – размещенный на территории Российской Федерации, в том числе в любом российском облаке.

  2. Использовать службу синхронизации каталогов Office 365 (DirSync) для синхронизации учетных записей (без поддержки функциональности единого входа SSO).
  3. Использовать службу федерации Active Directory (ADFS) для поддержки функциональности единого входа SSO

СЭД/ЕСМ система DocSpace поддерживает схемы развертывания без нарушения требований ФЗ-242 как при локальной установке, так и при использовании в облаках: Azure, хостинг в России или за рубежом, гибридные облака.

Программное обеспечение компании Conteq соответствует всем требованиям закона. Вам остается только сосредоточится на своих задачах. О соблюдении закона позаботимся мы.

Обязательно ли для англоязычного сайта нужен английский хостинг? Может, можно обойтись какой-нибудь другой страной? В чем будут состоять особенности выбора и какие особенности стоит учитывать при этом?

Зарцын и партнеры

Эти и многие другие вопросы неизбежно встают перед владельцем англоязычного ресурса.

В настоящее время немало компаний предлагают выделенные сервера, расположенные за рубежом. Например, можно перейти по адресу и ознакомиться со всеми преимуществами и условиями предложений из Европы.

Преимущества услуг зарубежных компаний

Все больше и больше компаний стремятся иметь сервера на территории Европы. И тому есть как субъективные, так и вполне объективные причины. Отвечая для себя на вопрос, как выбрать провайдера, каждый должен решить: действительно ли все доводы являются объективно важными для самого пользователя, либо выбор обусловлен некими личными предпочтениями и убеждениями.

Тем не менее, вот несколько вполне объективных доводов в пользу заграничного хостинга для англоязычного сайта:

  • Прекрасный уровень сервисной поддержки и грамотный персонал, который действительно может и хочет помочь, а не отписывается от клиента в духе «мы работаем над вашим вопросом». Пока для большинства российских компаний такое, увы, недостижимо;
  • Улучшенная стабильность и скорость соединения. В случае же с американскими серверами, то здесь – в силу расстояний – скорость не всегда стабильна. Поэтому, например, хостинг в Германии будет гораздо предпочтительнее, чем в США;
  • Более качественное оборудование;
  • Если же принять во внимание то, что ценовая политика многих российских провайдеров базируется на принципе «подоить клиента», то аренда за границей будет в самом деле выгоднее. Особенно в случае с виртуальным облачным хостингом, который и сам по себе дешевле, нежели хостинг физический.

Недостатки хостинга за границей

В целом, зарубежный хостинг имеет весьма субъективные недостатки, которых может и не быть в случае с другими пользователями. И к одним из них принадлежит языковой барьер.

Ведь в процессе аренды придется вести переписку с владельцем сервера, настраивать оборудование и ПО… Понятно, что без знания хотя бы английского языка (а еще лучше – той страны, на территории которой расположен сервер) все это будет весьма затруднительно.

К тому же, выбирая хостинг в Европе, пользователь должен быть готовым к тому, что придется поначалу испытывать некоторые затруднения с конвертацией валют и при выборе оптимального варианта производства финансовых операций.

Подводя итог, можно утверждать, что наилучшим вариантом для хостинга англоязычного ресурса будет облачный сервер выделенного типа где-нибудь в Европе. Например, все в той же Германии.
Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.