Закон о переносе данных

Перенос персональных данных россиян на отечественные интернет-серверы могут ускорить

Процесс переноса персональных данных россиян на интернет-серверы РФ могут ускорить. Соответствующий законопроект 1 , разработанный группой депутатов, внесен в Госдуму.

Предлагается изменить дату вступления в силу Федерального закона от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», сместив ее на 1 января 2015 года вместо намеченного 1 сентября 2016 года.

Напомним, что документ устанавливает обязанность хранения на территории России персональных данных россиян, используемых интернет-сервисами. Так, операторы информационных систем должны обеспечить нахождение на территории РФ баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ. Исключения установлены для персональных данных, обрабатываемых для достижения целей международных договоров РФ, для осуществления правосудия и исполнения судебного акта, для исполнения полномочий предоставляющих государственные и муниципальные услуги органов власти и организаций, для осуществления профессиональной деятельности журналиста или законной деятельности СМИ, научной, литературной или иной творческой деятельности (без нарушения прав и законных интересов субъектов персональных данных).

Кроме того, гражданам России предоставлено право требовать удаления своих персональных данных, если они размещены в Интернете с нарушением законодательства. Такое право россияне смогут реализовать через суд.

Также законом предусмотрено создание Реестра нарушителей прав субъектов персональных данных, в котором предполагается отражать:

• доменные имена или указатели страниц сайтов в Интернете, содержащих информацию, обрабатываемую с нарушением законодательства РФ в области персональных данных;
• сетевые адреса, позволяющие идентифицировать сайты в Интернете, содержащие информацию, обрабатываемую с нарушением законодательства РФ в области персональных данных;
• указание на вступивший в законную силу судебный акт;
• информацию об устранении нарушения законодательства РФ в области персональных данных;
• дату направления операторам связи данных об информационном ресурсе для ограничения доступа к нему.

Как отмечается в пояснительной записке к документу, скорейшее введение указанных норм будет способствовать более оперативному и эффективному обеспечению прав российских граждан на сохранность персональных данных и соблюдение тайны переписки в информационно-телекоммуникационных сетях.

www.garant.ru

Google и Apple начали перенос данных россиян на серверы в РФ

Об этом сообщает Роскомнадзор, ссылаясь на неофициальную информацию

Москва. 21 декабря. INTERFAX.RU – Google и Apple работают над переносом персональных данных своих российских пользователей на серверы в Россию, сообщил журналистам глава Роскомнадзора Александр Жаров в кулуарах форума «Интернет-Экономика 2015».

«По информации, что называется, «below the line», то есть неофициальной, мы знаем, что Google и Apple ведут работы по локализации баз данных на территории РФ», — сказал он.

«Про Facebook и Twitter пока ничего сказать не могу, но придет время, будем их проверять и выясним это», — добавил он.

Ранее сообщалось, что Facebook один раз обсудил с Роскомнадзором вопрос локализации данных россиян в конце августа, однако о результатах встречи ни ведомство, ни компания рассказать не пожелали.

В ноябре замруководителя Роскомнадзора Антонина Приезжева говорила, что к тому моменту о локализации персональных данных граждан РФ отчиталось 5,4 тыс. операторов, в числе которых и крупные игроки этого рынка — Samsung, PayPal, ChronoPay.

До конца года Роскомнадзор должен был провести более 300 проверок операторов на соответствие закону. По словам Приезжевой, к ноябрю было проведено 100 проверок, и при этом нарушителей требований законодательства о локализации персональных данных выявлено не было.

Новый закон о персональных данных вступил в силу в сентябре. Согласно закону, любая российская или зарубежная компания, ориентированная на работу с российскими пользователями, должна обеспечивать запись, систематизацию, накопление, хранение, уточнение персональных данных россиян с использованием баз данных, находящихся на территории РФ.

В обновленном законе пересмотрено само понятие персональных данных. Теперь это не только ФИО и, например, адрес и год рождения, а любая информация, относящаяся к определяемому ею физлицу.

За соблюдением этих норм будет следить Роскомнадзор, которому поручено создание реестра нарушителей законодательства о персональных данных, а также дано право блокировать сайты тех компаний или организаций, которые включены в этот реестр. Решение о включении компании в реестр нарушителей принимает суд. Помимо этого суд может оштрафовать компанию-нарушителя на сумму до 300 тыс. рублей.

Разблокирование интернет-ресурса осуществляется Роскомнадзором также по решению суда или по сообщению хостинг-провайдера или владельца ресурса об устранении нарушения.

www.interfax.ru

Роскомнадзор не располагает позицией Facebook о переносе данных пользователей в Россию

Росокомнадзор не располагает официальной позицией социальной сети Facebook о переносе данных российских пользователей на территорию России, сообщил RNS представитель Роскомнадзора Вадим Ампелонский.

«Сегодня во время общения руководителя Роскомнадзора с журналистами информагентств была затронута тема исполнения российского законодательства международными интернет-гигантами. В том числе, исполнения компанией Facebook требования о локализации баз с персональными данными россиян на территории России. Александр Александрович подчеркнул, что Роскомнадзор взаимодействует с Facebook, хотя и не располагает официальной позицией компании по данному вопросу. В 2017 году никаких контрольных мероприятий в отношении деятельности Facebook в России не запланировано. Александр Жаров добавил, что Facebook располагает в России значительной аудиторией, но при этом не является уникальным ресурсом. Роскомнадзор учитывает это при взаимодействии с компанией, оставляя приоритетом собственной деятельности неукоснительное соблюдение российского законодательства всеми без исключения участниками рынка», — сказал Ампелонский.

Ранее глава Роскомнадзора Александр Жаров заявил, что Facebook будет заблокирована в России, если социальная сеть не исполнит требования российского закона о хранении персональных данных россиян на территории РФ. «Закон обязателен для всех, и поэтому сомнений нету — в любом случае мы либо добьемся того, чтобы закон был исполнен, либо компания прекратит работу на территории РФ, как, к сожалению, произошло с LinkedIn. Тут исключений нет», — сказал Жаров, слова которого передало «РИА Новости».

Глава Роскомнадзора отметил, что Facebook продолжает говорить ведомству, что рассматривает, как исполнить закон: «Официальных писем к нам от них не поступало. У нас в планах проверок по этому направлению до конца 2017 года Facebook нет, а в 2018 году подумаем».

m.rns.online

Закон о переносе данных

Фраза «уж сколько раз твердили миру» наверно идеально подходит под описание ситуации с защитой персональных данных и их переноса в Россию. За прошедшее с начала обсуждений проблем в этой области время казалось бы обсуждено все. И тем более юристы должны уметь читать законы.

Увы. Посещение очередной конференции развеяло для меня этот миф, в связи с чем я предлагаю в копилку Хабражителям ответы на типовые вопросы в области переноса данных.

Как передать ответственность за обработку персональных данных?

Почему-то забывают, что Федеральный закон от 21.07.2014 № 242-ФЗ не является законом сам по себе. Он лишь вносит изменения в:

• Федеральный закон от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации»
• Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных»
• Федеральный закон от 26 декабря 2008 года N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей

Поэтому, говоря от защите персональных данных, нужно оперировать положениями 152-ФЗ. В соответствии с 152-ФЗ:

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Таким образом ответственность перед субъектом в любом случае остается на операторе — компании, получившей согласие субъекта персональных данных на их обработку. В общем даже выделение части сотрудников в иное юрлицо не спасет ситуацию, поскольку данные все равно продолжат обрабатываться в компании — ведь с этими сотрудниками сохранятся деловые взаимодействия.

… Роскомнадзор… защищенный канал/шифрование

Очень много вопросов касается мер защиты. И это естественно. Но почему-то единственной точкой приложения считается Роскомнадзор. Опять-же согласно 152-ФЗ имеется три регулятора, каждый из которых имеет свою зону ответственности.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

А это у нас ФСТЭК РФ и ФСБ РФ, где последняя отвечает за шифрование.

Как нам выполнить требование о переносе серверов?

В текущей редакции 149-ФЗ гласит:

7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

И соответственно 152-ФЗ:

5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети „Интернет“, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона

Здесь важно, что в определении используется формулировка „с использованием“. Вариантов толкования много. В принципе под него попадет даже параллельно работающий сервер. Но обычно определение толкуют в смысле. что:

1. Сбор и хранение данных должны осуществляться на территории РФ, а вот обработка может быть где угодно
2. За рубежом же можно хранить и копии данных — к которым и будут идти обращения при обработке

Здесь и далее иллюстрации брались из материалов конференции.

Минимизировать риск нарушения закона позволяет внимательное его чтение

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

Ответственность перед субъектом в любом случае останется на операторе, но вот меры защиты (вместе ответственностью за их исполнение) могут быть перенесены на третью сторону. В соответствующем договоре должны быть прописаны цели обработки данных, требования по их защите и тд

Отдельный вопрос — необходимость уведомления Роскомнадзора компанией, которой передают данные на обработку вместе с ответственностью за их защиту. Теоретически такой компанией может быть некая специализированная компания, предоставляющая выполнение требований закона как услугу. Но она в общем случае не может знать, что от нее потребует следующий клиент — а уведомлять Роскомнадзор до начала обработки в случае каждого договора… Наиболее интересный вариант из 152-ФЗ гласит, что

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

Этот вариант возможен только в случае трехстороннего договора, одной из сторон которого является субъект персональных данных.

m.habr.com

Закон о переносе в Россию серверов с данными россиян прошёл первое чтение

Законопроект, обязывающий интернет-компании хранить данные россиян на территории России, приняли в первом чтении. Об этом сообщает Slon.ru.

Вадим Деньгин

За закон о хранении персональных данных россиян внутри страны проголосовали 342 депутата, а 9 высказались против. В случае, если его примут во всех трёх чтениях, он вступит в силу в 2016 году.

По инициативе депутатов от ЛДПР Вадима Деньгина и Андрея Лугового, все интернет-компании, в том числе иностранные, должны будут не только хранить базы данных на территории России, но и указывать их конкретное расположение. Деньгин уверен, что сейчас данные россиян уходят на зарубежные серверы, где к ним имеют доступ спецслужбы США.

По мнению депутата, 2016 год — достаточный срок, чтобы иностранные компании успели перенести свои серверы в Россию. Тех же, кто будет нарушать этот закон, предлагается блокировать на территории страны.

Деньгин объяснял газете «Взгляд», что его заботят в том числе данные, которые пользователи загружают в соцсети.

Инициатива заключается в том, чтобы все личные данные граждан Российской Федерации, которые они оставляют в социальные сетях: и паспортные, и личные данные о себе, и фотографии — хранились в серверах, находящихся на территории Российской Федерации. Таким образом, мы беспокоимся за безопасность личных данных граждан Российской Федерации и не нарушаем абсолютно никакого законодательства и уж тем более морально-этических норм. Вадим Деньгин, депутат

Законопроект был внесён в Думу 24 июня. Он предполагает, что ведением реестра компаний, не соблюдающих закон и подлежащих блокировке, должен заниматься Роскомнадзор.

tjournal.ru