Что такое личные данные гражданина

Рубрики Вопрос юристу

Рекомендации в сфере персональных данных

С 1 июля 2017 года штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей (сейчас максимальный штраф составляет 10 тыс.руб.). В этой связи Центр защиты прав СМИ подготовил актуальные рекомендации для операторов персональных данных.

Кто является оператором персональных данных?

Это любая организация или гражданин, которые обрабатывают персональные данные. Под непонятным словом «обработка» следует понимать любые действия, совершаемые с персональными данными, а именно сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

В сфере медиа операторами персональных данных будут считаться редакции СМИ, издательские дома, типографии, владельцы интернет-ресурсов и др.

Что является персональными данными?

Это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

В соответствии с Законом о персональных данных, понятие «персональных данных» сформулировано предельно широко, что позволяет относить к ним практически любую информацию о конкретном индивиде, начиная от его анкетных данных (Ф.И.О., паспортные данные, местожительство, дата рождения и т.п.), и заканчивая более общими сведениями, из которых можно идентифицировать лицо (фотографии с изображениями гражданина, записи в блогах и социальных сетях, содержащие личную информацию и т.п.).

Что изменится после 1 июля?

Основной и наиболее распространенной формой ответственности за нарушение положений законодательства о персональных данных является административная ответственность. За нарушение порядка сбора, хранения, использования или распространения персональных данных граждан согласно ст. 13.11 КоАП РФ предусмотрен административный штраф, максимальная сумма которого составляет 10 тыс. руб.

Однако с 1 июля 2017 вступят в силу изменения, которые значительно увеличат суммы штрафов. Кроме того, если сейчас за любое нарушение Закона о персональных данных полагается административный штраф до 10 тыс. руб., то с июля штрафы будут дифференцироваться по суммам в зависимости от вида нарушения.

Суммы штрафов при этом увеличили в десятки раз. Например, если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию — на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юрлица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч. Если нарушений несколько, то и штрафов будет несколько.

Что должен делать оператор для соблюдения Закона о персональных данных?

Чтобы обрабатывать легитимно персональные данные граждан необходимо реализовать в организации все меры защиты личной информации, предусмотренные законом. И здесь всё достаточно непросто. Закон о персональных данных в ст. 18.1 приводит неисчерпывающий перечень мер, направленных на обеспечение соблюдения оператором законодательства о персональных данных (например, оценка вреда, который может быть нанесён субъекту ПД, внутренний аудит соблюдения законодательства по обработке и др.). Более того, Закон о персональных данных предусматривает обширное подзаконное регулирование, которое, в свою очередь, отдает его детализацию на откуп регуляторам (в частности, ФСБ России и ФСТЭК России). В целом можно сказать, что обеспечение соответствия используемой оператором системы обработки персональных данных техническим требованиям является весьма трудозатратным и дорогостоящим процессом, который может потребовать помощи специализированных организаций и консультантов.

Однако в силах операторов реализовать организационно-технические меры защиты, которые заключаются в принятии множества локальных документов, регулирующих процесс обработки. К таковым, например, относятся Положение о защите персональных данных субъектов, Положение об архиве, Акты классификации информационных систем и другие документы.

Надо ли кого-то уведомлять о том, что вы обрабатываете персональные данные?

Оператор до начала обработки персональных данных должен направить в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных, на основании которого он ведет общедоступный реестр операторов персональных данных. Далеко не все операторы обязаны уведомлять Роскомнадзор об обработке. Есть исключения, когда это делать не обязательно, например, в случае, если сбор, использование или хранение персональных данных граждан осуществляется только в связи с трудовыми отношениями. Подробнее об исключениях вы можете прочитать в ст. 22 Закона о персональных данных.

Юридическая служба Центра защиты прав СМИ

Что такое личные данные гражданина

ЧТО ОТНОСИТСЯ К ПЕРСОНАЛЬНЫМ ДАННЫМ, ОБЩЕДОСТУПНЫЕ, В ТОМ ЧИСЛЕ БАЗЫ ДАННЫХ, КАТЕГОРИИ

В настоящем материале анализируется понятие персональных данных, раскрываются случаи и условия создания общедоступных источников персональных данных и приводятся случаи, когда допускается обработка специальных категорий персональных данных.

Прежде напомним, что вопросы, связанные с обработкой и защитой персональных данных регламентируют следующие нормативные акты:
— Федеральный закон от 27.07.2006 г. N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ).
— глава 14 «Защита персональных данных работника» Трудового кодекса РФ (далее — ТК РФ).
Положения Закона N 152-ФЗ касаются всех без исключения организаций, поэтому важно иметь представление об основных требованиях, которые он устанавливает.
Необходимо отметить, что нормы Закона N 152-ФЗ не распространяются на отношения, возникающие при:
• обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
• организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
• обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
Предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей персональные данные, ведение и использование информационных систем и информационно-телекоммуникационных сетей в целях создания условий для доступа к указанной информации осуществляются в соответствии с Федеральным законом от 22.12.2008 г. N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».
Под персональными данными, как следует из статьи 3 Закона N 152-ФЗ, подразумевается любая информация прямо или косвенно относящаяся к субъекту персональных данных (то есть физическому лицу). Таким образом, персональные данные — это персонализированная информация, которая позволяет однозначно определить, о каком именно лице идет речь.

Обратите внимание. Доступ к полному содержимому данного документа ограничен.

В данном случае предоставлена только часть документа для ознакомления и избежания плагиата наших наработок.
Для получения доступа к полным и бесплатным ресурсам портала Вам достаточно зарегистрироваться и войти в систему.
Удобно работать в расширенном режиме с получением доступа к платным ресурсам портала, согласно прейскуранту.

Персональные данные. Представление интересов в Роскомнадзоре, в суде

С 1 июля 2017 года вступили в силу изменения в статью 13.11 КоАП РФ. Эта статья устанавливает ответственность за несоблюдение законодательства о персональных данных на сайтах. Ранее предусматривался только один состав правонарушения – нарушение законодательства о персональных данных. Однако вступившими в силу поправками этот перечень расширен до 7 пунктов. Существенно увеличился и размер штрафов.

ИНТЕЛЛЕКТ-С предлагает услуги аудита обработки персональных данных в вашей компании и разработки для вас пакета документов по защите персональных данных. Это позволит избежать возникновения претензий к вам со стороны Роскомнадзора. Если же проведенная Роскомнадзором проверка выявила какие-либо нарушения, юристы помогут оспорить результаты проверки или минимизировать ее последствия для вашей компании.

Мы проконсультируем вас по любым вопросам, касающимся юридических аспектов обработки персональных данных.

  • Правовой аудит сайтов при обработке персональных данных.
  • Аудит организации обработки персональных данных в компаниях.
  • Разработка индивидуального пакета документов по защите персональных данных в компаниях, в том числе политики обработки персональных данных, формы согласия на обработку персональных данных, модели угроз, положений, инструкций, приказов и т.п.
  • Определение необходимости направления уведомления в Роскомнадзор для включения в реестр операторов, осуществляющих обработку персональных данных.
  • Сопровождение плановых и внеплановых проверок Роскомнадзора в области защиты персональных данных.
  • Оспаривание результатов проверок Роскомнадзора в суде.
  • Юридические консультации по использованию персональных данных в деятельности СМИ.

Что такое личные данные гражданина


Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу , в том числе:
— его фамилия, имя, отчество,
— год, месяц, дата и место рождения,
— адрес, семейное, социальное, имущественное положение, образование, профессия, доходы,
другая информация (см. ФЗ-152 , ст.3).
Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.
В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласия физического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152 , ст.8).
Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.

Что такое оператор и субъект персональных данных?


Оператор персональных данных — это, как правило, организация, а точнее — государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Субъект персональных данных — это физическое лицо.
Оператор несет ответственность за защиту персональных данных субъекта в соответствии с действующим законодательством РФ.

Как классифицировать информационную систему персональных данных?

Объем 3
( 100 000,
субъект Федерации)

Категория 4 (обезличенные, общедоступные)

Категория 3 (идентификационные)

Категория 2 (идентификационные и еще)

Категория 1 (медицинские, социальные)

См. Порядок проведения классификации информационных систем персональных данных, введенный Приказом ФСТЭК (Федеральная служба по техническому и экспортному контролю) России, ФСБ России, Мининформсвязи России N 55/86/20 .

Судный день отсрочен до 1 января 2011 года


Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона РФ № 152 «О персональных данных», должны быть приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2010 года (см. ФЗ-152, ст.25).
Это означает, что операторы персональных данных, не сумевшие выполнить весьма жесткие требования ФЗ-152, с 1 января 2010 г. понесут соответствующую гражданскую, административную, дисциплинарную, а может быть (не дай Бог) и уголовную ответственность .
Все информационные системы, уже принятые в эксплуатацию после февраля-апреля 2008 г. (с момента рассылки методических документов ФСТЭК России и ФСБ России), но не соответствующие требованиям российского законодательства в области персональных данных, могут понести указанную ответственность и ранее, например, завтра утром.
Примечание. Изменения в УК РФ, существенно ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни, тоже вступят в силу с 1 января 2010 года.

ДОПОЛНЕНИЕ :
Но как всегда случается, операторы персональных данных особо не шевелились, и мало кто успел сделать все, что требуется. 16 декабря 2009 г. Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год – до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.

Обязательные требования по защите информационных систем персональных данных


Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:
Для ИСПДн класса 4:
Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)
Для ИСПДн класса 3:
• декларирование соответствия или обязательная аттестация по требованиям безопасности информации
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)
Для ИСПДн класса 2:
• обязательная аттестация по требованиям безопасности информации
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем
Для ИСПДн класса 1:
• обязательная аттестация по требованиям безопасности информации
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации

Порядок действий по защите информационной системы персональных данных


Последовательность действий при выполнении требований законодательства по обработке персональных данных:
1) Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации;
2) Предпроектное обследование информационной системы — сбор исходных данных;
3) Классификация системы обработки персональных данных;
4) Построение частной модели угроз с целью определения их актуальности для информационной системы;
5) Разработка частного технического задания на систему защиты персональных данных;
6) Проектирование системы защиты персональных данных;
7) Реализация и внедрение системы защиты персональных данных;
8) Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований;
9) Аттестация (сертификация) по требованиям безопасности информации;
10) Повышение квалификации сотрудников в области защиты персональных данных;
11) Сопровождение (аутсорсинг) системы защиты персональных данных.

Когда аттестация и сертификация обязательна?


Аттестация информационных систем по требованиям безопасности информации обязательна:
— для ИСПДн, в случае отнесения персональных данных к государственному информационному ресурсу (см.«Специальные требования и рекомендации по технической защите конфиденциальной информации», Гостехкомиссия России, 2001 г.) ;
— в остальных случаях — для ИСПДн 1, 2 и 3 классов.
Для ИСПДн 3 класса по решению оператора процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», ФСТЭК России, 2008 г., п.3.11). К сожалению, в настоящее время процесс декларации соответствия не регламентирован.
Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия (см. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п.5), включая сертификацию на соответствие требованиям по безопасности информации (см. «Основные мероприятия по организации. », п. 3.3).
При этом, для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение), должна быть проведена в том числе сертификация на отсутствие недекларированных возможностей (см. «Основные мероприятия по организации. », пп. 4.2, 4.3).
Примечание:
1) Операторы ИСПДн при проведении мероприятий по обеспечению безопасности персональных данных (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.
2) Заявители на сертификацию средств защиты информации (разработчики СЗИ, ИСПДн или операторы персональных данных) должны иметь лицензию на осуществление деятельности по разработке и/или производству средств защиты конфиденциальной информации.

ДОПОЛНЕНИЕ :
В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.

Ответственность за нарушения по обработке персональных данных


Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут:
— гражданскую,
— уголовную (см. Уголовный кодекс Российской Федерации, ст.137, 140, 155, 183, 272, 273, 274, 292, 293),
— административную (см. Кодекс Российской Федерации об административных правонарушениях, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),
— дисциплинарную (см. Трудовой кодекс Российской Федерации, ст.81; ст.90; ст.195; ст.237; ст.391)
и иную предусмотренную законодательством РФ ответственность (см. подзаконные акты по работе с персональными данными, которые издаются в субъектах РФ, ведомствах и организациях).

Аббревиатуры используемые в статье:
ФСТЭК — Федеральная служба по техническому и экспортному контролю.
ПЭМИН — Побочные Электромагнитные Излучения и Наводки

Что такое личные данные гражданина

После изменения российского законодательства, регулирующего хранение и обработку персональных данных, следом за введением принципа локализации баз персональных данных и блокировкой LinkedIn среди ИТ-специалистов все чаще возникают вопросы о том, какую информацию можно держать на зарубежных серверах.

Поспешим успокоить наших свободолюбивых читателей: хранить персональные данные за пределами России все еще разрешено, но с оговорками. И если вы хотите соблюдать российское законодательство и, вместе с тем, обезопасить данные от возможных административных атак недоброжелателей — этот пост для вас. Мы сформулировали основные «правила игры», в соответствии с которыми сегодня осуществляется хранение и трансфер персональных данных граждан Российской Федерации за границу.

Персонализируй это: что подразумевается под термином «персональные данные»

Понять, чего именно требует российское законодательство, нелегко. Минкомсвязи, правда, подготовило памятку по основным вопросам обработки персональных данных, но ясной и доходчивой ее не назовешь (обращаем ваше внимание, что по данной ссылке любой желающий может задать уточняющий вопрос экспертам министерства, не стоит пренебрегать этой возможностью). Начнем хотя бы с вопроса о том, что такое «персональные данные». Как люди культурные мы должны сперва определить предмет разговора.

В российском законе о персональных данных сказано следующее:

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»
Это калька со статьи 2 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. Но, в отличие от соответствующей бумаги, данная формулировка не прозрачна. И столь же не современна, как калька. О какой именно информации идет речь?

Минкомсвязи и Роскомнадзор избегают уточнять понятие «персональные данные», ссылаясь на отсутствие полномочий. Позиция ведомственных теоретиков от юриспруденции в этом случае сводится к известной шутке: «два юриста — три мнения». Так что желающим разобраться в вопросе на практике приходится самостоятельно изучать юридическую практику и принимать решения на свой страх и риск.

Первое, что бросается в глаза, — закон «О персональных данных» защищает только физических лиц. При этом информация о них (с точки зрения закона) становится «персональными данными» только в случае, если ее можно с уверенностью соотнести с конкретным человеком.

Как много и какие именно сведения необходимо собрать, чтобы они стали персональными данными, вопрос спорный. В странах Евросоюза персональными данными может стать практически любая информация, если она позволяет как-либо выделить человека, например, из массы пользователей сайта.

Хорошей аналогией тут будет детективная работа. Как только информации становится достаточно, чтобы указать на преступника, она превращается в персональные данные, даже если сыщик не знает настоящего имени того высокого джентльмена, что единственный из подозреваемых курит трубку.

Показателен в этом плане и вступающий в силу с 25 мая 2018 года регламент N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС».
В нем под термином «персональные данные» также понимается любая информация, относящаяся к идентифицированному физическому лицу, но этот термин подробно раскрывается:

«Идентифицируемое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица».
Таким образом, в Европе в качестве персональных могут рассматриваться и большие данные, если их достаточно, чтобы выделить человека из толпы. Отметим, что Евгений Черешнев, руководитель компании Biolink Technologies, ввел в отечественный оборот термин «Цифровая ДНК», которым описывает совокупность «больших данных», позволяющую безошибочно определить данного конкретного пользователя. Я, как исследователь новых медиа, использую для того же явления термин «цифровой след».

Российская Федерация разделяет с европейскими странами базовое определение персональных данных, но подход к составлению их перечня в стране долгое время был формальным и от того более узким.

Персональными данными признавались фамилия, имя, отчество и номер телефона, дата рождения, дата регистрации, номер паспорта, ИНН, данные трудового договора в различных комбинациях, но не по отдельности.

Кроме того, персональными данными признаются специфические сведения вроде информации об отпечатках пальцев, о геноме человека или о его здоровье.

Но это не все. Олег Ефимов, управляющий партнер правового партнерства «Ефимов и партнеры», к которому мы обратились за консультацией по практической стороне вопроса, уточняет, что ранее суды этим и ограничивались, но с изменением позиции Роскомнадзора произошел переход к расширительному толкованию термина. Так, например, Роскомнадзор однозначно расценивает в качестве персональных данных сочетание имени и адреса электронной почты.

В обновленном европейском законодательстве предусмотрены также ограничения на обработку персональных данных, «раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, и обработку данных, касающихся состояния здоровья или половой жизни». Для операций с такой информацией необходимо получить отдельное согласие субъекта персональных данных.

«Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается».
Эти данные можно обрабатывать с письменного согласия лица, которому они принадлежат, а также если они являются общедоступными или обезличенными.

Передача за рубеж: что ограничено, то не запрещено

Россия входит в число стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 года, — и значит, может обмениваться данными с другими участниками конвенции без дополнительных формальностей.
Передача данных в страну, не охваченную конвенцией, требует согласия их владельца. Его можно получить в письменном виде или запросить через форму на сайте.

Дополнительно в юридическом поле появляется термин трансграничной передачи данных.

«Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу».

Однако это определение может поменяться. Наш эксперт Олег Ефимов подсказывает, что на данный момент существует проект Федерального закона, где эта формулировка заметно упрощается: «трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства». Т.е. изменилась привязка с местоположения лица, которому принадлежат сервера, на географическое положение сервера. Сейчас этот проект проходит процедуру оценки регулирующего воздействия.

Сохранность данных

Согласно разъяснениям Минкомсвязи, при трансграничной передаче персональных данных ответственность за их сохранность несет принимающая сторона. Так, например, два дата-центра, с которыми мы плотно сотрудничаем, находятся в Чехии, подписавшей Конвенцию 1981 года, и принадлежат чешскому юрлицу. И в нашем случае охрана информации будет осуществляться по чешским законам, обеспечивающим более надежную защиту от потенциальных рисков, включая, например, риски изъятия оборудования.

При этом передавать персональные данные можно без дополнительного согласия их обладателей. Но юристы тут добавляют, что в соответствии со статьей 22 Федерального закона «О персональных данных» оператор персональных данных обязан уведомить Роскомнадзор о наличии трансграничной передачи персональных данных, а их субъект имеет право получить от оператора информацию об осуществленной или о предполагаемой трансграничной передаче данных.

Что подразумевается под локализацией

Вернемся к законам. В чем же заключается требование о локализации баз с персональными данными на территории Российской Федерации?

Прежде чем ответить на этот вопрос, уточним, что законодательно данными российских граждан признается вся информация, собранная на территории Российской Федерации, если оператор персональных данных специально не уточнял вопрос гражданства.

Оператор «обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».

Олег Ефимов сразу добавляет, что под «обработкой персональных данных» также понимают сбор, использование, обезличивание, блокирование, удаление, уничтожение персональных данных, на которые требования о локализации баз данных не распространяются.

При этом для целей профессиональных журналистов, СМИ, научной, литературной или иной творческой деятельности Федеральный закон «О персональных данных» предусматривает исключение из правила.

В остальных случаях оператор обязуется создавать базы, содержащие персональные данные российских граждан, и совершать с ними различные операции на территории России.

Изображение: NewWay.biz

Эту правовую норму придется учитывать при проектировании ИТ-инфраструктуры компании, но она не запрещает передавать базы персональных данных на сервера в других странах.

Комментарий экспертов тут таков:

Для соблюдения закона важно, чтобы на территории России оставалась основная, наиболее полная и актуальная база персональных данных. На прочих серверах можно размещать ее копии или части. Причем в таких дочерних базах персональные данные можно не только хранить, но и обрабатывать, но при условии, что данные будут использоваться в тех же целях, что и в основной базе данных.
Поскольку в российском законодательстве нет узких определений баз данных и точных требований к тому, как именно с технической точки зрения должны храниться персональные данные, у компании, работающей с ними, остается возможность выбора.

Ни гражданский кодекс, ни ГОСТ Р 20886-85, ни Модельный закон о персональных данных никак не ограничивают форму хранения данных и позволяют называть локализованной базой данных все: от полноценного цифрового хранилища любой архитектуры до таблиц в Excel или бумажной картотеки.

В сухом остатке

Изъятие оборудование, длительные отключения, незаконные блокировки — этим списком не исчерпываются проблемы, с которыми сталкиваются пользователи российских хостингов. В этом контексте решением проблемы видится зарубежный сервер.

Как с точки зрения субъекта персональных данных, так и с позиции компании, оперирующей его данными, то же чешское законодательство как нельзя лучше подходит для размещения баз данных с такой важной информацией, как персональные данные. Например, доступ к любой информации или инфраструктуре клиента, размещенной в этой стране, возможен исключительно по решению чешского суда.

Кроме того, местное законодательство позволяет использовать шифрование, которое в Российской Федерации потребовало бы дополнительной сертификации.

Действующие в ЕС международные стандарты обеспечивают безопасность баз данных и беспрепятственную работу с ними с территории Российской Федерации, что также не противоречит требованиям российского закона о локализации персональных данных, который направлен на то, чтобы обеспечить присутствие иностранных компаний в России.

Выполнение требований закона для отечественных организаций не столь обременительно и, при грамотном подходе, не мешает использовать иностранные хостинги так, как этого требуют бизнес-процессы и элементарные соображения безопасности бизнеса.