1 сентября 2015 года вступили в силу поправки к Федеральному закону № 152-ФЗ "О персональных данных" (далее – Закон). Согласно таким поправкам операторы персональных данных (далее - Операторы) обязаны обрабатывать персональные данные граждан РФ, используя сервера, расположенные на территории России.
Как только новые требования вступили в силу, они вызвали много вопросов, как со стороны операторов, так и со стороны обычных граждан. Прежде всего, это было вызвано нечеткостью формулировок закона, отсутствием судебной практики, и даже частично противоречащими друг другу разъяснениями контролирующих органов.
Однако при этом, из прямого толкования Закона следовало, что Операторы, прежде всего иностранные компании, чьи центры обработки и хранения данных исторически находились за пределами России, должны были перенести сервера для обработки персональных данных граждан РФ на территорию России, причем в довольно сжатые сроки.
История двух подходов
По прошествии более чем одного года с момента вступления в силу поправок к Закону уже можно сделать вывод о наличии двух наиболее заметных подходов к исполнению таких требований.
Google, по имеющимся сведениям, завершил перенос персональных данных своих российских пользователей на сервера, находящиеся на территории России, еще до вступления в силу новых поправок Закона. Учитывая, что Google имеет представительство в России, новые требования напрямую затрагивали интересы компании.
Социальная сеть Linkedin, ориентированная на бизнес и трудоустройство, наоборот не имеет представительства в Российской Федерации и не перенесла обработку данных на российские сервера. Она продолжила работать со своими центрами обработки и хранения данных в США, и недавно сайт Linkedin в России был заблокирован в результате поданного российским контролирующим органом иска о нарушении Закона о персональных данных.
В свою защиту представители Linkedin приводили аргументы о том, что закон нарушает принцип экстерриториальности, поскольку социальная сеть не имеет представительства на территории Российской Федерации. Также отмечался тот факт, что граждане передавали свои персональные данные добровольно. Однако данные факты не были приняты судами во внимание.
Опыт TMF Group
Являясь оператором персональных данных, TMF Group с момента появления проекта Закона уделяла большое внимание вопросу соответствия своей инфраструктуры всем предъявляемым требованиям. Учитывая сложность проекта, работа по подготовке к переносу серверов началась более чем за год до вступления в силу поправок к Закону.
Мы получили соответствующие юридические заключения, наладили отношения и неоднократно обращались с запросами к российскому контролирующему органу, чтобы определить, каким образом новые требования будут применяться к провайдерам аутсорсинговых услуг, таких как мы; имеются ли какие-либо особенности или исключения с точки зрения типа данных, IT инфраструктуры, и т.д.
Проект по переносу данных на российские сервера можно разделить на организационные и технические мероприятия:
- Организационные мероприятия включают принятие или адаптацию существующих внутренних политик компании о конфиденциальности и защите данных, обновление классификации угроз.
- Технические мероприятия включают развёртывание центров обработки и хранения данных, отвечающих особенностям бизнеса, внедрение программной и аппаратной составляющих, интеграцию их в существующую IT инфраструктуру.
Российский центр обработки и хранения данных TMF Group полностью введен в эксплуатацию и обеспечивает потребности компании как с точки зрения обработки данных, так и предоставления дискового пространства для наших клиентов. Процесс переноса баз данных на территорию России занял у нас почти полтора года. Теперь у нас есть опыт, которым мы всегда рады поделиться с нашими клиентами.
Важные уроки
Следующие детали могут быть полезны для компаний, планирующих внедрение подобных IT решений в России:
- Как аппаратная, так и программная части центра обработки и хранения данных должны состоять из оборудования, которое надлежащим образом обеспечивает защиту данных. При этом такая защита должна соответствовать частной модели угроз соответствующего Оператора. Перечень и подход к определению такого соответствия должен определяться в соответствии с внутренними положениями компании и российским законодательством.
- Если в составе центра обработки и хранения данных используются составляющие, позволяющие осуществлять шифрование информации, то для их ввоза в Россию требуется сертификация Федеральной службы безопасности Российской Федерации. При этом, если такие составляющие не были сертифицированы производителем, то компании придется пройти процесс независимого сертифицирования. Такая процедура может привести к существенным задержкам.
Поправки к Закону о персональных данных поставили российских операторов перед сложным выбором: в условиях отсутствия четкого трактования Закона необходимо определить, какой подход к его интерпретированию следует использовать. Первый подход – более консервативный, который ведет к возникновению существенных затрат, либо делает деятельность в стране и вовсе невозможной. Второй подход является более гибким.
Учитывая появившиеся тенденции в судебной практике, а также общие тенденции в законодательстве – например, недавно введенное требование, применимое к провайдерам связи, осуществлять долговременное хранение истории коммуникации, разумно заметить, что, в случае консервативной оценки бизнес рисков, всем операторам данных, работающих с персональными данными российских пользователей следует максимально серьезно отнестись к требованиям о локализации таких данных.
Вам необходима более подробная информация? Пожалуйста, свяжитесь с нашими экспертами в России.