На заметку стартапу! Аспекты хранения персональных данных на территории России
Наиболее значимым событием в данном направлении стал Федеральный закон № 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях". Он был принят еще в июле 2014 года, и его основным положением стал полный перенос всех баз данных, которые содержат персональную информацию, на Российские сервера. При этом начальным сроком его вступления в силу было 1 сентября 2016 года, и, фактически, данный закон является лишь поправкой к уже существующему 152-ФЗ от 2006 года. Однако, в связи с требованием ускорить процедуру обеспечения защиты персональных данных, 31 декабря 2014 года было принято решение о сдвиге срока вступления данной поправки в силу на год ранее. Таким образом, уже 1 сентября 2015 года 242-ФЗ вступил в силу, застав практически врасплох многих владельцев компаний и интернет-ресурсов.
Предлагаем кратко ознакомиться с наиболее интересующими пользователей моментами, касающимися данного законодательства:
- Определение того, какие именно данные являются персональными, включает в себя даже электронные адреса. Поэтому все ресурсы, использующие их в различных целях, в том числе для обычной авторизации, автоматически становятся хранителями персональных данных и обязаны с 01 сентября 2015 года обеспечить их обработку на территории РФ.
- Хранение персональных данных на зарубежных серверах остается допустимым для компаний, зарегистрированных в других странах, или имеющих там дочерние предприятия, для ряда государственных организаций, осуществляющих международную деятельность, а также при составлении международных соглашений, электронные копии которых должны храниться у каждой из сторон.
- Ответственность за нарушение требований закона может быть, как административной, так и уголовной, в зависимости от его степени и масштабности.
Закон 242-ФЗ вступил в силу, несмотря на целый ряд противоречий, о которых открыто заявляли представители общественности и различных коммерческих организаций, имеющих прямое либо косвенное отношение к хранению персональных данных. Такая поспешность послужила поводом к тому, что остался целый ряд нерешенных вопросов, которые уже сейчас успешно используются компаниями для уклонения от требований закона, формально их не нарушая.
Так в данной поправке не определены такие положения, как:
- статус персональной информации в облаке;
- инструменты определения, где именно хранится информация компании;
- считаются ли кодированные данные, "ники" или искаженные имена и фамилии персональными данными;
- каким образом компания может перенести на российский сервер персональные данные, ранее проиндексированные зарубежными серверами и получившие открытый доступ.
Все эти спорные моменты требуют доработки закона, а пока, большинство факторов свидетельствует о нерентабельности государственных затрат, связанных с внедрением систем и механизмов обновленного законодательства. При этом тем, кто желает сохранить свою информацию о персональных данных пользователей на зарубежных серверах, являющихся более популярными, не доставляет особых трудностей сделать это вполне законным путем.
Что нужно сделать для соблюдения закона?
- Наилучший вариант – организовать обработку персональных данных на территории РФ и исключить зарубежные сервисы. Это избавляет Вас от всех возможных претенций и попадания в "черный список" Роскомнадзора.
- Наименьший вариант – организовать копирование персональных данных к себе на сервер в РФ.