Закон о защите персональных данных 242: Выполнение требований 242-ФЗ по локализации баз персональных данных

Разное 

Содержание

Выполнение требований 242-ФЗ по локализации баз персональных данных

Изменения с 1 сентября 2015 года

1 сентября 2015 года вступил в силу Федеральный закон №242-ФЗ, предусматривающий локализацию баз персональных данных в России. Согласно тексту закона хранение и обработка персональных данных граждан РФ должна осуществляться на территории РФ. Это означает, что оператор, осуществляющий обработку таких данных на территории другой страны обязан перенести их в базы данных, которые расположены на территории нашей страны. Закон не делает каких-либо исключений по типам операторов, поэтому любой оператор персональных данных подпадает под его действие. Кроме того, иностранные юридические лица, оказывающие услуги через интернет гражданам России, также обязаны выполнять закон.

Кто уже заявил о переносе

Часть международных компаний уже согласилась перенести информационные системы в Россию. Среди них Google, Apple, Samsung, Aliexpress, …

Ответственность за невыполнение требований

За невыполнение требований закона предусмотрена административная ответственность. В случае наступления такой ответственности оператор и ответственные лица могут понести финансовые и репутационные потери. Ресурс-нарушитель может быть заблокирован.

Способы выполнения

В настоящий момент накоплено несколько практических способов выполнения 242-ФЗ.

Перенос системы в Россию

Сложный и ресурсоёмкий метод, который полностью исключит риски, связанные с несоответствием законодательству. Данное решение заключается в том, что оператор переносит весь процесс обработки и хранение ПДн на территорию РФ.

Что необходимо:
  • Организовать хостинг
  • Создать информационную систему
  • Найти персонал для эксплуатации
  • Реализовать требования 152-ФЗ
  • Уведомить Роскомнадзор о месте расположения базы персональных данных

Другие способы

Создание системы сбора

Первичный сбор персональных данных в отдельную систему и трансграничная передача для последующей обработки.

Что необходимо:
  • Определить архитектуру системы сбора персональных данных (возможно реализация в виде Excel таблицы)
  • Реализовать информационную систему
  • Обеспечить интеграцию с основной информационной системой
  • Легализовать трансграничную передачу (передачу другому иностранному лицу вне России) — обеспечить согласие/уведомление субъекта, определить правовые основания обмена информацией при трансграничной передаче
  • Реализовать требования 152-ФЗ

Обезличивание

Сокращение набора собираемых сведений, которые нельзя будет признать персональными.

Что необходимо:
  • Определить состав обрабатываемых сведений
  • Удостовериться, что обрабатываемая информация не является персональными данными

Отказ от статуса оператора в России

Сугубо юридическое решение, при котором оператор, чей основной бизнес и юридическое лицо находится на территории другой страны, отказывается от своего статуса на территории РФ и продолжает собирать персональные данные находясь в правовом поле своего государства

Что необходимо:
  • Удостовериться, что деятельность оператора не направлена на Россию

Отказ от автоматизации

Для некоторых операторов это тоже может являться хорошим решением. Например небольшие объемы информации и редкие операции с ними позволяют перенести это информацию на бумагу, систематизировать ее хранение и регламентировать взаимодействия с ней в отдельной документации.

Что необходимо:
  • Исключить автоматизацию деятельности

Ничего не делать

Решение «оставить все как есть» вполне возможно, если верно и точно оценить риски и вероятности.

Что необходимо:
  • Оценить риски и стратегию защиты
  • Проработать план на случай блокировки ресурса

Создание реплики базы персональных данных в России

Создание реплики не позволяет выполнить каким-либо образом требования закона, и поэтому такую стратегию не стоит рассматривать.

Лента сообщений в удобном формате:

Хранение и обработка персональных данных – публикации экспертов Группы «ДЕЛОВОЙ ПРОФИЛЬ» (MGI)

Федеральный закон №152-ФЗ от 27.07.2006 «О персональных данных» (с изменениями, внесенными Федеральным законом №242-ФЗ от 22.07.2014)

Ч.5 ст.18 — При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

ч.1 ст.6 ФЗ №152 — Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

п.2 — обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

п.3 — обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

п.4 — обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

п. 8 — обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

ВЫВОД ИЗ ЗАКОНА: если обработка персональных данных (в т.ч. сбор) осуществляется не в указанных выше целях, предусмотренных ч.1 ст.6 ФЗ №152, то на нее распространяется требование ч.5 ст.18 указанного ФЗ о нахождении баз данных с соответствующими персональными данными на территории РФ.

 

В отношении указанного вопроса существует ряд позиций государственных органов, которые противоречат друг другу:

Позиция Государственно-правового управления Президента РФ.

«Запрещено все, что прямо не разрешено законом», а именно:

  • Базы данных должны находиться только в РФ.

  • Дублирующие базы данных (имеются ввиду расположенные за рубежом) или актуальные копии данных в ФЗ №242 не упомянуты => запрещены.

  • Запреты из ФЗ №242 распространяются в т.ч. и на персональные данные, ранее находящиеся за пределами РФ (т.е. до вступления в силу ФЗ №242). 

Позиция Роскомнадзора

  • Формирование и актуализация баз данных с персональными данными российских граждан должны осуществляться на территории РФ. Требования Закона № 242-ФЗ не позволяют осуществлять отдельные процедуры, в том числе «хранение персональных данных» в базах данных на территории иностранного государства.

  • Каждый случай, в котором при сборе персональных данных будет осуществляться одновременное хранение баз данных на территории РФ и иностранного государства, будет являться нарушением Закона № 242-ФЗ, поскольку оператор при сборе персональных данных допустит их хранение в базах данных за пределами РФ. После сбора персональных данных, т.е. после формирования баз данных на территории РФ, недопустимо изменение условий ее хранения путем переноса баз данных на территорию иностранного государства.

  • Нормы Закона № 152-ФЗ не применяются за пределами территории РФ. Зарубежная обработка персональных данных регулируется нормативными правовыми актами тех стран, в которых она осуществляется.

ВАЖНО: Роскомнадзор не упоминает о наличии обратной силы Закона №242, однако, вследствие схожести позиций с ГПУ Президента РФ, можно предположить, что требования распространяются в т.ч. на базы данных за рубежом, существовавшие до вступления Закона в силу.

Кроме того, разъяснения Роскомнадзора не являются официальными разъяснениями.

Позиция Минкомсвязи

«Разрешено все, что не запрещено законом», а именно:

  • Субъект персональных данных имеет право дать согласие на обработку своих персональных данных и предоставить их любому юридическому или физическому лицу, находящемуся как на территории РФ, так и за ее пределами.

  • Информационная система персональных данных может обладать географически распределенной структурой. Часть ее элементов может находиться за пределами РФ.

  • Применение дублирующих баз данных, находящихся на территории РФ или за ее пределами, прямо не запрещено действующим законодательством РФ.

  • Закон № 242-ФЗ обратной силы не имеет. Следовательно, его положения не распространяются на правоотношения с иностранными лицами, ведущими базы данных с персональными данными, оформленные до 1 сентября 2015 г.

  • Обработка персональных данных для целей, не предусмотренных международным договором РФ или законом, может быть осуществлена оператором в рамках исполнения требований, предусмотренных ч. 5 ст. 18 Закона № 152-ФЗ, путем размещения в центрах обработки данных на территории РФ БД, содержащей персональные данные граждан РФ, большего размера или аналогичного объему персональных данных, передаваемому на территорию иностранного государства.

В данном контексте следует указать действия, которые могут быть совершены лицом, обладающим персональными данными:

  1. Перенос баз данных целиком на территорию РФ. Риск – минимальный, поскольку выполняется наиболее жесткое требование.

  2. Обезличивание персональных данных, передаваемых в зарубежные базы данных. Риск – высокий, поскольку требование об отсутствии зарубежных баз данных (поддерживаемое рядом государственных органов) не выполняется.

  3. Отказ от обработки персональных данных с помощью резидента РФ.  Сбор, систематизация и хранение персональных данных осуществляется с помощью организации за пределами РФ. Такая компания не подпадает под российскую юрисдикцию. Риск – средний. С одной стороны указанный способ соответствует позициям Роскомнадзора и Минкомсвязи, с другой стороны могут возникнуть сложности в части обоснования передачи персональных данных зарубежным операторам (в том числе от самих субъектов персональных данных).

  4. Промежуточная база данных в РФ. Данный способ подразумевает создание на территории РФ промежуточной информационной системы или базы данных с целью хранения, уточнения, удаления собираемых в России персональных данных и их последующей передачи для обработки другому оператору, в том числе за границу. Процессы в зарубежных системах, связанные с последующей обработкой персональных данных, сохраняются неизменными или адаптируются для автоматического использования данных из России. Риск – низкий.

Уведомление в Роскомнадзор

Ч.2 ст. 22 ФЗ №152

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.

1 настоящего Федерального закона;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

ВЫВОД: в указанной ситуации, если есть соответствие по указанным пунктам, уведомление в Роскомнадзор подавать не нужно. В остальных случаях уведомление подается в установленном порядке.

Источник: Пресс-центр Группы «ДЕЛОВОЙ ПРОФИЛЬ», ФСС «Финансовый директор»

Защитите конфиденциальность личных данных | Генеральная Ассамблея Колорадо

Генеральная Ассамблея КолорадоToggle Main Menu

Для оптимальной работы этого веб-сайта на компьютерах, мобильных устройствах и программах чтения с экрана требуется JavaScript. Пожалуйста, включите JavaScript для лучшего опыта!

СБ21-190

О дополнительной защите данных, касающихся личной жизни.

Сессия:

Очередная сессия 2021 г.

Предмет:

Финансовые услуги и торговля

Сводка счетов

Закон устанавливает права на конфиденциальность персональных данных и:

  • Применяется к юридическим лицам, которые ведут бизнес или производят коммерческие продукты или услуги, которые преднамеренно нацелены на жителей Колорадо и которые:
  • Контролировать или обрабатывать персональные данные не менее 100 000 потребителей в течение календарного года; или же
  • Получать доход от продажи персональных данных и контролировать или обрабатывать персональные данные не менее 25 000 потребителей; и
  • Не применяется к определенным указанным организациям, включая государственные и местные органы власти и государственные высшие учебные заведения, персональные данные регулируются перечисленными государственными и федеральными законами, перечисленными видами деятельности и записями о занятости.


Закон определяет «контролера» как лицо, которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных. «Обработчик» означает лицо, которое обрабатывает персональные данные от имени контролера. Потребители имеют право отказаться от обработки их персональных данных контролером; получать доступ, исправлять или удалять данные; или получить от контроллера портативную копию данных.

Закон:

  • Определяет, как контролеры должны выполнять обязанности в отношении отстаивания потребителями своих прав, прозрачности, определения цели, минимизации данных, недопущения вторичного использования, ухода, недопущения незаконной дискриминации и конфиденциальных данных;
  • Требует, чтобы контролеры проводили оценку защиты данных для каждого из своих действий по обработке персональных данных, которые представляют повышенный риск причинения вреда потребителям, таких как обработка в целях целевой рекламы, профилирование, продажа персональных данных или обработка конфиденциальных данных; а также
  • Указывает, что нарушение его требований является обманной торговой практикой в ​​целях правоприменения, но действие может быть приведено в исполнение только генеральным прокурором или окружными прокурорами.


Местные органы власти лишены возможности принимать законы, регулирующие обработку персональных данных контролерами или обработчиками. Генеральный прокурор может обнародовать правила для администрирования акта и должен принять правила с подробным описанием технических спецификаций для универсального механизма отказа, который должны использовать контролеры.

(Примечание: это краткое изложение относится к этому законопроекту в том виде, в котором он был принят.)

Подробнее

Комитеты

Сенат

Бизнес, труд и технологии

Сенат

Ассигнования

Палата представителей

Финансы

Палата представителей

3

Российский закон о конфиденциальности данных: защита или прибыль? — Телехаус

16 июня 2015 г.

Последний шаг Путина призван «защитить» личную информацию своего гражданина или это экономическая стратегия? Учитывая ценность данных, может ли это быть его мотивацией? Или все дело в контроле?

Председатель Google Эрик Шмидт заявил, что Россия «на пути» к цензуре Интернета в китайском стиле.

Закон о хранении персональных данных в России:

Компании, работающие в рамках российского законодательства о конфиденциальности данных, должны будут хранить персональные данные пользователей на серверах, расположенных на территории России, к сентябрю 2015 года. Они также должны уведомить Роскомнадзор, данные страны охранное агентство, о местонахождении их серверов. Закон об информации № 242-ФЗ

Хотя это хорошая новость для центров обработки данных, она представляет собой проблему для таких компаний, как банки, торговые и социальные сайты, ведущие там бизнес.

Будучи в настоящее время единственным иностранным поставщиком центров обработки данных в стране, Telehouse предлагает услуги хранения, консультации и консультации клиентам в Москве. Как вы можете себе представить, это большая проблема, поскольку уровень доверия американских компаний, имеющих дело с российским правительством и нормативными актами, сложен.

Например, когда были объявлены российские законы о конфиденциальности данных, Google быстро поднял ставки.
http://www.cnbc.com/id/102263070

Что влечет за собой информация Закон № 242-ФЗ

Сам российский закон о защите данных описывает, как собирать персональные данные и документировать согласие. Требуется:

  • личность сборщика(ов) данных
  • ответственность операторов данных
  • правила публикации политик хранения и техпроцессов
  • раскрытие физического местоположения этих баз данных

Масштабное влияние этого законодательства не ограничивается интернет-компаниями и банками. Любая организация, хранящая личные данные в Интернете, — от авиакомпаний до агентств по аренде автомобилей и франшиз быстрого питания — должна будет структурировать свою информацию и задокументировать это структурирование в соответствии с этими новыми юридическими требованиями.

Некоторые компании уже были процитированы, хотя срок еще не наступил.

http://eng.rkn.gov.ru/news/news41.htm

Большие данные — это большой бизнес

Катрина Доу, генеральный директор Meeco , компании, занимающейся правами на личные данные, базирующейся в Австралии, говорит о защите личных данных:

«С точки зрения Meeco мы всегда сосредоточены на суверенных правах отдельный гражданин. Очень интересно, что Россия устанавливает физические границы для безграничного и взаимосвязанного цифрового мира. Однако, как и в Европе, растет обеспокоенность тем, что данные, хранящиеся за пределами контролируемых юрисдикций, в частности, хранящиеся в США, могут быть монетизированы и в значительной степени утрачены конфиденциальность.

«Что еще более важно, вопрос заключается в том, делает ли Россия это для «защиты» своих данных о гражданах (во многом как в ЕС) или потому, что видит, что данные очень ценны и являются валютой будущего. В этом случае его хранение на суше увеличивает вероятность возможности регулирования торговли и обмена данными или принятия мер в будущем, если данные станут альтернативной валютой. Время покажет, какие ключевые факторы повлияли на это решение.

«Это, вероятно, будет постоянной проблемой, когда речь идет о криптовалютах, учитывая ценность транзакций без границ.

«Я рад видеть сильный сигнал, отправленный корпорациям США. Это увеличивает вероятность того, что им теперь потребуется предоставлять наземную инфраструктуру, если они собираются предлагать услуги в России и Европе, где будут размещаться персональные данные. Это может предоставить гражданам и жителям более широкие права в отношении их частной жизни, выбора и правовой защиты, большая часть которых недоступна, когда данные хранятся в США».

Россия и ЕС не одиноки

США сами приняли аналогичную политику в отношении здравоохранения и финансового сектора. Как говорит Доу, время покажет, но вполне вероятно, что другие страны в конечном итоге последуют их примеру и введут наземные ограничения на хранение личных данных граждан.

Персональные данные Определено

Персональные данные, согласно отчету EW, позволяют отличить конкретного уникального человека от большей группы. Он включает в себя части имени человека и контактную информацию в зависимости от ситуации. Если это еще не сбивает с толку, дальше все становится сложнее. Это определенно территория для юристов.

Закон определяет порядок использования данных на территории России:

  • Организации должны отразить в своей документации следующие вопросы обработки данных и защиты персональных данных. Это читается как HIPAA:
  • Бортовой надзор: кто-то в вашей организации должен быть назначен для надзора за обработкой персональных данных
  • Информационное обучение: другие сотрудники должны быть в курсе законодательства, касающегося Резолюции 228
    • .
  • Документальная политика: ваша компания должна опубликовать легкодоступную политику в отношении персональных данных

Четкие шаги для обеспечения эффективности:

Ваша компания должна указать все меры в следующих категориях: юридические, технологические и организационные. План должен включать рекомендации по безопасности и эти показатели.

  • Инструменты: Предприятие должно включать необходимое сертифицированное программное и аппаратное обеспечение
  • Политики полицейской деятельности: внутренний контроль для обеспечения соответствия
  • Метрики оценки повреждений
  • Оценка потенциальных угроз
  • Регистрация Обслуживание всех мест, где хранятся персональные данные
  • Процесс уведомления обо всех случаях несанкционированного доступа к персональным данным
  • Уведомление о повреждении персональных данных
  • Правила и записи о доступе к персональным данным
  • Выполняемые миграции могут не уложиться в сроки

Компании, которые хранят личные данные своих пользователей в безграничных облаках или за границей, в первую очередь страдают и сталкиваются с особыми проблемами соответствия.

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *