Закон №242-ФЗ как дополнительный критерий для выработки требований к АС
01 сентября 2015 года вступил в силу Федеральный закон №242-ФЗ «О внесении изменений в отдельные законодательные акты российской федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», требующий нахождения в России серверов баз данных пользователей-резидентов РФ.
Закон №242-ФЗ, изменяющий и дополняющий ряд ранее принятых законов о персональных данных, вызвал широкий резонанс на момент принятия. Согласно этому закону, автоматизированные системы, работа с которыми реализуется посредством компьютерных и/или телекоммуникационных сетей, должны хранить данные в российских дата-центрах. Принятие закона вызвало широкий резонанс, но к настоящему времени споры вокруг этого документа утихли и сформировалась определенная правоприменительная практика. С точки зрения выработки требований к информационному и организационному обеспечению АС в части обработки персональных данных, эта практика позволяет явно выделить две категории АС:
- Системы автоматизированной обработки персональных данных (как определено в п.3 ст.3 Федерального закона №152-ФЗ))
- Прочие (не попадающие под требования закона).
В п.1 ст.3 Федерального закона №152-ФЗ определено, что «персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Если автоматизированная система выполняет обработку персональных данных, то оператор персональных данных (п.2 ст.3 ФЗ №152) должен обеспечить «нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации» (п.2 ст.1 ФЗ №242).
В 2014-2015 гг аренда серверов в России была довольно дорогостоящей и владельцы веб-сервисов, подпадающих под закон о локализации персональных данных, понесли серьезные затраты на перенос своих систем из зарубежных дата-центров. За прошедшее время ситуация изменилась, стоимость выделенных серверов в России существенно снизилась и стала сопоставима с тарифами ведущих хостинг-провайдеров.
По материалам AdminVPS (https://adminvps.ru/servers/servers_russia.php).
Перечислим примеры сетевых сервисов, которые явно являются системами автоматизированной обработки персональных данных и должны учитывать требование ФЗ №242:
- Веб-сайты и всевозможные онлайн-приемные государственных и муниципальных органов (см. Федеральный закон №531-ФЗ).
- Сервисы, требующие представления паспортных данных пользователей (аренда автомобилей, бронирование гостиниц и т.п.).
- Системы, собирающие и использующие биометрические данные граждан.
- Платежные сервисы и системы.
- Онлайновые системы банков, НКО, страховых и прочих организаций, представляющих финансовые услуги.
- Веб-сайты медицинских учреждений, предприятий розничной торговли, использующих программы лояльности, учебных учреждений, социальных учреждений, которые имеют функционал личного кабинета и однозначно идентифицируют клиента по паспортным данным, номеру договору, а также другим данным, представленным самим гражданином
- Сайты кадровых агентств и компаний по найму персонала.
- Социальные сети.
Перефразируя ранее приведенный п.1 ст.3 ФЗ №152 можно сделать вывод, что любой набор данных, по которому нельзя, прямо или косвенно, идентифицировать (т.е. установить однозначное соответствие) личность, не является персональными данными. Это подтверждает разъяснение Роскомнадзора о том, что «...размещение на страницах сайтов в сети Интернет фамилии, имени и отчества без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица.» Таким образом, в категорию прочих сетевых сервисов попадают следующие ресурсы:
- Веб-сайты СМИ и Интернет-издания (новостные ленты, индивидуальные блоги, авторские проекты).
- Информационные ресурсы, не нацеленные на захват данных пользователей.
- Ресурсы, нацеленные на научную, литературную или любую иную индивидуальную/коллективную творческую деятельность.
- Персональные сайты и сайты-визитки.
- Интернет-магазины и сайты по оказанию бытовых услуг, на которых, например, размещается форма заявки для получения имени/телефона/e-mail клиента и адреса доставки (адрес доставки не тождественен адресу места жительства и не идентифицирует личность).
- Онлайн-рейтинги и сервисы статистики, собирающие и передающие обезличенную информацию (время запроса, длительность сессии, куки, информация о пользовательском агенте и т.п.) в автоматическом режиме.
- Веб-сайты в сегменте B2B, которые не продают услуги/товары физ.лицам и не обрабатывают персональные данные граждан.
- Тематические форумы и чаты, тем более – анонимные.
- Веб-сайты авиабилетных агрегаторов (работа этого типа сервисов регламентируется международными соглашениями).
Резюме
Если проектируемая система ориентирована на обработку персональной информации, представляемой пользователями-россиянами через публичные сети, то хранить эту информацию (не важно - в исходном виде или преобразованном) требуется на серверах, физически размещенных на территории России. Более того, доступ к ней должен быть защищен сертифицированными криптографическими средствами. Нарушение этих требований ведет к включению ресурса в «черный список» Роскомнадзора, а также привлечение владельца ресурса к ответственности, вплоть до уголовной.
Если же сайт является, например, корпоративным «сайтом-визиткой» или тематическим информационным сайтом и на нем не собираются какие-либо данные, по совокупности которых можно идентифицировать реальных пользователей, то место расположения базы данных с такой информацией значения не имеет (с точки зрения текущего законодательства).
CC-BY-CA Цыганенко В.Н., 13.07.2017