- Трансграничный способ передачи данных
- Трансграничная передача персональных данных
- Трансграничная передача персональных данных
- Трансграничная передача персональных данных
- Панацея: трансграничная передача персональных данных
- О песочнице
- О модерации
- Немного о личном и трансграничном
- ТРАНСФЕР ПД ЗА ПРЕДЕЛЫ РОССИИ ОСТАЛСЯ ВОЗМОЖЕН С СОБЛЮДЕНИЕМ УСЛОВИЙ ЗАКОНА
- ОБНОВИТЬ И ДОПОЛНИТЬ СТАРЫЕ БАЗЫ БЕЗ ИХ ЛОКАЛИЗАЦИИ НА ТЕРРИТОРИИ РОССИИ, СОГЛАСНО 242-ФЗ, СТАЛО НЕВОЗМОЖНО
- РОССИЙСКИЙ И ЕВРОПЕЙСКИЙ ЗАКОНЫ ПОХОЖИ В ПОДХОДАХ РЕГУЛИРОВАНИЯ ТРАНСГРАНИЧНОЙ ПЕРЕДАЧИ ДАННЫХ
- ПЕРСПЕКТИВНЫМ СЕГМЕНТОМ ОСТАЮТСЯ МЕЖДУНАРОДНЫЕ КОМПАНИИ, КОТОРЫЕ РАЗМЕЩАЮТ В РОССИЙСКИХ ДАТА-ЦЕНТРАХ БИЗНЕС-РЕШЕНИЯ, ИСПОЛЬЗУЮЩИЕ ПД ПОЛЬЗОВАТЕЛЕЙ РФ
Трансграничный способ передачи данных
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
1. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
2. Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных. Государство, не являющееся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности персональных данных.
3. Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.
4. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
2) предусмотренных международными договорами Российской Федерации;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
Источник
Трансграничная передача персональных данных
Трансграничная передача персональных данных
Трансграничная передача персональных данных
На сегодняшний день много вопросов у специалистов по информационной безопасности вызывает трансграничная передача персональных данных.
Для начала определимся с понятиями. Трансграничная передача персональных данных — это передача персональных данных оператором через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.
Вообще вопрос трансграничной передачи данных возник, когда начался процесс объединения Европы. Необходимо было, во-первых, унифицировать единое законодательство, а во-вторых, перевести трансграничную передачу в узаконенные рамки. Так была создана Конвенция, но вопрос о том, как государство сможет защитить персональные данные своего гражданина после того, как они оказываются за территорией страны, — остался открытым. Гражданин имеет право отстоять свои интересы в своей собственной стране, но если нарушение его прав произошло за ее пределами, обеспечить полноценную защиту своих интересов для него было практически невозможно.
Как же должна осуществляться трансграничная передача данных, какие документы необходимо получить от субъекта персональных данных? Какая ответственность предусмотрена для операторов за осуществление незаконной трансграничной передачи персональных данных?
На данный момент законодательно закреплена только «общая» ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (статья 13.11 Кодекса об административных правонарушениях Российской Федерации).
По информации Уполномоченного органа по защите прав субъектов персональных данных, в настоящее время в Государственной Думе на рассмотрении во втором и третьем чтении находится законопроект «О внесении изменений в некоторые законодательные акты Российской Федерации», в том числе в Кодекс об административных правонарушениях Российской Федерации. Среди таких изменений — дополнение его статьей, предусматривающей ответственность за нарушение законом порядка сбора, хранения, использования или распространения персональных данных». По всей видимости, внесение дополнений было продиктовано неоднозначностью толкования российского законодательства и разнородностью нормативно-правовой базы тех стран, на территорию которых передаются персональные данные.
Федеральный закон № 152 от 27.07.2006 г. «О персональных данных», принятый в соответствии с международным законодательством, гласит:
«…Статья 12. Трансграничная передача персональных данных.
- До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
- Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
- Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
- наличия согласия в письменной форме субъекта персональных данных;
- предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
- предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
- исполнения договора, стороной которого является субъект персональных данных;
- защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных…»
Приведенные в законодательстве исключения вопросов не вызывают, они вполне обоснованы, поэтому попробуем проанализировать действия оператора ПДн по трансграничной передаче ПДн при отсутствии таких обстоятельств. Тем более, что основные споры по поводу трансграничной передачи данных возникают в результате вопросов, связанных с различием законодательств стран и передачи данных без вышеперечисленных обязательств.
По мнению экспертов компании ReignVox, обеспечение защиты ПДн при их трансграничной передаче является составной частью работ по комплексной защите персональных данных на предприятии. Для обоснования адекватности защиты ПДн при передаче данных в за-рубежный филиал компании необходима реализация ряда мероприятий, включая разработку документа (или нескольких документов), который отражает следующие основные моменты:
- Общие положения (организационная структура компании; страна (страны), в которую передаются ПДн; цель передачи и обработки ПДн за границей);
- Правовое обоснование трансграничной передачи персональных данных (перечень нормативно – правовых документов, на основании которых осуществляется передача и обработка ПДн);
- Описание объекта защиты;
- Характеристики передаваемых ПДн (категории ПДн, передаваемых за границу; категории субъектов ПДн; способы обработки ПДн (автоматизированная, неавтоматизированная, смешанная обработка));
- Регламент обеспечения безопасного информационного обмена персональными данными с зарубежными филиалами (представительствами) (описание ИСПДн из которой (которых) передаются ПДн; описание ИСПДн, куда передаются ПДн; каналы передачи данных; стандарты и протоколы передачи данных и т.д.); Описание мероприятий и средств обеспечения защиты передаваемых ПДн (организационные мероприятия; технические средства защиты информации, в том числе средства криптографической защиты информации);
- Состав законодательства иностранного государства, отражающего вопросы защиты ПДн;
- Заключительные положения (зарубежный филиал обязуется соблюдать законодательство по обработке ПДн страны, в которой он находится; обязуется обеспечить соответствующую защиту полученных и обрабатываемых ПДн; подписи ответственных лиц головной организации и зарубежного филиала под вышеперечисленными положениями).
Преимущества такого подхода в том, что он позволяет минимизировать риски реализации угроз персональных данных при их трансграничной передаче, повысить ответственность должностных лиц за соблюдение установленных норм информационной безопасности.
Источник
Панацея: трансграничная передача персональных данных
Периодически натыкаюсь в разных Интернетах на «гениальные» догадки о том, как освободиться от «бремени» исполнения законодательства о персональных данных путем «выхода» из под национальной юрисдикции. Сами вопросы «бремени», на сколько можно судить по публикациям и их комментариям, довольно плохо понимаются авторами — все свалено в одну кучу: что понимать под персональными данными, какие правила обработки соблюдать, что «защищать»… Из этой кучи не проясненного рождаются самые настоящие фантазии-франкенштейны вызывающие буквально панический страх у новоиспеченных (да и у староиспеченных тоже) операторов персональных данных и приводят к методическому запугиванию друг друга с поиском таких вот гениальных по своей простоте решений в лучших традициях язычества. Вместо того, что бы использовать данные законом правовые инструменты по их назначению, им придается какой-то сакральный смысл. Так в свое время сакрализовали институт согласия, совершенно не обращая внимания на его основной смысл: свобода дать и отозвать свое согласие в любое время без объяснения причин. Бумажку с письменным согласием превратили в самую настоящую индульгенцию (да, пусть вас не смущает, что индульгенция имеет вполне себе католические корни, а не языческие. Языческими были те стереотипы мышления, особенности картины мира, которые и привели к всеобщей вере в индульгенцию как простому решению сложных проблем).
Сакрализация трансграничной передачи конечно не была такой масштабной, как всеобщая вера во всемогущество согласия. Модель, по которой предлагалось решить все свои «проблемы с законом» владельцам интернет-сервисов, была невероятно проста:
1) Переносим сайт с базой на хостинг в Евросоюзе.
2) PROFIT.
Основным преимуществом при этом называлось то, что в Евросоюзе не установлены «драконовские» требования по обеспечению безопасности персональных данных при их обработке. Хотя от части это действительной так, «вывоз» базы за кордон, без смены российского владельца — не выводит ее из под юрисдикции РФ. Иными словами, обязанность исполнять российский закон сохраняется, так как сам оператор никуда от него не делся.
Кроме того, такой простой «вывоз» по закону и не является трансграничной передачей персональных данных.
Как говорит нам собственно закон: трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
То есть, трансграничной передачей является только передача оператору персональных данных (controller of the file), не попадающему под юрисдикцию Российской федерации.
Иностранное юридическое лицо (действующее официально) или российское юридическое лицо, собирающие персональные данные на территории России — попадают под действие закона о персональных данных не зависимо от того, где данные в конечном счете обрабатываются. Передача за границу российскому юридическому лицу — также не является трансграничной передачей ПДн.
Трансграничная передача персональных данных накладывает на оператора дополнительные условия, связанные с законностью и целесообразностью такой передачи, так что попытка таким способом «обойти» закон рискует закончится весьма печально. Когда же будет принята новая нормативка касающаяся обеспечения безопасности ПДн при их обработке в ИСПДн, наверняка мы и в ней найдем кучу дополнительных ограничений и условий на перемещение данных через госграницу.
О песочнице
Это «Песочница» — раздел, в который попадают дебютные посты пользователей, желающих стать полноправными участниками сообщества.
Если у вас есть приглашение, отправьте его автору понравившейся публикации — тогда её смогут прочитать и обсудить все остальные пользователи Хабра.
Чтобы исключить предвзятость при оценке, все публикации анонимны, псевдонимы показываются случайным образом.
О модерации
Не надо пропускать:
- рекламные и PR-публикации
- вопросы и просьбы (для них есть Хабр Q&A);
- вакансии (используйте Хабр Карьеру)
- статьи, ранее опубликованные на других сайтах;
- статьи без правильно расставленных знаков препинания, со смайликами, с обилием восклицательных знаков, неоправданным выделением слов и предложений и другим неуместным форматированием текста;
- жалобы на компании и предоставляемые услуги;
- низкокачественные переводы;
- куски программного кода без пояснений;
- односложные статьи;
- статьи, слабо относящиеся к или не относящиеся к ней вовсе.
Источник
Немного о личном и трансграничном
Как закон о локализации персональных данных влияет на российский рынок
1 сентября исполняется три года с момента вступления в силу изменений в Федеральный закон № 152-ФЗ «О персональных данных» (242-ФЗ). Помимо существовавших требований ко всем компаниям, организациям и физическим лицам, которые обрабатывают конфиденциальную информацию граждан, нормативно-правовой акт ввел новые обязанности. А именно, теперь они должны хранить персональные данные (ПД) на территории РФ. Также документ определил создание Реестра нарушителей, вести который доверили уполномоченному органу по защите прав субъектов ПД – Роскомнадзору.
Кому это нужно
Целью законодательных изменений являлось прекращение бесконтрольного использования конфиденциальной информации россиян на территории других государств. Документ потребовал от операторов персональных данных выполнения единственного условия – соответствовать стандартам Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД.
242-ФЗ установил специальные критерии определения «виртуальных» границ России в соответствии с трансграничным и децентрализованным характером интернета. Так, деятельность компаний по обработке ПД может быть отнесена к осуществляемой на территории России, если:
1) у сайта есть русскоязычная версия;
2) доменное имя связано с РФ (.ru, .рф и т. д.);
3) исполнение заключенного на таком сайте договора (доставка товара, оказание услуги, пользование цифровым контентом) производится в российских рублях;
4) реклама показывается пользователю на русском языке.
Минкомсвязь в своих разъяснениях пишет, что у компаний могут быть и иные обстоятельства, «явно свидетельствующие о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию».
Изменения, внесенные 242-ФЗ, не затронули положений о трансграничной передаче данных.
ТРАНСФЕР ПД ЗА ПРЕДЕЛЫ РОССИИ ОСТАЛСЯ ВОЗМОЖЕН С СОБЛЮДЕНИЕМ УСЛОВИЙ ЗАКОНА
Как отмечали некоторые российские эксперты, Роскомнадзору удалось найти решение, позволяющее осуществлять и локализацию персональных данных, и их трансграничную передачу.
Суть решения состояла в том, чтобы разделить все базы на две группы. ПД должны быть первоначально записаны и сохранены на территории России («первичная база данных»). После этого информация из них может быть скопирована за пределы страны во «вторичную базу данных» с соблюдением условий трансграничной передачи.
«Другими словами, главная копия личных данных российских граждан, собранных в России, должна быть расположена в России, так же как последующие обновления и дополнения к этим личным данным. Технические решения, в которых первичная база данных находится за рубежом и создается только русская копия («копия» или «зеркало») такой зарубежной базы данных, не соответствуют закону», – пишет в своем исследовании юрист компании IBM (Россия/СНГ), старший научный сотрудник НИУ ВШЭ, член Консультативного совета при Роскомнадзоре Александр Савельев.
Важно, что новый порядок обработки ПД начал действовать только для тех баз с данными российских пользователей, которые были собраны после 1 сентября 2015 года. Хранилища конфиденциальной информации, созданные до даты вступления в силу закона, под требования не попали. Таким образом, компаниям дали время на подготовку к новым изменениям без ущерба для своей деятельности.
ОБНОВИТЬ И ДОПОЛНИТЬ СТАРЫЕ БАЗЫ БЕЗ ИХ ЛОКАЛИЗАЦИИ НА ТЕРРИТОРИИ РОССИИ, СОГЛАСНО 242-ФЗ, СТАЛО НЕВОЗМОЖНО
Закон также дал расширенные права российским интернет-пользователям по контролю за использованием их ПД. В случае неправомерной обработки граждане вправе обратиться в Роскомнадзор или суд. Если компания игнорирует нормы 152-ФЗ, ее внесут в Реестр нарушителей прав субъектов персональных данных, а к сервисам будет ограничен доступ на территории России. За несоблюдение требований 242-ФЗ предусмотрена аналогичная ответственность.
Что общего с GDPR
Российский 152-ФЗ и новый Генеральный регламент о защите персональных данных (англ. General Data Protection Regulation, GDPR) имеют самостоятельную территориальную и юрисдикционную сферу применения в пространстве, по кругу лиц и во времени.
Так, 152-ФЗ не обладает экстерриториальным действием, не распространяется на нерезидентов, собирающих ПД российских граждан за границей (в случае если они не осуществляют деятельность в интернете, направленную на Российскую Федерацию). GDPR же не ограничивает сферу действия права о персональных данных по «национальному принципу». Защита персональных данных осуществляется на территории Евросоюза и в государствах-членах независимо от гражданства или места проживания.
РОССИЙСКИЙ И ЕВРОПЕЙСКИЙ ЗАКОНЫ ПОХОЖИ В ПОДХОДАХ РЕГУЛИРОВАНИЯ ТРАНСГРАНИЧНОЙ ПЕРЕДАЧИ ДАННЫХ
Глава V Регламента GDPR регулирует порядок перемещения ПД за пределы ЕС. Передача данных может иметь место, когда Европейская комиссия сделала вывод о надлежащем обеспечении гарантий защиты ПД третьей стороной (страной, ее субъектами или международной организацией). Решение о передаче данных может быть отменено, изменено или приостановлено в случае низкой оценки уровня защиты. Критерии оценки, из которых должна исходить Европейская комиссия, закреплены в ст. 45 Регламента GDPR.
152-ФЗ разрешает трансграничную передачу ПД в страны, которые являются сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Государства, не являющихся сторонами Конвенции, также могут осуществлять трансграничную передачу, если Роскомнадзор включит их в перечень иностранных государств с адекватной защитой прав субъектов персональных данных. Сейчас в списке находятся 23 страны.
Трансграничная передача может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
Тем не менее схожие положения отечественного и европейского законов не дают оснований делать вывод относительно их «гармонизации», пишет Институт развития интернета в своем исследовании. «Для российских компаний, деятельность которых связана со сферой персональных данных, ориентированных на пользователей в Евросоюзе, имеющих договорно-правовые обязательства с контрагентами ЕС, – это означает «двойное обременение»».
Кто хочет – ищет способ
Закон вызвал противоречивую реакцию крупных организаций и торговых ассоциаций. Члены КСИИ и АЕБ просили уточнить некоторые понятия в законодательном акте и перенести сроки его вступления в силу, пишут издания «Коммерсантъ» и «РБК».
Такой поступок эксперты объясняли выжидательной позицией компаний. По мнению главного аналитика Российской ассоциации электронных коммуникаций (РАЭК) Карена Казаряна, часть IT-компаний были готовы к исполнению закона, но ждали примеров его правоприменения, на основе которых будут определять масштабы размещения в России. Их сомнения, отмечал К. Казарян, также могли быть связаны с «неспособностью российских дата-центров удовлетворить высокие требования западных компаний к уровню сервиса SLA (Service Level Agreements)».
В то же время компании Aliexpress, Booking.com, Ebay, PayPal, Uber, Samsung и др. подтвердили свою готовность исполнять новые требования после встреч с Роскомнадзором и разъяснений РАЭК. Глава комитета Госдумы по информационной политике, информационным технологиям и связи Леонид Левин заявлял: «Времени подготовиться к вступлению 242-ФЗ в силу было достаточно. Тем более что Роскомнадзор постоянно ведет консультации с заинтересованными компаниями и нехватки мощностей в дата-центрах не предвидится».
О том, что локализация данных – новый тренд развития интернета, в свое время рассказывала заместитель главы Роскомнадзора Антонина Приезжева.
Как это помогает бизнесу
Рост рынка коммерческих дата-центров в России эксперты прогнозировали сразу после принятия закона.
О местах для переноса и хранения баз данных говорил ведущий аналитик в области промышленных систем IDC Russia Михаил Попов. По сведениям эксперта, мощностей для такого объема информации должно хватить всем операторам ПД, а внедрение этого закона поможет развитию российской отрасли дата-центров.
«Безопасность российских ЦОДов определяется законодательством и технической документацией. Есть требования ФСТЕК и ФСБ, которые необходимо соблюдать для получения лицензии. Таким образом, дата-центры любого типа, которые предоставляют услуги хранения данных, сертифицированы, и все они предоставляют более или менее равные по степени защищенности услуги. На сегодня требований указанных выше ведомств достаточно, и сертификаты имеют все крупные, большинство средних и достаточное количество малых ЦОДов», – считает М. Попов.
В исследовании 2017 года эксперты iKS-Consulting отметили рост российского рынка ЦОДов на 20 процентов. Тогда его объем уже составил 16,8 млрд рублей.
По прогнозу «ТМТ Консалтинг», рынок продолжит расти еще на 9%, до 39,6 тыс. стойко-мест, при выручке в 26,7 млрд рублей.
ПЕРСПЕКТИВНЫМ СЕГМЕНТОМ ОСТАЮТСЯ МЕЖДУНАРОДНЫЕ КОМПАНИИ, КОТОРЫЕ РАЗМЕЩАЮТ В РОССИЙСКИХ ДАТА-ЦЕНТРАХ БИЗНЕС-РЕШЕНИЯ, ИСПОЛЬЗУЮЩИЕ ПД ПОЛЬЗОВАТЕЛЕЙ РФ
К 2018 году наметилось несколько тенденций развития рынка:
Популяризация cloud-решений. Перевод в «облака» информационных систем бизнеса и госструктур спровоцировано нестабильной экономической ситуацией. Отсюда и желание компаний минимизировать расходы, сохранив при этом эффективность.
Появление новых клиентов. Услуги коммерческих ЦОДов пользуются спросом среди IT-гигантов. Принятие новых законов – 242-ФЗ, GDPR, «Закон Яровой» – стали причиной смены поставщика услуг дата-центров с иностранных на отечественных.
Развитие государственных проектов. Государство проявляет интерес к развитию собственной IT-среды. Реализация государственной программы «Цифровая экономика РФ» позволит увеличить количество дата-центров в России и выработать единую схему их распределения по стране.
С момента реализации 242-ФЗ, как сообщил Роскомнадзор, проведено более 3 тыс. плановых проверок в отношении операторов, осуществляющих обработку ПД. Локализацию баз данных на территории России подтвердили 225 666 организаций.
В итоге только одна компания не выполнила требования российского законодательства в сфере персональных данных и оказалась в Реестре нарушителей – LinkedIn.
Новые стандарты информационной безопасности становятся тенденцией для развития IT-рынка и внедрения законодательных инициатив в бизнес-процессы. 152-ФЗ, «Закон Яровой», GDPR и другие нормы мотивируют отрасль активнее развивать свои продукты и улучшать качество услуг для пользователей. А граждане цивилизованных стран получают возможность защитить свое право на неприкосновенность информации о себе и личного пространства.
Источник
