X

Блог Oracle в России и СНГ

3 мифа о персональных данных и облаках

Автор - Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры»

С появлением облачных технологий начались активные обсуждения, как легко и удобно их использовать, как много они позволяют сделать. Однако спустя какое-то время возникли мифы об опасностях и невозможности перехода в облака, потому что это «противоречит всему и вся», например, внутрикорпоративным политикам... Дополнительные разрешительные и ограничительные механизмы, прописанные в различных законах и подзаконных актах нормы и требования, влияющие на оценку возможности использования облачных сервисов, стали восприниматься как прямые запреты их применения. Решения об отказе от использования облаков порой принимаются без достаточного понимания, что действительно написано в законах и принятых в их исполнение актах. Но бизнес надо развивать, несмотря на проблемы нормативного ругулирования использования новых технологий, безусловно, выполняя все законодательные требования и правила.

Особо остро проблема встала в связи с использованием облачных технологий для обработки персональных данных, ведь персональные данные есть практически в любом документе. При этом мы очень любим читать заголовки в СМИ и Интернете и на этом нередко строим свои выводы. Одна из широко обсуждаемых в последние годы тем - требования о локализации персональных данных в связи с изменениями в законе 152-ФЗ. Между тем важно не столько, что написано в законе о персональных данных, сколько то, как этот закон применяется и как влияет на бизнес с точки зрения возможных ограничений.

Что такое персональные данные?

Этот простой и очевидный вопрос не имеет столь же простого ответа, тем более, что трактовка понятия персональных данных постоянно меняется.

Согласно 152-ФЗ, персональные данные – это любые сведения, относящиеся к прямо или косвенно определенному или определяемому субъекту персональных данных - физическому лицу. Такое определение является неоправданно широким, не дает ответов на простые вопросы, например, что именно необходимо защищать.

Источник: Oracle

Прообразом российского закона стала европейская «Конвенция о защите прав физических лиц при автоматизированной обработке данных» (ETS-108), которая была принята еще в 1981 году. Она дает несколько иное определение персональных данных, жестко увязывая это понятие с идентификацией – если данные позволяют определить конкретное физическое лицо, то их нужно считать персональными. Например, фамилия, имя, отчество должны сочетаться с какими-то другими сведениями, которые выделяют субъекта персональных данных из остальных, то есть по ним можно узнать, к кому конкретно они относятся. Например, сочетание «Емельянников Михаил Юрьевич» не является персональными данными, так как не определяет однозначно конкретное физическое лицо, в отличие от «Емельянников Михаил Юрьевич, Управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры», выступающий с докладом на конференции «Технологии на страже бизнеса» 20 апреля 2018 года».

Внимание к защите персональных данных - это мировой тренд. В цифровом мире такие данные иногда позволяют узнать о человеке больше, чем знает он сам. Новый Европейский регламент GDPR (General Data Protection Regulation) рассматривает «следы в интернете», наример, cookie-файлы, как персональные данные, если они применяются для профилирования пользователя. Если собирается массив информации, позволяющий определять предпочтения пользователей, то это рассматривается как обработка их персональных данных, несмотря на то, что пользователи являются анонимными и их личность не устанавливается, а профиль позволяет лишь отличать одного пользователя от другого.

Итак, есть два важных признака персональных данных: возможность идентификации конкретного лица и потенциальные последствия использование данных. Если есть последствия для субъекта, например, негативные или юридически значимые, то эти данные следует рассматривать как персональные и защищать.

Миф 1 – Персональные данные россиян должны храниться в России

Есть мнение, что все собираемые в России персональные данные должны храниться на территории Российской Федерации. Это не так. В законе говорится, что «при сборе персональных данных <…> оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение этих данных с использованием баз данных, находящихся на территории РФ». То есть речь идет именно о сборе персональных данных. В законе нет требования использовать персональные данные только с помощью баз данных, находящихся на территории России.

Что это означает на практике? Согласно разъяснениям Минкомсвязи на странице их официального сайта, собранные и хранящиеся на территории РФ персональные данные впоследствии могут выноситься за пределы территории государства. Повторная локализация таких данных не требуется, потому что обязанности оператора, предусмотренные законом, уже выполнены. Таким образом, собранные персональные данные должны сохраняться в первичных базах данных на территории России, а затем допускается их трансграничная передача за пределы РФ. Такие зарубежные базы данных могут использоваться для резервного копирования, рекламы, оказания различных услуг и так далее.

Евросоюз принял гораздо более жесткую позицию в своем новом регламенте GDPR. Даже если оператор, обрабатывающий персональные данные, находится за пределами Евросоюза, но обрабатывает данные лиц, находящихся на территории Евросоюза (не обязательно европейских граждан), то в общем случае он обязан выполнять Европейский регламент.

Требования поддержания в актуальном состоянии баз данных, находящихся на территории РФ, приводит к следующему выводу: после фиксации данных в БД, размещенных на территории России, объем данных в зарубежных БД должен быть меньше или равен тому, который имеется на территории РФ, а новые данные об известном субъекте или данные о новом субъекте должны сначала вноситься в базу на территории России, а затем при необходимости переноситься за рубеж.

Что такое база персональных данных?

Теперь определим, что же такое база персональных данных. В соответствии с «Модельным законом о персональных данных» для стран СНГ, под этим понимается любой упорядоченный массив персональных данных, независимо от носителя. То есть это могут быть файлы, базы данных и даже упорядоченные бумажные архивы. Затем можно, например, выгрузить эти данные в базу данных Oracle в зарубежном облаке и использовать их и за пределами РФ. Таким образом, если база данных создана на территории России, то тем самым обязанности оператора при работе с персональными данными уже выполнены. Впоследствии такие данные могут выноситься в электронную базу за пределами РФ.

Как выполнить требования законодательства РФ?

Есть три возможных способа:

  1. Создать базу данных на территории РФ, причем в любой форме, а потом можно передавать из нее данные в зарубежные базы данных. При этом актуализация данных тоже должна происходить на территории России.

  2. Разместить данные за рубежом в обезличенной форме.

  3. Шифровать базы данных и передавать их за рубеж в зашифрованном виде. В таком случае для оператора это - не персональные данные.

Поскольку на период сбора нужно обеспечить локализацию БД с персональными данными пользователей на территории РФ, важно понимать, что такое сбор данных. Согласно разъяснениям Роскомнадзора и Минкомсвязи, сбор персональных данных – это получение данных непосредственно от субъекта или привлеченных для этого третьих лиц. Обязанность по их локализации возникает только в период сбора персональных данных. Если собранные данные локализованы на территории России и перенесены для обработки за рубеж, то получение с использованием функционала приложений в облаке новых данных, касающихся субъекта размещения этих данных на территории РФ не требует.

Таким образом, полученные с помощью автоматизированной системы данные не подпадают под требования локализации. Это очень важно, поскольку именно для этой цели мы используем зарубежную базу данных.

Если, например, в облачной системе Oracle Taleo Cloud Service на основании собранных и локализованных в России данных о сотруднике, определяется его грейд, делается вывод о необходимости направления работника на повышение квалификации или о его продвижении по службе, то такие данные нельзя рассматривать как получаемые во время сбора, т.е. они не были получены от субъекта или через уполномоченных оператором лиц. Соответственно, Закон о персональных данных не содержит требования об обязательной локализации таких на территории РФ.

Облачное предложение Oracle Cloud at Customer обеспечивает реализацию законодательных требований. Это самый простой способ собирать и обрабатывать данные на территории Российской Федерации и при этом получать все преимущества облака. Oracle Cloud at Customer позволяет заказчику развернуть и получать публичные облачные сервисы Oracle в своем ЦОД, расположенном на территории России При этом в ЦОД заказчика и в облаке Oracle используется одно и того же программное и аппаратное обеспечение, что обеспечивает простой перенос приложений и данных между ними при наличии локализованной базы персональных данных, а ответственным за предоставление сервисов и уровень обслуживания остается Oracle.

Миф 2 - Трансграничная передача данных россиян запрещена

По закону, трансграничная передача данных происходит в том случае, если данные передаются на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу.

Нормы законодательства РФ о передаче персональных данных на территорию иностранных государств следует рассматривать в контексте обязательств, взятых на себя РФ при ратификации Конвенции 1981 года. Так, согласно ст. 12, сторона не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы

Если иностранное государство обеспечивает адекватную защиту прав субъектов персональных данных, то трансграничная передача данных ограничиваться не может. Достаточно создать базу данных на территории России и заполнять ее при сборе персональных данных. Дальнейшие действия могут выполняться с этими данными с использованием мощностей, находящихся за территорией РФ.

При этом, если персонал облачной инфраструктуры имеет доступ к персональным данным клиента, размещенным в облаке, то надо получать согласие субъектов на такую передачу, потому что в этом случае провайдер исполняет поручение обработки российского опператора. Однако оператор может предусмотреть в договоре запрет на доступ персонала к данным, что освобождает от такой необходимости. То же относится к персональным данным в облаках, находящихся, например, в странах Евросоюза, потому что они обеспечивают защиту прав субъектов.

Миф 3 – Обеспечивать безопасность персональных данных облачный провайдер не может

В 2017 году когда Роскомнадзором была проведена проверка ряда российских компаний на предмет использования зарубежных облаков, претензий к ним , связанным с локализацей персональных данных, практически не было. Законодательство прямо прямо предусматривает возможность аутсорсинга обеспечения безопасности персональных данных при их автоматизированной обработке.

Безопасность персональных данных может обеспечивать сам оператор персональных данных (то есть заказчик), оператор информационной системы или лицо, обрабатывающее персональные данные по поручению оператора на основании договоров.

Что должен сделать российский оператор персональных данных (заказчик)?

  • Определить типы угроз, связанных с наличием недекларированных возможностей системного и прикладного программного обеспечения.

  • Определить уровень защищенности своей информационной системы, которую он выносит в облако.

  • Построить модель угроз и систему защиты, обеспечивающую адекватную защиту от этих угроз, для своего сегмента информационной системы, находящегося вне облака.

Что должен сделать зарубежный провайдер облачных услуг?

  • Предоставить оператору данные о том, какие меры безопасности обеспечиваются в облачной инфраструктуре;

  • Обеспечить принятие дополнительных мер безопасности или представить оператору возможность развернуть дополнительные средства безопасности (PaaS или IaaS);

  • Отразить в договоре обязанности по обеспечению мер безопасности и конфиденциальности обрабатываемых данных, вопросы доступа персонала к ним.

Облачный провайдер обязан принимать меры по предотвращению несанкционированного доступа к персональным данным и несанкционированного воздействия на такие данные и информационные системы, ведущие к нарушению работоспособности.

Общие выводы по персональным данным:

  • После завершения сбора персональных данных они должны находиться (храниться) в базах данных на территории РФ, при этом изменения в данные (в том числе, уточнения и обновления) должны вноситься также в базы данных на территории РФ.

  • Не накладывается никаких ограничений на передачу персональных данных после их сбора и записи в базу данных на территории России, в том числе – на трансграничную передачу, предоставление к ним доступа с территории иных государств, а также на использование персональных данных граждан РФ после их трансграничной передачи, включая использование данных из информационных систем, находящихся за пределами РФ.

  • Закон в редакции, вступившей в силу 1 сентября 2015 года не устанавливает новых, дополнительных ограничений на трансграничную передачу персональных данных, не вводит запрет на обработку персональных данных в дата-центрах и облачных инфраструктурах, находящихся вне территории РФ, за исключением периода их сбора.

На территории России всегда должна быть актуальная база персональных данных, используемых российским оператором в своей деятельности.

И завершить хотелось бы фразой, которую я не устаю повторять российским компаниям – «Недостатки нормативного регулирования не могут являться основанием для отказа от использования современных инормационных технологий, потому что иначе вы неизбежно окажетесь на обочине конкурентной борьбы».

Be the first to comment

Comments ( 0 )
Please enter your name.Please provide a valid email address.Please enter a comment.CAPTCHA challenge response provided was incorrect. Please try again.Captcha
Oracle

Integrated Cloud Applications & Platform Services