В статье рассматриваются проблемы, связанные с вступлением в законную силу закона 242-ФЗ. Рассмотрена позиция регулятора по вопросу трансграничной передачи персональных данных и изменения, внесенные в порядок проведения проверочных мероприятий. Предложены способы обработки персональных данных, на которые не распространяется действие данного закона.
Ключевые слова: персональные данные, локализация баз данных.
С самого начала Закон 242-ФЗ вызвал большой резонанс в среде бизнеса и специалистов в области информационной безопасности. Поскольку пересмотр IT-стратегии бизнеса, перенос части серверов на территорию РФ или полная реструктуризация IT-структуры вопрос значительных финансовых затрат, и если такие компании как Facebook, Google, Paypal способны позволить себе это и еще до вступления закона в силу пересмотрели территориальную политику своих информационных ресурсов, то как поступать мелким игрокам, в условиях рынка, правила на котором постоянно меняются, оставалось непонятно.
Результатом вступления в законную силу Федерального закона № 242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», по мнению большинства специалистов в области информационной безопасности, станет создание буферных баз, поскольку в законе который устанавливает требования об обязанности оператора при сборе персональных данных, обеспечить их систематизацию, запись, уточнение, накопление, хранение, извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, слова «только» нет.
Необходимо отметить, что Минкомсвязи предлагает лишь свое понимание федерального закона 242-ФЗ, поскольку не уполномочены трактовать или толковать последний.
Во-первых, Минкомсвязи признает за субъектом право передавать свои персональные данные кому угодно, в том числе юридическим лицам, иностранным государственным органам, организациям и физлицам как резидентам, так и находящимся за пределами РФ.
Во-вторых, Минкомсвязи закономерно считает, что ИСПДн может быть распределенной, учитывая характер сети «Интернет», поэтому российский оператор вправе поручить обработку персональных данных иностранному оператору персональных данных. Необходимо отметить, что 242-ФЗ не отменяет положения статьи 12 федерального закона 152-ФЗ о трансграничной передаче данных. Регулятор предлагает понимать их в системном единстве. Более того, на доступ к персональным данным из-за пределов России ограничений нет.
В-третьих, Министерство не считает невозможным применение дублирующих баз данных, которые могут находиться как на территории РФ, так и за её пределами.
Но не все так просто. Хотя слова «только» в законе нет, по сути мы получили запрет хранения персональных данных за пределами РФ даже используя буферные базы. Об этом Роскомнадзор говорит в своем последнем разъяснении: «Логический процесс, связанный с формированием и актуализацией базы данных, не позволяет осуществлять отдельные процедуры, указанные в рассматриваемой норме, в том числе «хранение персональных данных» в базах данных на территории иностранного государства не нарушая при этом нормы Закона 242-ФЗ.
Так, каждый случай, в котором при сборе данных будет осуществляться одновременное хранение базы данных на территории России и иностранного государства будет являться нарушением Закона 242-ФЗ, поскольку оператор при сборе персональных данных допустит их хранение в базе данных за пределами России. В том числе после сбора данных, то есть после формирования базы данных на территории России, недопустимо изменение условий её хранения путем переноса базы данных на территорию иностранного государства».
Тем не менее необходимо обратить внимание, что в 242-ФЗ речь идет о первичном сборе, записи, систематизации, накоплении, хранении, уточнении, изменении, обновлении, извлечении персональных данных, которые должны производиться на территории России. Следовательно такие действия с персональными данными, как передача, использование, распространение, доступ, предоставление, обезличивание, удаление, блокирование, уничтожение могут производиться где угодно,потому что база данных и приложение, обращающееся к ней — это разные сущности, и приложение может находится где угодно.
Одной их неприятных особенностей закона является размытость определений, либо отсутствие толкования отдельных ключевых требований, таких как «сбор» и «база данных».
Четкое определение понятия «сбор информации» необходимо, потому что именно за это действие часть 5 статьи 18 Закона 152-ФЗ накладывает обязанность на оператора обеспечить хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ. Тем временем комментарии регуляторов различного уровня не вносят ясности даже в понятие «база данных». Имея определение в Гражданском кодексе, а именно в статье 1260 «Переводы, иные производные произведения. Составные произведения», а также в ГОСТ Р 20886–85 «Организация данных в системах обработки данных», разъяснением в адрес Совета Федерации Роскомнадзор дал ответ, что они считают базами данных «упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных)» согласно Модельному закону о персональных данных Межпарламентской ассамблеи государств-участников СНГ. Удивление вызывает не только отношение данного Модельного закона к законодательству России, но и расширение понятия «базы данных», толкуемого не только к электронной форме.
Более того, регулятор предложил оператору персональных данных самостоятельно определять процедуру определения гражданства субъекта персональных данных. В данной ситуации важно, что сложно говорить о гражданстве субъекта персональных данных, если его об этом нигде не спрашивают, тем более в условиях сети «Интернет», где мы еще не научились определять государственную принадлежность по заголовку IP-пакета. Не говоря уже о том, что номер и серию паспорта назвать персональными данными можно лишь с большой натяжкой, потому что у нас не существует легальных путей для установления личности по этим данным.
В этой плоскости интересно рассмотреть направления, на которые не распространяется действие 242-ФЗ в части хранения персональных данных за рубежом.
Во-первых, обезличивание. По мнению самого регулятора после обезличивания, персональные данные перестают быть таковыми. Если они больше не считаются персональными данными, следовательно, выпадают из-под действия Законов 152-ФЗ и 242-ФЗ.Из этого логически следует, что хранить их можно где угодно, в том числе за пределами РФ. Все это в рамках действующего законодательства. Обезличивание можно проводить согласно приказу того же Роскомнадзора № 996, который устанавливает критерии «хороших» методов обезличивания. Характерной особенностью данного приказа является то, что он не ограничивает самих методов — они могут быть любыми, но исходить из критериев, предложенных регулятором.
Во-вторых, архивирование. Выполнение норм Закона 125-ФЗ об архивном деле выводит архивные дела из-под действия Закона 152-ФЗ, о чем в первом прямо сказано. Архивные дела, в свою очередь, мы можем передавать и хранить где угодно и кому угодно.
Рассмотренные аспекты касаются изменений в части 149-ФЗ и 152-ФЗ. Дополнения, внесенные в 294-ФЗ, внесшие значительные изменения в порядок надзора, получили свое логическое развитие в Постановлении Правительства РФ от 19.08.2015 года № 857 и двух приказах Роскомнадзора от 22.07.2015 года № 84 и № 85 и явились единственным четко отрегулированным механизмом в Законе.
Основные изменения правил надзора:
снижение числа проверок в отношении операторов персональных данных. Для государственных и муниципальных органов, а также юридических лиц не чаще одного раза в два года, для индивидуальных предпринимателей и физических лиц не чаще одного раза в три года;
Роскомнадзор не должен согласовывать свои плановые и внеплановые проверки с прокуратурой, исключением служит доказательное обращение граждан, у которых появляется возможность не просто подать жалобу в регулирующий орган, но и попросить рассмотреть заявление о блокировке ресурса, нарушившего его права, не будет ограничен двадцатью днями, а именно: уведомление о плановой проверке должно быть произведено не позднее чем за 3 дня, о внеплановой — не менее чем за 24 часа. Внеплановый характер и установленная в Законе периодичность представляют угрозу, в первую очередь, для банков, страховых компаний, операторов связи, медицинских и образовательных учреждений последствия прекращения обработки персональных данных в которых, может оказать значительные негативные последствия.
Особую озабоченность вызывает применение указанного требования в сферегражданской авиации, поскольку оно, в силу объективных причин, не сможет быть реализовано в установленный Законом от 21 июля 2014 года № 242-ФЗ срок.
В настоящее время обработка персональных данных пассажиров в целях бронирования и продажи воздушных перевозок в гражданской авиацииосуществляется с использованием глобальных распределительных систем, таких как: Amadeus (Амадеус), Gabriel (Габриель), Sabre (Сейбр), Galileo (Галилео), позволяющих осуществлять продажу билетов на рейсы российских авиакомпаний в различных странах. В этой связи, выполнение требований, установленных Законом от 21 июля 2014 года № 242-ФЗ и в указанные им сроки, не представляется возможным, поскольку требует, как минимум, согласия провайдеров этих систем на их размещение в Российской Федерации.
В заключении отмечу, опыт предыдущих лет подсказывает, что разъяснения регуляторов различного уровня по одному и тому же вопросу могут значительно различаться. Поэтому следует руководствоваться правоприменительной практикой, информации о которой, за месяц после вступления закона в силу для анализа накопилось достаточно. Позиция Минкомсвязи, безусловно, вносит больше ясности и может использоваться для выстраивания стратегии соблюдения нового требования. Но Минкомсвязи уполномочено осуществлять функции по выработке и реализации государственной политики в области персональных данных, а ведомством, фактически проверяющим компании на соблюдение требований закона о персональных данных, является Роскомнадзор. Насколько он разделяет опубликованную позицию Минкомсвязи и готов будет ей следовать — покажет практика или самостоятельные разъяснения Роскомнадзора (которых пока нет).
Литература:
- Федеральный закон 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», http://www.rg.ru/2014/07/23/persdannye-dok.html.
- Официальные разъяснения Минкомсвязи России, http://www.minsvyaz.ru/ru/personaldata/