Хранение персональных данных на сервере. Закон о хранении данных: Что произошло и как теперь жить

Интернет-пользователи по регионам

Ниже представлен график, показывающий как распределяются в процентном соотношении все пользователи интернета по регионам:
2005 2010 2017*
Африка 2% 10% 21.8%
Северная и Южная Америки 36% 49% 65.9%
Арабские страны 8% 26% 43.7%
Азия и Океания 9% 23% 43.9%
Страны СНГ 10% 34% 67.7%
Европа 46% 67% 79.6%
* По оценкам. Источник: International Telecommunication Union.

Доля Европейских пользователей 79.6%, это информация Википедии на начало 2019 года, сейчас скорей всего значение уже выросло. А эта табличка показывает уровень проникновения интернета:

Следующий график показывает нам количество интернет пользователей по мировым регионам:

Статистика крупнейших Поисковых систем

Чтоб понять, те объемы, которые из себя представляет мировой интернет, достаточно посмотреть на статистику известных страниц поисковым систем. Ниже представлены графики изменения количества проиндексированных (известных) страниц основными поисковыми системами на протяжении определённого периода времени.

Для Гугла:

Для Яндекса я не нашёл никаких графиков и вообще информации об изменениях его индексной базы.

Известно лишь то, что на конец 2009 года, Яндексу было известно про 3,6 миллиарда страниц, сейчас это цифра уже наверно на порядок больше. Как видно, Яндекс отстаёт от лидирующих поисковых систем в 3 – 4 раза по объёмам проиндексированных страниц. Но по темпам развития и увеличения своей базы, он сейчас на одном из первых мест.

Терминология по хранению персональных данных сформировалась позже.

В 2001 году в Трудовом кодексе России появилась 14 глава , посвященная сотрудников, а спустя 15 лет правительство, наконец, сформировало термины по обращению с конфиденциальной информацией.

Под хранением информации подразумевается способ ее распространения во времени и пространстве при помощи определенного носителя. Основными условием и целью хранения данных называется обеспечение к ней постоянного доступа или доступа по требованию.

Хранение данных является составной частью обработки информации. Когда гражданин дает , речь идет о сборе, накоплении, уточнении, извлечении, обновлении и хранении информации.

Где можно хранить на территории РФ?

У каждого оператора должна быть политика хранения сведений персонального характера , включающая такие пункты:

Электронные

Персональные сведения относятся к конфиденциальной информации, поэтому должны быть защищены. Для всех операций с такими ведомостями, включая хранение, используются (ИСПД).

Их в России принято делить на четыре категории в зависимости от важности и объема информации.

  • Категория 1. Типовая информационная система персональных данных с ведомостями более чем на 100 тысяч субъектов. В ней содержится информация о расовой, национальной принадлежности, политических взглядах, религии, интимной жизни и другие ведомости, распространение которых окажет явное негативное влияние на жизнь физических лиц.
  • Категория 2 . Система вмещает в себя персональные ведомости, разглашение которых позволит третьим лицам получить о физическом лице дополнительные ведомости, кроме данных, относящихся к первой категории.
  • Категория 3 . Система с персональными сведениями, которые дают возможность идентифицировать физическое лицо.
  • Категория 4 . Предусматривает хранение , раскрытие которых не окажет негативного влияния.

Процесс хранения начинается с создания такой системы и ее проверки государственными органами России. После этого оператор должен обеспечить все требования по инженерной защите помещения, проверяется соответствие системы по:

  1. требованиям пожарной безопасности;
  2. охране;
  3. электрическому питанию;
  4. заземлению;
  5. санитарным требованиям.

Последним пунктом является аттестация или сертификация ИСПД. Если ИСПД готова, то компании предстоит прописать юридическую основу всех процессов с персональными сведениями, которая будет появляться на сайте перед введением ведомостей о пользователе в форму.

Она может называться как угодно, например, «Политика обработки персональных данных» или «Согласие на хранение личной информации».

Главное, чтобы клиент мог ознакомиться с ней и нажать на «галочку», выразив таким образом свое согласие на предоставление оператору информации. Весь процесс хранения такой информации регламентируется законодательными актами о конфиденциальных данных.

Запрещается передавать их третьему лицу , а также использовать в целях, которые не были указаны изначально.

Для операторов, работающих с электронными носителями, инструкция будет выглядеть следующим образом:

  1. Доступ к данным необходимо ограничить.
  2. Передавать информацию по зашифрованным каналам.
  3. Иметь .
  4. Вести учет физических носителей, если есть.
  5. Предотвращать утечки.
  6. Раздельно хранить информацию, которая обрабатывается с разными целями.
  7. информацию после обработки после 30 дней хранения (желательно) или по истечении шести месяцев (в обязательном порядке).

Размещать данные компании могут как им удобно , в том числе на современны облаках.

В государстве четко регламентированы процессы хранения ПД, все операторы такой информации должны пройти ряд проверок и доказать свою способность обеспечить информации . В случае несанкционированного распространения или доступа к данным, оператор несет гражданскую, материальную и даже уголовную ответственность.

С 01 сентября 2015 г. вступили в силу дополнения, вносимые в статью 18 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее по тексту – Федеральный закон), а именно часть 5 следующего содержания:

«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.».

Указанные исключения будут касаться только исполнения Российской Федерацией принятых на себя международных обязательств, осуществления правосудия, работы органов государственной власти, журналистской, научной, литературной и иной творческой деятельности.

Таким образом, если деятельность оператора не сопряжена с указанной выше, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием серверов с базами данных, расположенных на территории Российской Федерации.

Вносимые изменения не освещают вопрос о необходимости переноса серверов с территории иностранных государств на территорию РФ. Исходя из буквального понимания положения ч. 5 ст. 18 Федерального закона и недопустимости необоснованного расширительного толкования, перенос серверов на территорию РФ не является необходимой мерой. Законодательством РФ ответственность для российских обществ за наличие серверов на территории иностранных государств также не предусмотрена.

Использование серверов, расположенных на территориях иностранных государств, «как раньше» не представляется возможным .

Обращаем внимание, что вносимые изменения не распространяются на ситуации, когда сервер принадлежит иностранной компании, находится на территории иностранного государства и используется для записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан Российской Федерации.

Исходя из недопустимости необоснованной экстерриториальности действия законодательства, требования Федерального закона распространяются только на российские компании и зарегистрированные на территории РФ филиалы и представительства иностранных юридических лиц.

Таким образом, иностранные юридические лица, не имеющие филиалы и представительства на территории РФ, вправе осуществлять хранение персональных данных граждан РФ на серверах, расположенных вне территории РФ, поскольку формально под действие Федерального закона они не подпадают, если это разрешено их национальным законодательством.

Действия, которые должны осуществлять исключительно в России

В соответствии с ч. 5 ст. 18 Федерального закона нижеперечисленные действия должны осуществляться исключительно на сервере, расположенном на территории Российской Федерации:

  • запись персональных данных,
  • систематизация персональных данных,
  • накопление персональных данных,
  • хранение персональных данных,
  • уточнение (обновление, изменение) персональных данных,
  • извлечение персональных данных.

Применительно к передаче и обработке персональных данных (к которой относится также обработка данных без сбора персональных данных) территориальное ограничение не установлено, следовательно, такие действия осуществляются в соответствии с действующим в настоящее время порядком.

Актуальную информацию по вопросу принятия официальных разъяснений Роскомнадзором можно узнать, перейдя по ссылке: http://rkn.gov.ru/.

Трансграничная передача персональных данных

Существующий в настоящее время порядок передачи и обработки персональных данных установлен ст. 12 Федерального закона, согласно которой трансграничная передача персональных данных (на территории иностранных государств) может осуществлять в том случае, если государство-получатель является участником Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (заключена в г. Страсбурге 28.01.1981 г.), далее по тексту – Конвенция. Кроме того, передача персональных данных также может быть осуществлена в иные иностранные государства, признанные способным обеспечить адекватную защиту прав субъектов персональных данных (см. Приказ Роскомнадзора от 15.03.2013 г. № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных»).

После вступления в силу изменений в закон на серверах, расположенных на территории страны - участника Конвенции, оператор не сможет записывать, хранить, извлекать персональные данные. Оператор сможет осуществлять только передачу и обработку данных на сервере, расположенном в такой стране. То есть, все хранящиеся данные на сервере в стране – участника Конвенции необходимо будет переместить на сервера в РФ.

Действия с персональными данными

Действия, которые можно осуществлять на сервере в РФ, российским обществом

Действия, которые можно осуществлять на сервере участника Конвенции, российским обществом

Передача персональных данных

Обработка персональных данных

запись персональных данных

систематизация персональных данных

накопление персональных данных

хранение персональных данных

уточнение (обновление, изменение) персональных данных

извлечение персональных данных

На данный момент буквальное толкования вступающих в силу изменений, при отсутствии официальных разъяснений, предполагает, что спектр правомочий оператора по обработке персональных данных с использованием серверов, расположенных на территориях иностранных государств, строго ограничен.

В частности, предполагается, что хранение на зарубежных серверах даже резервных копий персональных данных будет квалифицироваться как нарушение норм законодательства о защите персональных данных.

Однако, по словам Министра связи, предполагается создание достаточно широкой подзаконной нормативно-правовой базы, в рамках которой будет определено какие сведения, при каких обстоятельствах, в каких системах, как конкретно должны храниться и обрабатываться, в том числе на территории РФ. В ее рамках ведомствам предстоит определить, какие сведения, при каких обстоятельствах, в каких системах, как конкретно должны храниться и обрабатываться на российской территории. В частности, по мнению министра, имя, фамилия, дата рождения, размещенные в Twitter и Facebook, можно будет признать "нечувствительными" для пользователей. Такая информация может храниться и за рубежом . То есть, не исключено, что законодательно будет установлено разрешение на хранение отдельных сведений на серверах, расположенных на территориях иностранных государств.

Ответственность за нарушение вступающих в силу изменений

Административная ответственность

За нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) ст. 13.11. КоАП предусмотрена следующая ответственность:

  • наложение административного штрафа на должностных лиц в размере от пятисот до одной тысячи рублей;
  • наложение административного штрафа на юридических лиц – от пяти тысяч до десяти тысяч рублей.

Блокировка информационного ресурса

Кроме того, с 01.09.2015 г. вступают в силу изменения, вносимые в Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Данные изменения предусматривают блокировку информационного ресурса, на котором обработка персональных данных граждан РФ осуществляется с нарушением законодательства.

Роскомнадзор имеет возможность заблокировать Интернет-ресурсы, осуществляющие обработку персональных данных граждан РФ с нарушениями законодательства, уже в настоящее время.

Примером тому является решение, вынесенное Ангарским городским судом Иркутской области по иску Роскомнадзора в защиту прав неопределенного круга лиц в связи с незаконной обработкой их персональных данных (дело № 2-799-14 от 30.04.2014 г.). В соответствии с материалами данного дела, сайт www.telkniga.com распространял персональные данные граждан РФ без получения их предварительного согласия. В результате, деятельность сайта www.telkniga.com признана незаконной и нарушающей права российского гражданина, а размещенная в интернете информация, содержащая персональные данные, – запрещенной к распространению в Российской Федерации. Указанный сайт включен единый реестр запрещенной информации.

Реестр нарушителей прав субъектов персональных данных

Создание автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных», создание, формирование и ведение которой будет осуществляться Роскомнадзором.

В указанный реестр будут включаться, в частности, следующие данные об информационном ресурсе: сетевой адрес, доменное имя, указатель страниц, позволяющий идентифицировать информацию, обрабатываемую с нарушениями законодательства.

Включение в Реестр и ограничение доступа к информационному ресурсу будут возможны только на основании вступившего в законную силу судебного акта.

ВЫВОДЫ

  1. После 01 сентября 2015 года запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ можно будет осуществлять с использованием серверов, расположенных исключительно на территории Российской Федерации. В связи с этим необходимо будет перенести все персональные данные граждан РФ, хранящиеся на серверах, расположенных в иностранных государствах, на сервера в РФ.
  2. Осуществлять иные действия можно с использованием баз данных, расположенных на территории иностранных государств. Оператор правомочен осуществлять обработку заказов без сбора персональных данных и калькуляцию персональных данных граждан РФ на серверах, расположенных в странах – участниках Конвенции либо перечисленных в Приказе Роскомнадзора от 15.03.2013 г. № 274. Трансграничная передача персональных данных возможна на территорию иностранных государств, являющихся сторонами вышеуказанной Конвенции Совета Европы, либо перечисленных в Приказе Роскомнадзора от 15.03.2013 г. № 274.
  3. Если сервер принадлежит иностранной компании и находится на территории иностранного государства, то иностранная компания вправе использовать его для записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан Российской Федерации, поскольку вступающие в силу изменения не распространяются на иностранные юридические лица, которые не имеют филиалов и представительств на территории РФ. Однако сложно предсказать действия Роскомнадзора к таким иностранным компаниям. Роскомнадзор может применить санкции к таким иностранным компаниям, например, блокировку информационного ресурса. Как действовать в таких случаях иностранным компаниям, пока сказать сложно. Помимо этого, с 01.09.2015 года вступит в силу п.п.3.1. п.3 ст.23 Федерального закона, согласно которому уполномоченный орган по защите прав субъектов персональных данных имеет право ограничивать доступ к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, в порядке, установленном законодательством Российской Федерации.

Принятый закон «О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях)» затрагивает не только о местах хранения баз данных с персональными данными россиян, но и другие аспекты, относящиеся к законодательству о персональных данных.

В 152-ФЗ изменения коснулись ст. 18 «Обязанности оператора при сборе персональных данных» (оператор при сборе персональных данных россиян, в том числе через интернет, должен хранить их в базах данных, расположенных на территории РФ), а также ст. 22 «Уведомление об обработке персональных данных» (о том, что нужно уведомлять контролирующий орган Роскомнадзор о месте хранения баз данных).

Также в принятом законе Роскомнадзор наделяется полномочиями вести реестр нарушителей прав субъектов персональных данных, ограничивать доступ к информации, обрабатываемой с нарушением законодательства о персональных данных, возможностью блокировать ресурсы. И, нужно сказать, что формально контролирующий орган уже наделен таким правом по 139-ФЗ. Например, 8 июля Роскомнадзором был заблокирован сайт telkniga.com с номерами сотовых телефонов россиян.

На кого повлияет закон о хранении персональных данных на территории РФ?

Прежде всего, закон должен коснуться крупных российских компаний, хранящих персональные данные за границей. Им необходимо будет переносить свои дата-центры на территорию России, что потребует больших финансовых затрат. Ведь хостинг на зарубежных ресурсах значительно дешевле. Поэтому можно предположить, что некоторые компании захотят сэкономить и попытаться обойти закон. Например, создавать копии лишь части базы данных и продолжать хранить основную базу за границей. Технически очень сложно определить, что данные хранятся не на территории России. Отсюда возникает вопрос, каким образом контролирующий орган будет отслеживать выполнение закона, это кажется нетривиальной задачей. Но многие российские компании, для которых важен имидж, которые стремятся соблюсти все требования законодательства, будут размещать базы данных на территории нашей страны.

Рассмотрим, на кого еще может распространяться принятый закон. Согласно 152-ФЗ, законодательство о персональных данных распространяется на российских операторов и, в соответствии с , на представительства иностранных юридических лиц, ведущих свою деятельность на территории РФ. То есть на иностранные компании, осуществляющие сбор персональных данных россиян, в том числе с помощью информационно-телекоммуникационной сети «Интернет», действие 152-ФЗ не распространяется.

Если же взять какой-нибудь отель в Турции, на сайте которого происходит сбор персональных данных россиян, то доступ к нему будет ограничен из-за несоблюдения требований нашего законодательства. Но одно дело, когда это касается сайта какого-то небольшого отеля, а другое — когда речь идет о сайте крупной компании. Отелю для выполнения российского законодательства не имеет смысла переносить базу данных на территорию РФ с рациональной точки зрения, так как для него это будут слишком большие финансовые затраты. Но такие корпорации, как Microsoft, IBM, EMC и многие другие, захотят продолжить работать на российском рынке и постараются сохранить клиентов, создавая дата-центры или арендуя уже существующие. И в этом можно увидеть положительный момент: создание дата-центров на территории России повлечет развитие отечественной IT-индустрии.

Как изменится контроль над обработкой персональных данных?

Подписанный закон также вносит изменения в , выводя из-под действия этого закона контроль и надзор за обработкой персональных данных, за соблюдением требований в связи с распространением информации в информационно-телекоммуникационной сети «Интернет». Это значит, что если сейчас Роскомнадзор может прийти в компанию с проверкой только один раз в три года (это регулируется 294-ФЗ), то c вступлением закона в силу с 1 сентября 2016 года он может делать это в любой момент. При этом станет необязательной публикация Роскомнадзором плана проверок на следующий год, и, следовательно, компании даже не будут знать, когда к ним придут с проверкой. Для обычных компаний малого и среднего бизнеса это изменение более существенно по сравнению с изменениями, касающимися хранения персональных данных на территории России.

В последнее время российское законодательство активно меняется, особенно в области персональных данных. И есть вероятность того, что закон, который вступит в силу 1 сентября 2016 года, все же претерпит некоторые изменения. Тем более что сейчас в нем действительно много неясных моментов, помимо перечисленных.

Елена Республиканская , эксперт продукта

Облачная инфраструктура – решение от ГК «Интегрус», предоставляющее современному бизнесу готовую ИТ-инфраструктуру без привлечения значительных материальных и человеческих ресурсов.

Компания “Интегрус” предлагает услуги защиты и хранения персональных данных для корпоративных клиентов в России. Обратившись к нам, вы можете быть полностью уверены, что получаете в свое распоряжение надежную защищенную систему и полностью соблюдаете требования законодательства.

Кому подходят наши услуги

Цены на хранение персональных данных на защищенном сервере в СПб

Тарифный план Цена аренды сервера ИСПДн с аттестатом, руб./мес **
Цена аренды сервера ИСПДн без аттестата, руб./мес
ИСПДн-1 5Gb 4 990 2 490
ИСПДн-2 50Gb 9 990 4 990
ИСПДн-3 100Gb 19 990 9 990
ИСПДн-4 200Gb 29 990 14 990
ИСПДн-5 400Gb 39 990 19 990
Установочный платеж * 10 000

* – Помимо самой стоимости защищенного виртуального сервера в рамках тарифного плана, при заказе первого сервера в ИСПДн имеется установочная плата в

размере 10 000 рублей.

** – Стоимость защищенного сервера ИСПДн с пакетом документов и процедурой аттестации рабочего места.

Продажа защищенной инфраструктуры для хранения и обработки персональных данных по представленным тарифным планам осуществляется с минимальным сроком - 1 год.

Примеры работ

Нашими силами был успешно сделан проект по переносу персональных данных учащихся московского института в облако. Были выпущены аттестаты рабочего места, канала связи а также облачного сервера. Была создана не типовая база данных занимающая 5гб на защищенном сервере.

Наши сертификаты

  • Что входит в наши услуги хранения персональных данных

    • Мы организовываем обработку и хранение информации во внешнем центре обработки данных (ЦОД), предоставляем в ваше распоряжение виртуальную машину, защищенную согласно требованиям Федерального закона о защите персональных данных №152-ФЗ.
    • Реализуем правовые, организационные и технические нормы закона.
    • Оформляем и предоставляем вашей организации полный комплект требуемых документов (учитывая особенности вашего рода деятельности), в их числе аттестат соответствия требованиям безопасности
    • Вам не понадобится заключать договор с субъектами о том, что их персональные сведения будут передаваться на обработку во внешний дата-центр.

    Стоит упомянуть два нюанса:

    • Минимальный период для сервера равен 6 месяцам. Если вы уложитесь в 5гб тогда цена составит 4990р.в месяц. Если все-же потребуется больше тогда нужен следующий тариф: 50гб и 9990руб. в месяц.
    • Стоимость установочного платежа в размере 10 000 руб. справедлив для типового комплекта документов, в вашем случае это «Платформа дистанционного обучения», она у нас не типовая и может потребоваться индивидуальная разработка пакета документации. Стоимость разработки нетиповой конфигурации составляет +15 000 рублей. Делается это единоразово.

    Для понимания нужна ли будет индивидуальная разработка, нам нужно краткое описание сервиса (какая база данных и где хранится (MySQL;SQL и т.д.)) который будет размещаться на сервере ИСПДн. Т.е. алгоритм работы сервиса, кто является субъектом ПДн в сервисе, кто и как получает доступ к сервису.

    Как это работает

    Любое предприятие сейчас использует в своей работе информационные системы, обрабатывающие персональные данные (ПДн). К примеру, это бухгалтерские ИС, финансовые, кадровые и другие. Под обработкой, согласно закону, подразумевается сбор, запись, систематизация, хранение, уточнение, использование, передача, удаление и другие операции с этой информацией.

    Соответственно, рано или поздно встает вопрос о том, чтобы привести свою работу в соответствие с Федеральным законом “О персональных данных” и получить документальное подтверждение этого соответствия.

    Самостоятельно и без необходимого опыта выполнить все требования к хранению персональных данных довольно затруднительно, это может привести к излишним тратам времени и ресурсов. Поэтому мы предлагаем услуги своих специалистов. Они уже не раз решали задачи организации хранения и передачи персональных данных и хорошо знают о “подводных камнях”.

    Хранение персональных данных на сервере дата-центра: преимущества подхода

    Чтобы построить полноценную систему защиты информационных систем персональных данных (ИСПДН) на предприятии, необходимо выполнить предпроектное обследование ИСПДН, разработать модель угроз безопасности, создать концепцию и затем проект системы защиты ИСПДН, поставить, внедрить, разработать методы аттестации, провести проверку и оформить аттестат соответствия.

    Если же организовать хранение персональных данных клиентов в аттестованной виртуальной инфраструктуре, расположенной во внешнем дата-центре, то выполнение всех этих работ упрощается и сводится к утверждению предварительно разработанных типовых документов, а соответствующие затраты значительно сокращаются. Кроме того, хранение данных в надежном и современном дата-центре гарантирует, что ваша информация будет всегда доступна для вас, целостна и защищена от потерь.

    Однако, если переносить ПДн во внешний дата-центр, то, как правило, возникает ряд сложностей. Так, например, согласно Федеральному закону №152-ФЗ “О персональных данных” (ст.7 и ч.ч.3-5 ст.6), определяющему порядок хранения персональных данных в России, оператору для поручения обработки ПДн стороннему дата-центру, необходимо получить согласие каждого субъекта на сбор и хранение персональных данных, где указан перечень данных и допустимых действий с ними, цели, сроки и есть собственноручная подпись каждого субъекта (фактически, заключить с клиентом договор на хранение персональной информации).

    Рис.1. Классическая схема: организация-оператор отдает ПДн на обработку во внешний дата-центр, перекладывая все заботы по обеспечению безопасности этих данных на оператора дата-центра.

    Организация-оператор ПДн при такой классической схеме работы с дата-центром сталкивается со значительными неудобствами и ограничениями в своей работе:

    • Остаются актуальными все организационно-правовые вопросы обработки данных: нужно издавать положение о персональных данных, прорабатывать правовые основания для обработки персональных данных и для передачи персональных данных третьим лицам (включая дата-центр).
    • В силу ст.7 и ч.ч.3-5 ст.6 федерального закона №152-ФЗ “О персональных данных” возникает обязанность получить согласие на передачу персональных данных на обработку в дата-центр с каждого субъекта персональных данных. Причём, такое согласие должно быть оформлено согласно требований ст.9 указанного федерального закона, т.е. содержать, в том числе, цели обработки, полный перечень персональных данных, полный перечень действий с персональными данными, на которые даётся согласие, срок действия согласия и собственноручную подпись субъекта персональных данных либо её электронный аналог.И обычно получение такого согласия вызывает затруднение у организации-оператора.

    Чтобы избежать этих трудностей, мы предлагаем следующую технологию работы:

    • С помощью сертифицированных средств криптозащиты ПДн, передаваемые по каналам связи, защищаются от провайдера услуг связи.
    • Подобным образом мы предлагаем защитить ПДн и при обработке в дата-центре – использовать средства информационной защиты, исключающие абсолютно любую техническую возможность доступа со стороны сотрудников дата-центра. Для этого мы разворачиваем одну или несколько виртуальных машин, каждая из которых – всесторонне изолированный объект, любой доступ к которому со стороны хостинг провайдера блокируется. Это достигается как функциями гипервизора, так и средствами защиты от несанкционированного доступа. В дальнейшем работать с такой арендованной защищённой виртуальной машиной можно с рабочего места из офиса клиента с помощью удалённого терминала (“Удалённый рабочий стол”, VNC-терминал или SSH-терминал).

    Таким образом, ни провайдер, ни дата-центр никак не смогут установить субъекта персональных данных, определить объём информации в виртуальной машине клиента, наличие каких-либо конфиденциальных сведений. Следовательно, такую работу с ПДн в изолированной виртуальной машине нельзя считать передачей ПДн оператору дата-центра или поручением на обработку ПДн, что избавляет клиента от необходимости получать согласие субъектов.

    Пример организации передачи и обработки персональных данных по защищенным каналам связи

    Приведем небольшой кейс, иллюстрирующий данную технологию на примере организации-оператора персональных данных, территориально состоящей из центрального офиса и филиалов.

    Рис.2. Организация передает персональные данные по открытым каналам

    Интернет-провайдер осуществляет передачу IP-пакетов, содержащих персональные данные. Согласно п.3 ст.3 ФЗ-152 это уже частный случай обработки персональных данных. Т. О., согласно п.2 ст.3 ФЗ-152, интернет-провайдер уже превращается в оператора ПДн. И согласно требований ст.6 и ст.7 ФЗ-152, нашей воображаемой оргнанизации, передающей ПДн по открытым каналам в данном случае уже нужно получать согласие субъектов персональных данных на передачу их персональных данных в открытом виде по сетям провайдера. А интернет-провайдер, в свою очередь, должен принимать все необходимые организационно-технические меры для защиты этих данных.

    Однако, если принять меры по шифрованию данных (криптографической защите) перед отправкой по каналам связи интернет-провайдера, то с правовой точки зрения уже не возникнет факта передачи ПДн на обработку. Т.к. согласно п.1 ст.3 ФЗ-152 “персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).”

    На рисунке 3 проиллюстировано, что провайдеру услуг связи не передаётся информация, по которой можно было бы прямо или косвенно установить субъекта персональных данных.

    Рис.3. Организация передает персональные данные по защищенным каналам

    ИТОГ: Применение криптографических средств защиты ПДн перед отправкой их по каналам провайдера позволяет с правовой точки зрения избавится от факта передачи их на обработку этому провайдеру.

    Защита ПДн при обработке в виртуальной инфраструктуре

    Точно также компания “Интегрус” предлагает с помощью защищенных каналов передачи данных защитить ПДн при обработке их в дата-центрах, в облачных хранилищах и виртуальных хостингах с помощью специальных средств защиты информации.

    Защита будет установлена и настроена таким образом, чтобы полностью исключить техническую возможность доступа со стороны сотрудников дата-центра (администраторов, инженеров, операторов) к тем персональным данным, которые организация будет располагать в дата-центре. Такая защита проводится согласно проекта системы защиты ПДн с помощью сертифицированных по линии ФСТЭК России средств защиты информации (в том числе гипервизора виртуальных машин и средств защиты от несанкционированного доступа), а также с использованием сертифицированных по требованиям ФСБ России средств криптографической защиты информации (при передаче по каналам связи и при обработке в виртуальной инфраструктуре). Подробно такая схема проиллюстрирована на рисунке 4.

    Рис.4. Технология защиты ПДн в виртуальной инфраструктуре.

    Защита персональных данных – услуги “Интегрус” в организационно-правовой сфере

    Кроме организации системы защиты, мы выполняем все организационно-правовые работы:

    • Прорабатываем правовые основания для обработки ПДн, её задачи, способы и сроки.
    • Готовим и публикуем документ, который декларирует политику в области работы с персональными данными (положение о хранении, обработке персональных данных) и комплект организационно-распорядительных документов (актов классификации ИС, инструкций, регламентов и журналов).
    • Разрабатываем уведомления об обработке персональных данных для направления в Роскомнадзор (при необходимости).

    Если вы хотите получить готовую информационную систему, выполняющую требования Закона о хранении персональных данных и соответствующую всем стандартам, желаете без проблем работать с персональными данными, не опасаться претензий со стороны клиентов, сотрудников или контролирующих органов, обращайтесь к специалистам “Интегрус”. Оставьте заявку через форму обратной связи на сайте, позвоните или напишите нам и мы охотно проконсультируем вас по технической и правовой стороне вопроса.