03.08.2015

Об использовании баз данных на территории РФ. Способы выполнения требований 242-ФЗ

Baryshnikov_A

Автор: Александр Барышников

Должность: Руководитель направления отдела консалтинга компании «Информзащита»

Как известно, с 1 сентября 2015 года вступают в силу изменения в Федеральный закон «О персональных данных», вносимые ст.2 Федерального закона №242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно телекоммуникационных сетях». В соответствии с изменениями, операторы персональных данных (далее –  ПДн) при осуществлении сбора ПДн граждан РФ должны использовать базы данных, расположенные на территории нашей страны.

В настоящей статье представлены полезные рекомендации для операторов ПДн по выявлению информационных систем персональных данных (далее – ИСПДн), на которые распространяются вносимые изменения 242-ФЗ, а также способы выполнения этих требований. Ведь дорогостоящий, а порой экономически невыгодный, вариант с переносом всей ИСПДн из-за границы в РФ – не единственный способ выполнения требования об использовании базы данных на территории страны при осуществлении сбора персональных данных граждан РФ. 

Сам регулятор обычно не комментирует изменения, которые пока не вступили в силу. В итоге мы видим огромное количество всевозможных интерпретаций новых требований 242-ФЗ. Самая распространенная из них порождает рекомендации о переносе всех информационных систем с базами данных в Россию. При этом некоторые такое трактование распространяют и на организации, которые не представлены в России, например, зарубежные отели и гостиницы, у которых есть сайты бронирования гостиничных номеров. Согласно другой интерпретации, регулятор будет допускать сбор ПДн с использованием базы данных, расположенной за пределами РФ, но при наличии копии этой базы данных на территории страны. В связи с этим некоторые эксперты считают, что для выполнения требований достаточно использовать копии баз данных в России. Такое трактование закона является неверным. Также распространены слухи о том, что ряд поставщиков услуг якобы предлагает переносить в свои ЦОДы все информационные системы, расположенные за пределами РФ, вводя в заблуждение своих международных клиентов. Все это приводит к тому, что из-за неверного трактования вносимых норм часть международных компаний думает о том, чтобы отказаться от ведения бизнеса в России из-за высоких расходов и сложностей выполнения требований. 

А теперь давайте перейдем к конструктивному рассмотрению вносимых изменений. Так, например, в законе говорится, что при осуществлении сбора персональных данных, Оператор ПДн должен обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ. Например, если ваша компания в какой-то системе использует ПДн, собранные с помощью другой информационной системы, то ее не нужно переносить в Россию, так как она не попадает под действие вносимых изменений. И это не единственное исключение, из которого вытекает хорошее решение выполнения новых требований. Давайте рассмотрим их подробнее. 

Прежде всего отметим, что перед тем как выполнять требование по локализации баз данных, необходимо для каждой ИСПДн провести тщательный анализ технологического процесса обработки ПДн в системе. Нужно добиться четкого понимания, откуда появились ПДн в рассматриваемой ИСПДн, что с ними происходит в данной системе и куда они далее передаются. Также необходимо понимать весь состав такого рода ИСПДн, чтобы применить один из предлагаемых нами способов приведения к соответствию требованиям 242-ФЗ.

На основании собранной информации мы можем определить, кому принадлежит та или иная ИСПДн, осуществляется ли сбор ПДн с помощью этой ИСПДн и применимы ли к ней описанные требования, возможно ли использовать другую ИСПДн для сбора ПДн, если в текущей системе происходит только использование полученных данных. 

Если ИСПДн используется при осуществлении сбора ПДн, то мы предлагаем следующие способы выполнения требований, вносимых положениями статьи 2 Федерального закона 242-ФЗ: 

  1. Собирать ПДн граждан РФ с помощью одной информационной системы, которая расположена на территории России (в том числе и ее база данных). Затем извлекать эти данные в другие информационные системы для последующего их использования. При этом базы данных таких систем могут располагаться и за пределами России. Такой способ не нарушает ни единого требования, так как сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение) ПДн будут осуществлены с помощью базы данных на территории РФ. При этом операторам не стоит забывать про условия трансграничной передачи данных, которые установлены нормами ФЗ «О персональных данных», и которые, кстати, не отменены, как это также ошибочно трактуют некоторые специалисты. 

Мы успешно реализовали такой способ в одной международной страховой компании, у которой было несколько находящихся за пределами РФ информационных систем, обрабатывающих одни и те же ПДн клиентов. Теперь все менеджеры компании вносят ПДн клиентов в единую систему, расположенную на территории РФ, а затем при помощи специальных коннекторов эти данные копируются во все остальные информационные системы.111111111111

2. Второй способ заключается в том, что вносимые требования будут распространяться только на базу данных, а не на всю информационную систему. Например, для трехуровневой архитектурной модели информационной системы возможно организовать перенос базы данных или создание отдельной базы данных для ПДн граждан России на территории страны. При этом сервер приложений информационной системы останется за пределами РФ. В этом варианте также нет никаких нарушений требований, так как сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение происходит с помощью базы данных, находящейся на территории РФ. Такой подход мы предложили в одной международной компании, занимающейся ритейлом.Барышников23. И, наконец, самым распространенным способом, который тоже не стоит исключать, является, конечно же, перенос всей информационной системы, обрабатывающей ПДн граждан РФ, на территорию России. Кстати, можно отметить, что этот способ в связи с текущим курсом валют, снизившейся стоимостью услуг по аренде ЦОДов для иностранных компаний и оплаты работ специалистов уже осуществляется некоторыми компаниями. Такой способ для части своих информационных систем был выбран в международной компании, занимающейся производством электроники.Барышников 3Первые два варианта существенно экономят финансовые и временные ресурсы компании по сравнению с вариантом переноса информационной системы в РФ. Особенно, если таких систем много, и они обрабатывают похожую информацию. При этом бывают случаи, когда 242-ФЗ используется бизнесом перед иностранными партнерами для обоснования локализации систем, обрабатывающих ПДн граждан РФ. Так поступила одна международная компания, которая решила перенести все системы, обрабатывающие ПДн российских пользователей своих сайтов, в Россию.

Выбирая один из трех вариантов, необходимо при обследовании и анализе процессов обработки ПДн учитывать цель обработки ПДн. Дело в том, что у вносимых поправок в Федеральный закон «О персональных данных» есть ограничения, когда эти требования не распространяются на ИСПДн при осуществлении сбора ПДн. Такие исключительные случаи указаны в п. 2, 3, 4, 8 ч. 1 ст. 6 Федерального закона «О персональных данных».

Для коммерческих компаний наиболее интересными, на наш взгляд, являются положения п.2 ч.1 ст.6, в соответствии с которым возможны случаи, когда обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

Подводя итог данной статьи, хочется еще раз обратить внимание на формулировки вносимых изменений, особенности их применения, возможные предусмотренные законодательством РФ исключения. Следует проводить анализ процессов обработки ПДн, правильно понимать и формулировать цели обработки ПДн и основания для их обработки. Уже на этом уровне мы неоднократно выявляли излишние персональные данные, которые не требовались для выполнения бизнес-задач с помощью рассматриваемых информационных систем. Также были случаи, когда одни и те же персональные данные вносились сразу в несколько систем. При этом рекомендуется помнить, что нужно обязательно определять владельца ИСПДн и оператора, то есть того, кто определяет цели обработки ПДн в этой ИСПДн. Это поможет понять, кто должен определять требования и меры защиты информации в системе.