Здравствуйте!
Вся ИТ-отрасль последний год переживает по поводу поправок в закон «О персональных данных». Всё думаем и гадаем, заблокируют наши сайты 1 сентября или нет.
Если с крупными игроками (Google, Apple) всё более-менее понятно, то как быть маленьким проектам, которые тоже работают с данными? Например, я в своём проекте захватываю email пользователя, а сервера находятся в Германии, значит, уже могу быть заблокирован.
Но недавно я узнал про то, что Роскомнадзор выдаёт лицензии на оказание телематических услуг связи.
Поэтому хотел бы спросить у специалистов, в правильном ли я в этом направлении думаю, что если эту лицензию получить, то и данные можно будет не переносить? Или это совершенно разные вещи?
Спасибо!
Отвечает Ксения Осипова, юрист фирмы «Толкачёв и партнёры»
Добрый день!
Для начала пару слов о блокировках сайтов. Действительно, 1 сентября 2015 года в силу вступят поправки в федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — «Закон об информации»), согласно которым появится новое основание для ограничения доступа к интернет-ресурсу — нарушение прав субъектов персональных данных. По традиции для нового основания будет создан новый реестр, на этот раз «реестр нарушителей прав субъектов персональных данных».
Включение сайта в этот реестр повлечет его блокировку операторами связи по стандартной процедуре. Попасть в реестр можно будет исключительно на основании решения суда по иску конкретного субъекта персональных данных, либо по иску самого Роскомнадзора, и только в случае отсутствия реакции на уведомление со стороны Роскомнадзора.
Иск может быть предъявлен в связи с нарушением закона «О персональных данных» (как нового требования об использовании баз данных на территории России, так и иных требований: в частности, обработки персональных данных с получением согласия пользователей или на ином законном основании, обеспечения конфиденциальности персональных данных и технических требований к операторам персональных данных).
Теперь о новом требовании по хранению персональных данных в России. Звучит оно следующим образом: «при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».
Требование довольно странное и, как вы можете заметить, не предусматривает обязанности хранить все персональные данные исключительно на территории России.
Для того, чтобы соблюдать это требование могут быть использованы следующие стратегии:
- не осуществлять сбор персональных данных, то есть непосредственное получение персональных данных от субъектов персональных данных, а получать персональные данные по договору с лицом, которое осуществляет сбор;
- отделить базы данных от серверов, то есть осуществить юридическое деление системы обработки персональных данных на технические средства, которые находятся за пределами России, и базу данных, находящуюся на территории России;
- устанавливать гражданство пользователя (можно исключить российских пользователей);
- ну и, собственно, иметь на территории Российской Федерации серверные мощности для осуществления части обработки данных.
В случаях 1 и 2 необходимо также получать согласие субъектов персональных данных на трансграничную передачу данных либо передавать персональные данные на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. Германия, упомянутая в вопросе, является стороной этой конвенции.
В вопросе приводится пример сервиса, собирающего у своих пользователей адреса электронной почты. Отметим, что адрес электронной почты (в особенности не корпоративный, а личный, открытый в общедоступном почтовом сервисе) не является персональными данными. Такого же мнения придерживается и Роскомнадзор, недавно опубликовавший комментарий к Закону о персональных данных. Цитируем: «к числу данных, которые не могут рассматриваться, по крайней мере, по отдельности друг от друга в качестве персональных, могут быть отнесены: фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения» [1].
И наконец, к вопросу о лицензировании телематических услуг. Телематические услуги — один из видов услуг связи, как правило, ее получают хостинг-провайдеры, а также интернет-провайдеры. Однако получение какой-либо лицензии, в том числе лицензии на телематические услуги связи, не освобождает ее владельца от выполнения требований Закона о персональных данных, при этом создает дополнительные сложности в виде необходимости соответствовать лицензионным требованиям. На наш взгляд, лицензия вам не нужна.
[1] Федеральный закон «О персональных данных»: научно-практический комментарий. Под редакцией заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. — М.: Редакция «Российской газеты», 2015. Вып. 11. — 176 с.
Актуальные вопросы:
1. Что есть согласие на обработку ПД? Как сей факт должен фиксироваться? чекбокс "даю согласие и бла бла бла" сегодня отсутствует, завтра запилим - прежние пользователи выходит, тоже дали согласие? Кроме как вариантов отправки кода на мыло, телефон, подписи на экране устройства и не видно, по хорошему.
2. Регистрация через ВК, например. Если ограничиваемся только регистрацией и дальнейшей авторизацией без непосредственного копирования ПД, какие вопросы могут возникнуть к сервису? Признаюсь, в техническую часть не углыбился, но может для кого ответ очевиден - поделитесь?
Как избежать блокировок, отвечает РосКомНадзор. Ответ: никак
GetResponse http://www.getresponse.ru изначально польская компания, размещаемся мы в основном на серверах в Польше и Америке. Данные это, преимущественно, адрес электронной почты, мы же платформа для рассылок:)
Наши юристы отправили письмо в Роскомнадзор со списком конкретных вопросов, и в течение двух недель пришел ответ...
Все разъяснения - вода, в лучших традициях отечественных политиков.
На главный вопрос - обязателен ли первичный сбор данных и дальнейшая обработка на территории РФ, дали ответ, что комментировать части закона до его принятия они не имеют права.
Вывод - ждем сентября, до этого момента, никаких точных формулировок ждать не стоит.
должна появиться методичка с описание проверок и их регламентом, как вообще проверять сначала, кого и по каким доносам!
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
важное забыли и забываете!
в первую очередь проверки ждут операторов персональных данных, которые зарегистрированы как операторы персональных данных в роскомнадзоре. Роскомнадзор сам себе не буратино!
ну и крупные соцсети конечно проверят для шума в СМИ, чтобы показать деятельность РКН и запретить иностранных агентов.
Комментарий удален модератором
- да. Наличие лицензии на телематику автоматом потянет необходимость сдачи узла связи (собственные сервера в РФ, СОРМ), отчисления в резерв универсального обслуживания, ежедневные выгрузки реестра запрещенных сайтов м т. п.), но никак не повлияет на ПД.
У Роскомнадзора не определен порядок проверки места хранения ПД, так что пока можно расслабиться
Вопрос: Что именно тогда является персональными данными?
Возможно, проще будет исключить определенные поля при регистрации, нежели перенос на ру сервер.