Лого vc.ru

Как избежать блокировки сайта по закону о персональных данных

Как избежать блокировки сайта по закону о персональных данных
Поделиться

Здравствуйте!

Вся ИТ-отрасль последний год переживает по поводу поправок в закон «О персональных данных». Всё думаем и гадаем, заблокируют наши сайты 1 сентября или нет.

Если с крупными игроками (Google, Apple) всё более-менее понятно, то как быть маленьким проектам, которые тоже работают с данными? Например, я в своём проекте захватываю email пользователя, а сервера находятся в Германии, значит, уже могу быть заблокирован.

Но недавно я узнал про то, что Роскомнадзор выдаёт лицензии на оказание телематических услуг связи.

Поэтому хотел бы спросить у специалистов, в правильном ли я в этом направлении думаю, что если эту лицензию получить, то и данные можно будет не переносить? Или это совершенно разные вещи?

Спасибо!


Отвечает Ксения Осипова, юрист фирмы «Толкачёв и партнёры»

Добрый день!

Для начала пару слов о блокировках сайтов. Действительно, 1 сентября 2015 года в силу вступят поправки в федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — «Закон об информации»), согласно которым появится новое основание для ограничения доступа к интернет-ресурсу — нарушение прав субъектов персональных данных. По традиции для нового основания будет создан новый реестр, на этот раз «реестр нарушителей прав субъектов персональных данных».

Включение сайта в этот реестр повлечет его блокировку операторами связи по стандартной процедуре. Попасть в реестр можно будет исключительно на основании решения суда по иску конкретного субъекта персональных данных, либо по иску самого Роскомнадзора, и только в случае отсутствия реакции на уведомление со стороны Роскомнадзора.

Иск может быть предъявлен в связи с нарушением закона «О персональных данных» (как нового требования об использовании баз данных на территории России, так и иных требований: в частности, обработки персональных данных с получением согласия пользователей или на ином законном основании, обеспечения конфиденциальности персональных данных и технических требований к операторам персональных данных).

Теперь о новом требовании по хранению персональных данных в России. Звучит оно следующим образом: «при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».

Требование довольно странное и, как вы можете заметить, не предусматривает обязанности хранить все персональные данные исключительно на территории России.

Для того, чтобы соблюдать это требование могут быть использованы следующие стратегии:

  1. не осуществлять сбор персональных данных, то есть непосредственное получение персональных данных от субъектов персональных данных, а получать персональные данные по договору с лицом, которое осуществляет сбор;
  2. отделить базы данных от серверов, то есть осуществить юридическое деление системы обработки персональных данных на технические средства, которые находятся за пределами России, и базу данных, находящуюся на территории России;
  3. устанавливать гражданство пользователя (можно исключить российских пользователей);
  4. ну и, собственно, иметь на территории Российской Федерации серверные мощности для осуществления части обработки данных.

В случаях 1 и 2 необходимо также получать согласие субъектов персональных данных на трансграничную передачу данных либо передавать персональные данные на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. Германия, упомянутая в вопросе, является стороной этой конвенции.

В вопросе приводится пример сервиса, собирающего у своих пользователей адреса электронной почты. Отметим, что адрес электронной почты (в особенности не корпоративный, а личный, открытый в общедоступном почтовом сервисе) не является персональными данными. Такого же мнения придерживается и Роскомнадзор, недавно опубликовавший комментарий к Закону о персональных данных. Цитируем: «к числу данных, которые не могут рассматриваться, по крайней мере, по отдельности друг от друга в качестве персональных, могут быть отнесены: фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения» [1].

И наконец, к вопросу о лицензировании телематических услуг. Телематические услуги — один из видов услуг связи, как правило, ее получают хостинг-провайдеры, а также интернет-провайдеры. Однако получение какой-либо лицензии, в том числе лицензии на телематические услуги связи, не освобождает ее владельца от выполнения требований Закона о персональных данных, при этом создает дополнительные сложности в виде необходимости соответствовать лицензионным требованиям. На наш взгляд, лицензия вам не нужна.

[1] Федеральный закон «О персональных данных»: научно-практический комментарий. Под редакцией заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. — М.: Редакция «Российской газеты», 2015. Вып. 11. — 176 с.

Популярные статьи
Показать еще
Комментарии отсортированы
как обычно по времени по популярности

GetResponse www.getresponse.ru изначально польская компания, размещаемся мы в основном на серверах в Польше и Америке. Данные это, преимущественно, адрес электронной почты, мы же платформа для рассылок:)

Наши юристы отправили письмо в Роскомнадзор со списком конкретных вопросов, и в течение двух недель пришел ответ...

Все разъяснения - вода, в лучших традициях отечественных политиков.

На главный вопрос - обязателен ли первичный сбор данных и дальнейшая обработка на территории РФ, дали ответ, что комментировать части закона до его принятия они не имеют права.

Вывод - ждем сентября, до этого момента, никаких точных формулировок ждать не стоит.

0

должна появиться методичка с описание проверок и их регламентом, как вообще проверять сначала, кого и по каким доносам!

0

Как избежать блокировок, отвечает РосКомНадзор. Ответ: никак

важное забыли и забываете!
в первую очередь проверки ждут операторов персональных данных, которые зарегистрированы как операторы персональных данных в роскомнадзоре. Роскомнадзор сам себе не буратино!

0

ну и крупные соцсети конечно проверят для шума в СМИ, чтобы показать деятельность РКН и запретить иностранных агентов.

0

Актуальные вопросы:
1. Что есть согласие на обработку ПД? Как сей факт должен фиксироваться? чекбокс "даю согласие и бла бла бла" сегодня отсутствует, завтра запилим - прежние пользователи выходит, тоже дали согласие? Кроме как вариантов отправки кода на мыло, телефон, подписи на экране устройства и не видно, по хорошему.
2. Регистрация через ВК, например. Если ограничиваемся только регистрацией и дальнейшей авторизацией без непосредственного копирования ПД, какие вопросы могут возникнуть к сервису? Признаюсь, в техническую часть не углыбился, но может для кого ответ очевиден - поделитесь?

>это совершенно разные вещи
- да. Наличие лицензии на телематику автоматом потянет необходимость сдачи узла связи (собственные сервера в РФ, СОРМ), отчисления в резерв универсального обслуживания, ежедневные выгрузки реестра запрещенных сайтов м т. п.), но никак не повлияет на ПД.

У Роскомнадзора не определен порядок проверки места хранения ПД, так что пока можно расслабиться

0

> к числу данных, которые не могут рассматриваться, по крайней мере, по отдельности друг от друга в качестве персональных, могут быть отнесены: фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения

Вопрос: Что именно тогда является персональными данными?
Возможно, проще будет исключить определенные поля при регистрации, нежели перенос на ру сервер.

0

Возможность комментирования статьи доступна только в первые две недели после публикации.

Сейчас обсуждают
Rokotova
Нерудас

а мне нравится как вы пишете о сервисе и как подходите к разработке. я уверена, что сейчас правильно делать полезный сервис не для всех и каждого, а для узкого и понятного сегмента.

«Омоймот» — сайт для подбора мотоциклов с блогами пользователей
0
Leo Silaev
Zillion Whales

Ну так может оно к лучшему :)

Mushroom Wars 2: рассказ российских разработчиков о том, какой путь прошла игра от концепта до релиза
0
Дмитрий Астапкович

Прикольно, что первый 2d прототип MW, который мы сделали на двоих с программистом за 2 недели, отверги. Типа нужно крутое 3d, которое начали делать. Примерно год попыток спустя игру выпустили все же в 2d. А я тогда уже был в Nival.

Mushroom Wars 2: рассказ российских разработчиков о том, какой путь прошла игра от концепта до релиза
0
Personne Connat
Newflora

Абсурдность, на мой взгляд, в позиционировании. Дикси - это бомжачка, по большому счету, а реклама сделана "стильно модно молодежно" - я вижу тут совершенно четкий расфокус. На мой взгляд, целенаправленно в Дикси ходит только старшее поколение, чтобы сэкономить. Соответственно РК должна быть под стать своей ЦА. Кроме того, когда я зашел в Дикси глянуть ножи - я не нашел их без помощи продавца. Стоял маленький стеллажик возле пива. Вопрос - нахера вливать столько бабок в оффлайн РК и при этом так убого демонстрировать рекламируемый товар? По-идее, во время этой акции первое, что я должен видеть, заходя в магазин Дикси - эти ножи, а не случайно натыкаться на них или спрашивать, как их найти. А я же так и зашел целенаправленно посмотреть акцию, обошел магазин, ничего не нашел) На кассе спросил "а что за акция с ножами?" - меня проводили до стеллажа ))

«Товарооборот на 44% превысил ожидания маркетологов»: история акции с «Прилипалами» в «Дикси»
0
Superstartuper

"После запуска продукта Заманов наконец снова переехал в квартиру. О компании заговорили и появились первые клиенты."

Не слишком тянет на анонсированный в заголовке "успех", у этого 1001-го агрегатора еще полно времени пополнить собой списки зомби-проектов

«Когда совершаешь прыжок веры, ты не можешь не добиться успеха»
0
Показать еще