Обработка персональных данных в облачных сервисах: правовой аспект
Компании зачастую используют облачные сервисы, не задумываясь о штрафах и рисках. Разобрали вопрос с юристом практики IP и персональных данных и рассказали о работающих рекомендациях.
Практически невозможно представить себе деятельность современной компании без использования облачных технологий – Dropbox, iCloud, Google Drive, Microsoft OneDrive, «Яндекс.Диск», «Облако Mail.ru», Google Docs и множества других, включая повсеместно используемые электронные почты.
Вместе с тем, зачастую затруднительно привести процессы, связанные с обработкой персональных данных в компании, в полное соответствие с законодательными требованиями.
Понятие персональных данных
Согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Приведенное определение довольно широкое, в связи с чем на практике к персональным данным относят в том числе номер телефона, адрес электронной почты, занимаемую должность и любые другие сведения, которые сами по себе или совместно с другой информацией могут потенциально идентифицировать субъекта персональных данных.
Таким образом, любая информация о клиентах или контрагентах, которая попадает в облачные сервисы в ходе текущей деятельности компании, с большой долей вероятности может быть квалифицирована в качестве персональных данных, а компания, соответственно, будет являться их оператором.
Понятие обработки персональных данных
Закон о персональных данных содержит определение обработки персональных данных, согласно которому под обработкой понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.
Включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (статья 3).
Таким образом, любое взаимодействие с облачными сервисами, связанное с передачей, хранением персональных данных или любыми другими действиями с персональными данными в них, подпадает под понятие обработки и, следовательно, должно осуществляться с полным соблюдением законодательных требований, в том числе о необходимости локализации персональных данных граждан РФ.
При этом необходимо отметить, что передача/хранение обезличенных данных или данных в зашифрованном виде также не выводит деятельность компании из-под сферы действия Закона о персональных данных.
Во-первых, обезличивание напрямую указано в определении обработки персональных данных, во-вторых, перечень действий с персональными данными, которые считаются обработкой, не является закрытым в связи с указанием в Законе на любые действия и операции с данными.
Проблема определения статуса провайдера облачного сервиса с точки зрения законодательства о персональных данных
Закон о персональных данных разделяет две категории субъектов, осуществляющих обработку персданных:
· Оператор;
· Лицо, осуществляющее обработку персональных данных по поручению оператора.
В соответствии со статьей 3 Закона о персональных данных, оператором является госорган, муниципальный орган, юридическое или физ лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персданных, а также определяющие цели обработки персданных, состав персданных, подлежащих обработке, действия (операции), совершаемые с персданными.
В качестве операторов выступают компании, использующие облачные сервисы.
По вопросу статуса провайдера облачного сервиса на текущий момент существуют две основные позиции: либо он является лицом, осуществляющим обработку персональных данных по поручению оператора («обработчиком»), либо он вообще не участвует в процессе обработки персональных данных.
Можно привести аргументы в поддержку обеих точек зрения. В частности, о том, что провайдер облачного сервиса исключается из перечня субъектов, осуществляющих обработку персональных данных, могут свидетельствовать следующие моменты:
- Целью провайдера облачного сервиса является непосредственно предоставление доступа к такому сервису своим пользователям. В свою очередь клиент облачного сервиса располагает данные в «облаке», и именно у пользователя есть цель сбора и обработки персональных данных в рамках его деятельности.
- Из предыдущего пункта следует, что провайдер облачного сервиса не знает, какие конкретно данные, какая информация хранится в его вычислительных мощностях. Его задача – предоставить доступ к пулу ресурсов, далее сам пользователь решает, в каких целях эти ресурсы использовать.
- Также у провайдера фактически отсутствует доступ к таким данным, поскольку пользователи облачных сервисов могут хранить или передавать данные через них в зашифрованном виде.
Несмотря на приведенные выше аргументы, провайдер облачного сервиса все же может быть признан лицом, осуществляющим обработку персональных данных по поручению оператора.
В соответствии с частью 3 статьи 6 Закона о персональных данных, оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора (поручение оператора).
Так, компании при осуществлении коммерческой деятельности получают персональные данные напрямую от субъектов персональных данных и передают их или хранят в облачных сервисах на основании заключаемых договоров с провайдерами облачных сервисов (например, в связи с оказанием услуг хостинга, однако фактическое название договора может быть любым).
В данном варианте взаимодействия компания является оператором персональных данных, а провайдер облачного сервиса – лицом, осуществляющим обработку персональных данных по поручению оператора («обработчиком»).
Также по вопросу обработки персональных данных с использованием облачных сервисов существуют разъяснения Рабочей группы по вопросам защиты физических лиц при обработке персональных данных[1], которая являлась независимым консультативным органом Евросоюза по вопросам защиты персональных данных и обеспечения неприкосновенности частной жизни. В связи с тем, что большая часть положений российского законодательства по вопросам обработки персональных данных заимствована и тем или иным образом основана на положениях соответствующего законодательства ЕС, данные разъяснения являются применимыми в текущем контексте.
[1] Opinion 05/2012 on Cloud Computing: the cloud provider is the entity that provides the cloud computing services in the various forms. When the cloud provider supplies the means and the platform, acting on behalf of the cloud client, the cloud provider is considered as a data processor. URL: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf
Согласно указанному документу, клиент облачного сервиса определяет цель обработки персональных данных и принимает решение о передаче всей или части процессов обработки внешней организации, выступая при этом в качестве оператора персональных данных.
Облачный сервис является организацией, которая предоставляет услуги облачных вычислений в различных формах. В том случае, когда облачный сервис предоставляет средства и платформу в интересах клиента и действует от его имени, облачный сервис является «обработчиком» персональных данных.
Так, статус провайдера облачного сервиса в рамках процессов обработки персональных данных остается не до конца ясным, однако существует высокая вероятность квалификации провайдера облачного сервиса в качестве «обработчика».
Основные требования, которые обязана соблюсти компания при использовании облачных сервисов
В связи с потенциальной возможностью признания провайдера облачного сервиса «обработчиком» при его привлечении к процессам обработки персональных данных компания как оператор обязана выполнить следующие требования:
1. Получить согласие от субъектов персональных данных на обработку их данных с использованием облачного сервиса.
Фактически компания передает персональные данные третьему лицу – провайдеру облачного сервиса – в связи с чем условием законности такой передачи является получение согласия субъекта, в котором должны быть указаны, среди прочего, наименование провайдера облачного сервиса, перечень передаваемых персональных данных, цели передачи.
Вместе с тем, на практике затруднительно обеспечить получение согласий от всех субъектов в письменной форме, а также не всегда субъект персональных данных готов предоставить согласие на передачу своих данных обработчику.
2. Обеспечить надлежащие меры защиты персональных данных, обрабатываемых в облачных сервисах.
Реализация данного требования затруднительна в связи с тем, что оператор фактически не имеет возможности контролировать технические меры защиты, принимаемые облачным сервисом.
3. Соблюсти требование о локализации персональных данных граждан Российской Федерации на территории Российской Федерации.
Основная проблема заключается в том, что значительное количество серверов, которые предоставляются провайдерами или на которых расположены облачные сервисы, находятся за рубежом.
Вместе с тем, согласно требованиям Закона о персональных данных, персональные данные граждан РФ первоначально должны храниться в базе данных, расположенных на территории России и лишь затем могут быть переданы за рубеж с соблюдением требований, предъявляемых к трансграничной передаче персональных данных.
Зачастую компании не проверяют местоположение сервера используемого облачного сервиса и нарушают законодательство в связи с:
· несоблюдением требований о локализации. В ходе проверки при раскрытии факта нарушения требований о локализации Роскомнадзор вправе наложить административный штраф (от 1 до 6 миллионов рублей за первичное нарушение);
· неполучением согласий от субъектов персональных данных на трансграничную передачу персональных данных.
В случае, если страна расположения сервера не является участницей Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персданных и не входит в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, публикуемый Роскомнадзором.
Рекомендации компаниям, обрабатывающим персональные данные в облачных сервисах:
· детализировать требования к защите персональных данных и по соблюдению конфиденциальности персональных данных в соглашении с провайдером облачного сервиса;
· в случае первичного сбора персональных данных проверять местонахождения серверов используемых облачных сервисов с целью соблюдения требований о локализации;
· получать согласия субъектов персональных данных на обработку их персональных данных с использованием облачного сервиса.
Соблюдение всех законодательных требований при обработке персональных данных в облачных сервисах является непростой задачей.
Для выявления всех рисков и разработки плана действий по приведению деятельности компании в соответствие с требованиями законодательства о персональных данных целесообразно проводить полный аудит процессов обработки персональных данных в компании с привлечением юристов, специализирующихся в данной области!