Текущая позиция Роскомнадзора по 242-ФЗ

Текущая позиция Роскомнадзора по 242-ФЗ
На днях состоялась встреча Роскомнадзора с представителями бизнеса, посвящённая вопросам исполнения 242-ФЗ. Говорят, на этой неделе должны быть выложены разъяснения Роскомнадзора по этому поводу. Пока их нет, почитайте, что говорит регулятор под катом.

Позицию РКН озвучивали:
  • Антонина Аркадьевна Приезжева, заместитель руководителя Роскомнадзора;
  • Юрий Евгеньевич Кантемиров, начальник управления по защите прав субъектов ПДн;
  • Роман Валерьевич Кузнецов, заместитель министра связи и массовых коммуникаций.

Кто должен переносить базы в Россию?

«Неважно расположена ли иностранная компания на территории РФ или нет, если она распространяет свою деятельность на российский сегмент, который рассчитан на российского потребителя, то требования 242-ФЗ будут к ней применяться».

Все компании, предоставляющие свои услуги с расчётом, в том числе, на Россию. Один из критериев "отбора" - наличие русской локализации на сайте, "условий использования" на русском языке.

Иностранные компании, которые хранят персональные данные работников в зарубежных базах, могут базы не переносить, если есть согласие работников на трансграничную передачу. Немного странно, так как согласие не нужно, если обработка в рамках договора и передача ведётся в правильную страну. Но так вот сказали.

Обработчик vs оператор

Роскомнадзор не делает разницы между этими понятиями. 

Хранить в России нужно главную базу данных, а не дубликат

РКН отрицательно относится к практике, когда собирать ПДны операторы хотят в западные базы данных, а в России держать только копию. Они трактуют закон так: раз сказано «нужно в России», значит делать это за пределами России нельзя.

«Закон (ФЗ242) не допускает запись, систематизацию, накопление, хранение, уточнение, обновление, изменение, извлечение персональных данных граждан Российской Федерации за пределами России при сборе персональных данных.»
“Как до так и после сбора данных актуализация и хранение персональных данных должны происходить в российской базе данных”

В своих комментариях  РКН так же высказывал позицию, что если цель обработки ПДн не предусматривает непосредственной необходимости в передаче ПДн за границу, то даже имея согласие субъекта, передавать ПДн за границу нельзя. 
То есть если клиенты в России, оператор в России, услуги в России - то и ПДн должны храниться в России.

Общедоступные персональные данные полностью подпадают под действие 242-ФЗ

Facebook таки станет мордокнигой, судя по всему.

Интересности

  • Проблем нет
По мнению Роскомнадзора никаких проблем с переносом ЦОДов в Россию у бизнеса нет. Никто расчёты своих затрат им не предоставил, а те расчёты, которые есть, выполнены по непонятной для РКН методике и, следовательно, ошибочны.
  • Закон обратной силы не имеет
Если база собрана до 1 сентября и является статичной (не обновляется) - то можно не переносить. РКН напомнил об обязанности оператора обрабатывать только актуальную информацию о субъекте.

А как проверят?

Это, по моему мнению, самая слабая часть 242-ФЗ. С 1 сентября у Роскомнадзора появится возможность "систематического наблюдения без непосредственного взаимодействия с проверяемым лицом". То есть РКН будет лазить по сайтам иностранных компаний, где есть формы ввода перс.данных, и пробивать их по whois.
Если IP адрес сайта будет иностранным - то это сразу залёт (будьте, кстати, аккуратней с  CloudFlare ) . Если фронтенд отдаётся из России, то скорее всего вас не тронут. 
Разобраться в бэкенде любой мало-мальски сложной системы не могут частенько даже собственные ИТ администраторы, поэтому шанс того, что РКН полезет в вашу архитектуру, откопает локальный адрес базы данных и поймёт, что у вас прокинут VPN до  Амстердама, очень маленький. Если вы, конечно, сами им об этом не скажете.
Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

Артем Агеев

root@itsec.pro:~#