«Облака» и персональные данные

«Облака» и персональные данные


К персональным данным, которые операторы доверяют поставщикам облачных услуг, относится всё то же самое, что и ко всем остальным данным, о которых речь шла выше. Впрочем, существует ряд законодательных аспектов применения «облаков» при обработке персональных данных, о которых следует знать, прежде чем принимать решение об использовании облачных сервисов.
Прежде всего, стоит отметить, что до сих пор среди экспертов нет единодушия по поводу трактовки норм федерального закона «О персональных данных» в отношении «облаков». Первое, о чем следует помнить – это необходимость получения согласия от субъекта на обработку данных сервис-провайдером, который является в данном случае третьей стороной в отношениях между субъектом и оператором ПД. При этом при получении согласия от субъектов операторы должны указывать своих сервис-провайдеров и список операций, которые те будут производить над персональными данными.
Наиболее «узким» моментом выполнения законодательных требований провайдерами облачных услуг является применение сертифицированных ФСБ криптографических средств защиты. Вполне понятно, что проблема возникает, в первую очередь, с зарубежными сервис-провайдерами, хотя ряд российских также до сих пор не могут предложить своим клиентам сертифицированную защиту. Здесь, по-видимому, наилучшим вариантом будет тщательных отбор сервис-провайдеров для того, чтобы остановиться в итоге на том из них, который предлагает сертифицированную защиту.
Больным вопросом для «облаков» остается и трансграничная передача персональных данных. Недостаточная ясность законодательства в данном вопросе оборачивается головной болью для сервис-провайдеров и их клиентов, поскольку многие облачные сервисы располагаются физически на серверах в Европе и в Америке. Впрочем, как отмечают представители самих сервис-провайдеров, в данном случае большая часть «облаков» оказываются в весьма удобным для заказчика положении, поскольку закон позволяет осуществлять трансграничную передачу ПД без ограничений в те страны, которые обеспечивают адекватную защиту. В данном случае показателем адекватности вполне может служить факт ратификации Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. Эта конвенция принята в подавляющем большинстве западных стран.
Р. Идов,
ведущий аналитик компании SearchInform
информационная безопасность закон Р. Идов правовые вопросы облачные вычисления
Alt text

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.