Внимательно анализируя результаты весенней парламентской сессии, изменения, внесенные в законодательство и ревизуя свои авторские курсы в связи с этими изменениями (в сентябре предстоят премьеры всех четырех обновлений и подготовиться нужно серьезно), иногда прихожу к неожиданным для себя выводам.
Самыми интересными буду делиться здесь. Если есть желание поспорить или предложить иную трактовку – милости прошу. Поскольку выводы иногда получаются не самыми оптимистичными.
Начнем с облачных вычислений.
Похоже, новая редакция закона «О персональных данных» категорически исключает возможность простого и радикального решения вопроса соответствия закону – переноса обработки персданных за территорию Российской Федерации или в облако с нечеткими границами.
Итак, логика рассуждений. ФЗ-152 позволяет оператору поручить обработку персданных другому лицу, уже получившему в Интернете элегантное имя ЛООПДППО (лицо, организующее обработку персональных данных по поручению оператора) на основании договора, заключаемого с этим самым ЛООПДППО (ч.3 ст.6). Согласие должно быть доказываемое, конкретное, информированное (кто бы сказал, что это?) и сознательное. Допустим, эта проблема решена в договоре между оператором и субъектом. Идем дальше.
ЛООПДППО обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152, а в поручении оператора должны быть указаны требования (!) к защите обрабатываемых персональных данных (теперь внимание!) в соответствии со статьей 19.
Не вдаваясь пока глубоко в содержание ст.19, выделю лишь горячо обсуждаемое требование о применении средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.
В ч.5 ст.6 определено, что оператор несет ответственность перед субъектом персональных данных за действия ЛООПДППО.
Определяя роль оператора, передающего обработку на аутсорсинг, ч.1 ст.19 закона в новой редакции устанавливает, что оператор обязан обеспечивать принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Мне кажется, все однозначно. Обработка персданных с использованием облачных технологий стороннего провайдера возможна при выполнении следующих условий:
- на это есть доказываемое конкретное, информированное и сознательное согласие каждого субъекта, чьи данные обрабатываются;
- в договоре оператора с провайдером оговорено выполнение требований ФЗ-152;
- провайдер создал подсистему ИБ, соответствующую ФЗ-152, с использованием СЗИ, сертифицированных ФСБ и ФСТЭК.
Кроме того, в соответствии с ч.2 ст.18 прим, оператор обо всем этом должен честно и подробно рассказать в опубликованной им политике в отношении обработки персональных данных.
Даже если найдется безумный провайдер за рубежом, готовый пойти под юрисдикцию ФЗ-152 (интересно, что думают об этом власти страны, где он зарегистрирован?) и поставить у себя всякие там экраны, сканеры и прочие с российскими сертификатами, придется решать нерешаемую проблему передачи данных через Интернет, т.е. получать разрешение (в России) на ввоз (по месту нахождения ЦОД) российских криптографических средств.
Таким образом, на CRM, ERPи прочих системах, получаемых по запросу (SaaS) из-за рубежа, похоже, надо будет поставить крест.
А теперь вопросы на засыпку:
1. Что делать с системами бронирования авиабилетов российских авиакомпаний, полностью лежащих в облаках Sabreи Gabriel?
2. Что делать банкам, отелям, страховым компаниям и прочим, формально являющимся резидентами РФ, но входящим в международные компании, которые требуют все данные (в том числе персональные) передавать им и строить их обработку по их же правилам (часто в их же ЦОДах)?
3. Что делать Интернет-магазинам, хостящимся где-то там, за облаками?
Выводы неутешительные. Может, я где-то перегнул?
