Выполнение требований 242-ФЗ по локализации баз персональных данных

Стратегии выполнения требования по локализации персональных данных в России

18 сентября 2015 г.

Изменения с 1 сентября 2015 года

1 сентября 2015 года вступил в силу Федеральный закон №242-ФЗ, предусматривающий локализацию баз персональных данных в России. Согласно тексту закона хранение и обработка персональных данных граждан РФ должна осуществляться на территории РФ. Это означает, что оператор, осуществляющий обработку таких данных на территории другой страны обязан перенести их в базы данных, которые расположены на территории нашей страны. Закон не делает каких-либо исключений по типам операторов, поэтому любой оператор персональных данных подпадает под его действие. Кроме того, иностранные юридические лица, оказывающие услуги через интернет гражданам России, также обязаны выполнять закон.

Кто уже заявил о переносе

Часть международных компаний уже согласилась перенести информационные системы в Россию. Среди них Google, Apple, Samsung, Aliexpress, …

Ответственность за невыполнение требований

За невыполнение требований закона предусмотрена административная ответственность. В случае наступления такой ответственности оператор и ответственные лица могут понести финансовые и репутационные потери. Ресурс-нарушитель может быть заблокирован.

Способы выполнения

В настоящий момент накоплено несколько практических способов выполнения 242-ФЗ.

Перенос системы в Россию

Сложный и ресурсоёмкий метод, который полностью исключит риски, связанные с несоответствием законодательству. Данное решение заключается в том, что оператор переносит весь процесс обработки и хранение ПДн на территорию РФ.

Что необходимо:

  • Организовать хостинг
  • Создать информационную систему
  • Найти персонал для эксплуатации
  • Реализовать требования 152-ФЗ
  • Уведомить Роскомнадзор о месте расположения базы персональных данных

Другие способы

Создание системы сбора

Первичный сбор персональных данных в отдельную систему и трансграничная передача для последующей обработки.

Что необходимо:

  • Определить архитектуру системы сбора персональных данных (возможно реализация в виде Excel таблицы)
  • Реализовать информационную систему
  • Обеспечить интеграцию с основной информационной системой
  • Легализовать трансграничную передачу (передачу другому иностранному лицу вне России) - обеспечить согласие/уведомление субъекта, определить правовые основания обмена информацией при трансграничной передаче
  • Реализовать требования 152-ФЗ

Обезличивание

Сокращение набора собираемых сведений, которые нельзя будет признать персональными.

Что необходимо:

  • Определить состав обрабатываемых сведений
  • Удостовериться, что обрабатываемая информация не является персональными данными

Отказ от статуса оператора в России

Сугубо юридическое решение, при котором оператор, чей основной бизнес и юридическое лицо находится на территории другой страны, отказывается от своего статуса на территории РФ и продолжает собирать персональные данные находясь в правовом поле своего государства

Что необходимо:

  • Удостовериться, что деятельность оператора не направлена на Россию

Отказ от автоматизации

Для некоторых операторов это тоже может являться хорошим решением. Например небольшие объемы информации и редкие операции с ними позволяют перенести это информацию на бумагу, систематизировать ее хранение и регламентировать взаимодействия с ней в отдельной документации.

Что необходимо:

  • Исключить автоматизацию деятельности

Ничего не делать

Решение «оставить все как есть» вполне возможно, если верно и точно оценить риски и вероятности.

Что необходимо:

  • Оценить риски и стратегию защиты
  • Проработать план на случай блокировки ресурса

Создание реплики базы персональных данных в России

Создание реплики не позволяет выполнить каким-либо образом требования закона, и поэтому такую стратегию не стоит рассматривать.

Лента сообщений в удобном формате: