курс цб на 22.01: USD 66.3634 EUR 75.5481
криптовалют: BTC 3533.4$ ETH 115.81$
Архив / 2015 / ЖУРНАЛ ПЛАС № 8 (219) / 382 просмотра

Новые требования к хранению персональных данных: мифы и реальность

Что изменится? Итак, 1 сентября 2015 года на территории РФ начинают действовать изменения в Федеральный закон «О персональных данных», согласно которым все персональные данные граждан страны в период их сбора должны находиться в базах данных на серверах, размещенных на территории России. Показательно, что Закон № 242-ФЗ, в соответствии с которым вводятся эти, бесспорно, важные изменения, уже успел получить в особо «компетентной» прессе название «Закон о запрете баз данных россиян за пределами Российской Федерации». Разумеется, такая вольная трактовка не может иметь ничего общего с действительностью, в противном случае это означало бы полную изоляцию отечественной экономики.

Таким образом, налицо яркий пример того, что в законотворчестве, правоприменительной практике и ее последствиях в данном случае остается много не разъясненных или не слишком очевидных аспектов. Причем, судя по ряду наблюдений, эти аспекты порой не совсем ясны не только представителям прессы, но и самим операторам персональных данных, коммерческим и государственным структурам.

Что же на самом деле меняется в ФЗ «О персональных данных»? Согласно грядущим изменениям, в период сбора персональных данных (ПДн) оператор обязан размещать их в базах данных на территории РФ при выполнении 9 из 18 предусмотренных законом способов обработки ПДн. Это очень важный для понимания момент: новые требования регламентируют исключительно сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных. При этом требования данного закона не распространяются на их использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Соответственно, место проведения всех этих операций не ограничивается (и в принципе не может ограничиваться) территорией Российской Федерации.

Не случайно председатель совета директоров «Юниаструм Банка» Георгий Писков, рассказав в своем интервью о том, что банк перенес все свое направление розничного кредитования в облачную CRM-систему на платформе американской компании Salesforce, ответил на вполне закономерный вопрос журналиста о том, как он в таком случае решает проблему с ПДн, следующим образом: «Мое мнение, персональные данные российских граждан принадлежат российским гражданам, а не российскому государству».

Что придется менять, а что – не придется? Возвращаясь к новой редакции Закона «О персональных данных», вступающей в силу с 1 сентября, следует обратить внимание на следующий момент: на территории РФ у каждого российского оператора ПДн должна быть актуальная база данных, которую он использует при автоматизированной обработке. При этом, как уже отмечалось, изначально операторы должны обеспечить размещение баз данных, в которые собираются персональные данные граждан России, на технических средствах, располагающихся исключительно на территории РФ, вести в этих базах уточнение, обновление, изменение, извлечение и актуализацию собранных персональных данных, и лишь затем – при необходимости – они имеют право передавать данные за рубеж. Тот же алгоритм придется применять в отношении ПДн лиц, чье гражданство оператору неизвестно или по каким-либо причинам его нельзя установить.

На сегодняшний день отечественным структурам, выступающим операторами ПДн и использующим зарубежный хостинг или облачные сервисы, остается менее двух месяцев на то, чтобы радикально поменять текущие бизнес-процессы в соответствии с новыми требованиями закона.

Отечественным операторам ПДн, использующим зарубежный хостинг или «облачные» сервисы, остается менее двух месяцев на то, чтобы радикально поменять текущие бизнес-процессы в соответствии с новыми требованиями закона

Как известно, 1 сентября 2015 года вступают в силу изменения в Федеральный закон «О персональных данных». На этом фоне особое внимание участников 6-го Международного ПЛАС-Форума «Дистанционные сервисы, мобильные решения, карты и платежи 2015» вызвало выступление Михаила Емельянникова, управляющего партнера Консалтингового агентства «Емельянников, Попова и партнеры», посвященное основным тенденциям государственного регулирования в сфере персональных данных с точки зрения развития платежной индустрии. В своем анализе ситуации с исполнением требований хранения персональных данных ему удалось продемонстрировать примеры характерных ошибок, а также развеять набор устоявшихся мифов в отношении хранения персональных данных. Сегодня мы предлагаем вашему вниманию публикацию, которую автор подготовил на основе своего доклада, расширив и актуализировав его ключевые моменты согласно текущей ситуации.

Читайте в этом номере: