Учебно-методические материалы для студентов кафедры АСОИУ

Закон №242-ФЗ как дополнительный критерий для выработки требований к АС

01 сентября 2015 года вступил в силу Федеральный закон №242-ФЗ «О внесении изменений в отдельные законодательные акты российской федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», требующий нахождения в России серверов баз данных пользователей-резидентов РФ.

Закон №242-ФЗ, изменяющий и дополняющий ряд ранее принятых законов о персональных данных, вызвал широкий резонанс на момент принятия. Согласно этому закону, автоматизированные системы, работа с которыми реализуется посредством компьютерных и/или телекоммуникационных сетей, должны хранить данные в российских дата-центрах. Принятие закона вызвало широкий резонанс, но к настоящему времени споры вокруг этого документа утихли и сформировалась определенная правоприменительная практика. С точки зрения выработки требований к информационному и организационному обеспечению АС в части обработки персональных данных, эта практика позволяет явно выделить две категории АС:

В п.1 ст.3 Федерального закона №152-ФЗ определено, что «персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Если автоматизированная система выполняет обработку персональных данных, то оператор персональных данных (п.2 ст.3 ФЗ №152) должен обеспечить «нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации» (п.2 ст.1 ФЗ №242).

В 2014-2015 гг аренда серверов в России была довольно дорогостоящей и владельцы веб-сервисов, подпадающих под закон о локализации персональных данных, понесли серьезные затраты на перенос своих систем из зарубежных дата-центров. За прошедшее время ситуация изменилась, стоимость выделенных серверов в России существенно снизилась и стала сопоставима с тарифами ведущих хостинг-провайдеров.

По материалам AdminVPS (https://adminvps.ru/servers/servers_russia.php).

Перечислим примеры сетевых сервисов, которые явно являются системами автоматизированной обработки персональных данных и должны учитывать требование ФЗ №242:

Перефразируя ранее приведенный п.1 ст.3 ФЗ №152 можно сделать вывод, что любой набор данных, по которому нельзя, прямо или косвенно, идентифицировать (т.е. установить однозначное соответствие) личность, не является персональными данными. Это подтверждает разъяснение Роскомнадзора о том, что «...размещение на страницах сайтов в сети Интернет фамилии, имени и отчества без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица.» Таким образом, в категорию прочих сетевых сервисов попадают следующие ресурсы:

Резюме

Если проектируемая система ориентирована на обработку персональной информации, представляемой пользователями-россиянами через публичные сети, то хранить эту информацию (не важно - в исходном виде или преобразованном) требуется на серверах, физически размещенных на территории России. Более того, доступ к ней должен быть защищен сертифицированными криптографическими средствами. Нарушение этих требований ведет к включению ресурса в «черный список» Роскомнадзора, а также привлечение владельца ресурса к ответственности, вплоть до уголовной.

Если же сайт является, например, корпоративным «сайтом-визиткой» или тематическим информационным сайтом и на нем не собираются какие-либо данные, по совокупности которых можно идентифицировать реальных пользователей, то место расположения базы данных с такой информацией значения не имеет (с точки зрения текущего законодательства).

CC-BY-CA Цыганенко В.Н., 13.07.2017