Локализация персональных данных что это
Требования к локализации персональных данных в России
С 1 сентября 2015 г. организации, которые считаются операторами персональных данных, должны обеспечить, чтобы при сборе персональных данных учет персональных данных, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение данных выполнялись через базы данных, расположенные в России (требование локализации персональных данных). 1
службы Майкрософт для организаций (в том числе образовательных учреждений) (далее они называются «клиентом»Microsoft 365 Microsoft Azure), в том числе из центров обработки данных, расположенных за пределами России( дополнительные сведения см. в центре доверия Microsoft).
В зависимости от типа и содержимого информации, обрабатываемой информационными системами клиентов, такие системы, в том числе использующие облачные продукты Майкрософт, могут считаться системой персональных данных (PDIS, ISPD). В тех случаях, когда клиент хотел бы использовать службы Майкрософт в системе, которая квалифицируется как PDIS с помощью своей архитектуры и типов обрабатываемых сведений, Корпорация Майкрософт предлагает своим клиентам рассмотреть, среди прочего, доступные решения, указанные ниже. Все предоставляемые сценарии доступны для клиентов в качестве дополнительного варианта стандартных бизнес-предложений.
Следует отметить, что именно клиент как оператор персональных данных PDIS отвечает за соблюдение требований и анализирует и оценивает применимые юридические требования к локализации персональных данных и по своему усмотрению самостоятельно определяет достаточные меры для обеспечения того, чтобы обработка персональных данных в PDIS соответствовала российскому закону о персональных данных. 2
Подписка на службы Майкрософт
Управление идентификаторами Microsoft ID
Корпорация Майкрософт предлагает клиентам рассмотреть возможность подписки на службы Майкрософт; Microsoft Azure, Microsoft 365, Dynamics 365 и Power Platform с помощью партнера поставщик облачных решений (Майкрософт) (CSP). Дополнительные сведения см. в этом списке партнеров CSP.
Управление удостоверением пользователя и доступом для службы Майкрософт
Для службы Майкрософт, таких как Microsoft Azure, Microsoft 365, Dynamics 365 и Power Platform, проверка пользователей и управление доступом выполняются через Azure Active Directory (Azure Active Directory). В тех случаях, когда клиент Майкрософт использует локализованную систему управления идентификацией для облачных служб Майкрософт (например, Windows Server Active Directory (AD) или любой другой системы управления удостоверением личности, клиент имеет возможность быстро интегрировать такую систему с Azure Active Directory (Azure Active Directory) через Azure AD Подключение. Дополнительные сведения см. в Подключение Azure AD. Кроме того, клиенты Корпорации Майкрософт могут использовать приложения и решения сторонних поставщиков для управления пользователями и интеграции локальной системы идентификации с Azure AD.
Оценка риска с помощью диспетчера соответствия требованиям (Майкрософт)
Диспетчер соответствия требованиям (Майкрософт) — это предварительная функция в Центре соответствия требованиям Microsoft 365, помогающая понять состояние вашей организации в отношении соответствия требованиям и принять меры по снижению рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.
Вопросы и поддержка
Для вопросов технического и вы выставления счета см. ниже ссылку на ресурсы поддержки Майкрософт. Дополнительные вопросы или разъяснения обратитесь в команду конфиденциальностиМайкрософт.
Microsoft Azure
Microsoft 365
Dynamics 365
Power Platform
1 Федеральный закон No. 242-FZ (издание от 12.31.2014) «О внесении изменений в отдельные законодательные акты Российской Федерации об уточнении порядка обработки персональных данных в информационно-телекоммуникационных сетях» от 07.21.2014 г.
2 Федеральный закон No. 152-ФЗ о персональных данных по данным на 07.27. 2006
Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса
Вот уже более девяти месяцев действует так называемый закон о локализации персональных данных (Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»; далее – Закон № 242-ФЗ). Он обязывает операторов обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных россиян с использованием баз данных, находящихся на территории России. Первоначально требования закона были недостаточно точно конкретизированы, в результате чего у представителей бизнеса возникло множество вопросов. Однако большую их часть удалось разрешить еще до вступления Закона № 242-ФЗ в силу. Оставалось ждать, как принятый закон будет реализовываться на практике. И теперь, чуть меньше года спустя, можно выделить ряд наиболее распространенных проблем, с которыми столкнулся бизнес в процессе его применения.
Идентификация баз данных
До 1 сентября 2015 года компании уведомляли Роскомнадзор о категории персональных данных, перечне действий с ними, целях их обработки, обеспечении безопасности и др. С указанной даты у них появилась еще одна обязанность – сообщать о месте нахождения базы данных информации, содержащей персональные данные россиян (п. 10.1 ч. 3 ст. 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Все эти сведения должны быть отражены в уведомлении, подаваемом в Роскомнадзор.
Таким образом, теперь любой оператор персональных данных должен знать, какие именно информационные системы, содержащие базы данных, он использует и где они расположены.
 |
Наталья Иващенко, к.ю.н., руководитель межотраслевой группы юридической компании «Пепеляев Групп» :
«До вступления в силу законодательного требования о локализации персональных данных Роскомнадзор на практике ограничивался документальной проверкой соблюдения требований Закона № 242-ФЗ. Поскольку требований к месту расположения персональных данных не предъявлялось, то компании сообщали о тех персональных данных, которые содержались во внутренних информационных системах, которые для них были очевидны (например, база данных сотрудников компании). После ужесточения регулирования компании начали задумываться о том, какие в принципе базы данных они используют, и в каком месте они расположены. Законодательные изменения послужили драйвером для инвентаризации используемых баз данных».
Чтобы идентифицировать базу данных для ее переноса на российские серверы, следует провести аудит ее содержимого. Если обнаружено наличие персональных данных россиян: ФИО, дата рождения, паспортные данные и т. д., эту информацию необходимо локализовать. При этом, как отмечает руководитель группы разработки IT-компании «AT Consulting» Михаил Алексеев, перенести базу данных можно как полностью, так и частично (когда речь идет о переносе не всей информации, а только находящихся в этой базе персональных данных). «Первый вариант наиболее прост и удобен в реализации, а также более экономически оправдан. Со вторым могут возникнуть технические проблемы, поскольку приложениям в этом случае придется работать сразу с двумя базами данных, – добавляет он. – В документах локализуемая база данных должна быть однозначно определена своим IP, портом и именем».
Если оператор не уведомит Роскомнадзор о тех базах данных, которые он использует при обработке персональных данных россиян, это может стать основанием для проверки со стороны регулятора. При этом, уточняет Наталья Иващенко, Роскомнадзор может не ограничиться лишь документальной проверкой, а провести опрос сотрудников, а на его основе осуществить проверку с использованием технических средств и выявить «незаявленные» базы данных. Это может повлечь за собой административную ответственность юридического лица в виде штрафа в размере до 10 тыс. руб. (ст. 13.11 КоАП РФ). При этом компания не освобождается от обязанности устранить выявленное нарушение.
Для соблюдения требований закона Наталья Иващенко рекомендует предпринять следующие шаги:
Использование персональных данных материнской компанией за рубежом
Многие иностранные холдинги сталкиваются с проблемой локализации, когда встает вопрос об использовании персональных данных россиян головной организацией, находящейся за пределами России. В данном случае важно понимать, какие именно действия осуществляются с персональными данными за рубежом. Как уточняет руководитель группы правовой защиты информации компании «Пепеляев Групп» Дмитрий Зыков, лишь «первоначальный» сбор персональных российских граждан за границей является нарушением закона (ч. 5 ст. 18 закона о персональных данных). Таким образом, соответствующая информация при этом обязательно должна быть локализована.
А вот персональные данные россиян, собранные представительством или филиалом этой организации в России, а потом переданные зарубежной материнской компании, вполне могут использоваться для дальнейшей обработки, хранения и т. д.
Передача персональных данных аутсорсинговой компании
В последнее время услуги аутсорсинга становятся все более востребованными. Однако передавая провайдеру определенные функции, ему нередко дают и доступ к персональным данным. Переходит ли при этом к аутсорсеру обязанность по их локализации? Ведь, по общему правилу, ответственным лицом за соблюдение требований о защите персональных данных он не является. В этом случае также важно определить, каким образом будет использоваться полученная информация.
Так, если компания-оператор персональных данных предоставляет аутсорсинговой организации только доступ к своим базам данных для выполнения определенных функций по договору (например, для осуществления рекламных рассылок), то в этом случае, подчеркивает Дмитрий Зыков, ответственность по защите персональных данных остается на самом заказчике. При этом он должен получить согласие субъекта персональных данных на использование сведений о нем третьими лицами по поручению.
Если же компания передает свою базу данных организации-аутсорсеру (например, в целях оказания бухгалтерских услуг, ведения кадрового делопроизводства и др.), в договоре необходимо отдельно прописать, что провайдер аутсорсинговых услуг принимает на себя обязательство по применению мер защиты полученных персональных данных и обеспечению конфиденциальности информации. В таком случае аутсорсинговая организация становится оператором персональных данных, который обязан, в том числе, соблюдать требования закона о локализации соответствующих данных.
Локализация персональных данных: когда иностранной компании нужно задуматься о соблюдении российских законов
В чем заключается обязанность локализации персональных данных в России?
Локализации персональных данных на территории России означает осуществление отдельных видов обработки персональных данных в базах данных, которые находятся на территории России. Эта обязанность касается таких видов обработки, как запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных.
По смыслу закона под базой данных понимается любой упорядоченный массив данных, независимо от вида материального носителя информации и используемых средств обработки (архивы, картотеки, электронные базы данных, в том числе таблицы в формате Excel, Word, содержащие персональные данные).
На какие иностранные компании распространяется обязанность?
Обязанность локализации в РФ определенных этапов обработки персональных данных распространяется на все иностранные компании, осуществляющие деятельность в России, в том числе те, которые работают без образования представительств и иных форм юр. лиц.
Что касается деятельности иностранных компаний в сети Интернет, то согласно разъяснениям Минцифры России, Роскомнадзора и мнениям судов, обязанность локализации возникает в случае направленности соответствующего Интернет-сайта на территорию РФ, о чем, в том числе может свидетельствовать:
Дополнительными критериями направленности сайта являются (обязательно наличие хотя бы одного):
Как передавать персональные данные российских граждан за рубеж?
Непосредственная передача персональных данных на сервер, находящийся за пределами РФ, нарушает требование о локализации.
Нарушением будет также параллельный ввод персональных данных в российскую информационную систему и информационную систему, расположенную за рубежом. Предоставление удаленного доступа к базам данных, находящихся на территории Российской Федерации, с территории другого государства не запрещается.
Для соблюдения законодательства необходимо организовать сбор и актуализацию персональных данных российских пользователей в базе данных, расположенной в РФ, в частности, не допускать первичный сбор персональных данных, например, из веб-форм, сразу на сервер, находящийся в иностранном государстве.
Последующая передача персональных данных из российской базы данных в зарубежную должна соответствовать требованиям к трансграничной передачи данных. Без особых условий и ограничений может осуществляться трансграничная передача персональных данных в страны-участницы Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или в страны, включенные Роскомнадзором в перечень обеспечивающих адекватную защиту прав субъектов персональных данных (туда включены, например, Израиль, Канада, Казахстан, Южная Корея, Сингапур, ЮАР, Япония и др.).
Если персональные данные передаются в иные страны (например, в Китай или США) необходимо получать отдельное согласие на трансграничную передачу персональных данных. Такое согласие можно не получать, в частности, когда персональные данные передаются для исполнения договора, стороной которого является субъект персональных данных.
Какая ответственность предусмотрена за несоблюдение требований?
Роскомнадзор осуществляет проверку соблюдения обязанности о локализации в отношении иностранных юр. лиц и в случае ее несоблюдения может инициировать судебный процесс по вопросу ограничения доступа к Интернет-ресурсу иностранного юр. лица, информация о таком Интернет-ресурсе будет включена в Реестр нарушителей прав субъектов персональных данных. Например, такое ограничение было применено в отношении компании LinkedIn Corporation.
За нарушение требования о локализации на иностранное юр. лицо может быть наложен административный штраф в размере от 1 до 6 млн. рублей (часть 8 статьи 13.11 Кодекса РФ об административных правонарушениях). Например, к такой ответственности уже были привлечены компании Twitter, Inc. и Facebook.
Локализация персональных данных в России
Компаниям для заключения договоров, размещения рекламы, использования аутсорсинга, принятия на работу сотрудников не обойтись без получения личных данных о гражданах.
С 2015 года организации должны использовать для локализации персональных данных отечественные серверы.
Разъяснение некоторых определений:
Локализация — сбор, систематизация и хранение конфиденциальной информации в базах данных на российской территории.
Персональные данные (ПДн) — любая информация о самом человеке и событиях его жизни:
База данных. Несмотря на множество существующих трактовок, смысл понятия сводится к упорядоченному массиву информации вне зависимости от типа материального носителя и способов обработки.
Правомерно сформированная конфиденциальная информация должна не только находиться, но и актуализироваться внутри страны.
Граждане. Законодательство о локализации принято с целью защитить конфиденциальную информацию о российских гражданах. Поэтому круг лиц, на которых распространяется защита закона — только граждане России.
На практике сложность может представлять определение гражданства лица. Даже если форма регистрации содержит графу о гражданстве, проверить действительность записи невозможно.
Оператор. Любое лицо, муниципальный или государственный орган, которые ведут сбор и обработку ПДн.
Сбор ПДн — деятельность, в ходе которой оператор получает личную информацию от гражданина либо через привлечённых посредников. Полученные данные используются для дальнейших операций с ними: хранения, обработки, передачи.
Условие о локализации появилась после принятия ФЗ от 21.07.2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных…».
Виды обработки конфиденциальных данных с учётом локализации внесены в закрытый перечень: запись, актуализация и иные способы.
Базы персональных данных должны формироваться и храниться в актуальном состоянии на территории России.
Ответственность за правонарушение установлена ч. 8 и 9 ст. 13.11 КоАП РФ. Наказание для юридических лиц и индивидуальных предпринимателей — штраф до шести миллионов рублей. За повторное нарушение — от шести до восемнадцати миллионов рублей.
Требование о локализации
Получение ПДн и последующее обновление с ними правомерны, если при этом задействованы базы данных, размещённые в России.
Обеспечивать локализацию не нужно, если случай предусмотрен ч. 1 ст. 6 Закона о персональных данных (для исполнения международных договоров; для участия в судопроизводстве).
Нет необходимости заниматься локализацией для:
Не нуждаются в локализации определённые операции с информацией: удаление, распространение, псевдонимизация и ряд других. Подобные действия можно проводить и локализовать за рубежом.
Если обработчик — иностранное лицо, действующее в интересах оператора на основе договора, требование о локализации обязательно только для оператора.
Обязаны ли зарубежные организации соблюдать локализацию?
Зарубежные предприятия обязаны подчиняться условию о локализации в случаях:
Иначе говоря, соблюдать локализацию персональных данных в РФ необходимо отечественным и зарубежным компаниям, если они действуют в пределах России.
Понять, что организация занимается предпринимательством в России, можно по признакам, которые указывают на отношение к РФ:
Допустима ли передача локализованных ПДн за рубеж?
Трансграничная передача данных при определённых условиях не нарушает закон. Однако первоначально информация должна собираться в базах данных, размещённых в РФ.
Законно перемещение ПДн в государства — стороны Конвенции Совета Европы о защите физических лиц и в государства, способные обеспечить адекватную защиту. Перечень таких государств утверждается РКН.
Параллельный ввод данных разрешён в определённых случаях, например, когда это предусмотрено международными договорённостями, в интересах правосудия и т. п.
Последствия нарушения компаниями условия о локализации
Хотя основная мера, к которой прибегает РКН — предупреждение и требование прекратить нарушение, компаниям, особенно международным, стоит тщательно проверять соблюдение требований локализации. В арсенале контролирующего органа имеются и более строгие меры — штрафы, блокировка сайта.
Важным для компаний судебным решением стало постановление Мосгорсуда от 4 августа 2016 года по жалобе ответчика LinkedIn на решение Таганского райсуда г. Москвы.
Это первое судебное решение по локализации с участием ответчика — транснациональной корпорации, не размещённой в России.
Суд установил, что организация собирала ПДн россиян без письменного согласия, умышленно игнорируя российские базы данных.
Разрешая дело, суд отклонил доводы LinkedIn о том, что она не является надлежащим ответчиком — операциями с ПДн занималается не LinkedIn Corporation, а LinkedIn Ireland Unlimited Company; организация формально не присутствует на российской территории, и по этой причине российская юрисдикция на неё не распространяется.
В итоге LinkedIn была заблокирована для русскоязычных пользователей.
Решение было обжаловано, однако Мосгорсуд в кассации поддержал указанное решение.
31 января 2020 года Роскомнадзор (РКН) возбудил административные дела против соцсетей Twitter и Facebook. Позднее компании были оштрафованы мировым судьёй Таганского района г. Москвы на четыре миллиона рублей каждая за несоблюдение условий локализации ПДн.
Решением Таганского райсуда города Москвы от 19 декабря 2018 года была признана незаконной деятельность интернет – ресурса «Умное голосование», запущенного А. Навальным (https://2019.vote/). Регистратор доменного имени
2019.vote — компания Gandi SAS (Французская Республика). На дату выхода настоящего материала, ресурс по указанному доменному имени отсутствует.
Суд, помимо прочего, посчитал, что услуги по предоставлению вычислительной мощности для размещения баз данных оказывались посредством серверных мощностей Cloudflare, Inc. (Соединенные Штаты Америки).
Судебное решение позволило интернет-ресурс и его копии включить в Реестр нарушителей прав субъектов персональных данных.
Чтобы не нарушить закон
РКН систематически проводит аудит российских и международных организаций, работающих в России. Проверки не избежали Microsoft, Samsung Electronics Rus Company, Вконтакте, Lamoda и другие организации.
Несоблюдение закона о локализации может привести не только к штрафу, но и к блокировке интернет-ресурса.
Следовать закону компании поможет понимание, что практически все базы данных можно разделить на две группы:
«Главная» — первичная база, всегда находится в РФ. Там же она актуализируется. И только потом может передаваться за границу.
Локализация обработки персональных данных граждан России: значение баз данных как объектов интеллектуальной собственности
1. В чем состоит требование о локализации обработки персональных данных граждан России и при каких условиях оно применяется к компаниям
Согласно части 5 статьи 18 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» («Закон о персональных данных») при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о персональных данных:
При толковании приведенных правовых норм следует учитывать разъяснения Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, доступные на сайте министерства, а также комментарий сотрудников Роскомнадзора, доступный на сайте уполномоченного органа.
Для правильного понимания требования о локализации важно обратить внимание на значение понятий, используемых в приведенных правовых нормах:
Таким образом, требование о локализации не распространяется на персональные данные, полученные оператором не в результате сбора персональных данных (например, на персональные данные, полученные от другого оператора).
Следовательно, требование о локализации не распространяется на данные, не являющиеся персональными данными (например, на анонимизированные данные).
Следовательно, требование о локализации не распространяется на другие операции с персональными данными, такие как использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Согласно разъяснениям Министерства цифрового развития требование о локализации применяется к иностранным компаниям, которые не имеют физического присутствия в России, если они осуществляют деятельность, направленную на территорию России. Например, о наличии направленности интернет-сайта на территорию Российской Федерации могут свидетельствовать следующие обстоятельства:
2. Реальные риски компаний, связанные с нарушением требования о локализации персональных данных
Реальные риски компаний, связанные с нарушением требования о локализации, лучше всего видны на примерах из правоприменительной практики:
По мнению суда, компания LinkedIn нарушила требование о локализации при сборе информации о пользователях социальной сети, а также гражданах Российской Федерации, не являющихся пользователями социальной сети.
Таким образом, до принятия законопроекта № 729516-7 о введении штрафов за нарушение требования о локализации компаниям, которые нарушают эти требования, грозят блокировки интернет-ресурсов, используемых для незаконной обработки данных, а также относительно небольшие штрафы за непредоставлении информации, подтверждающей выполнение требования о локализации. Как отмечалось ранее, если законопроект № 729516-7 будет принят, на нарушителей смогут налагаться штрафы до 18 миллионов рублей.
3. Как можно снизить издержки на выполнение требования о локализации персональных данных с учетом законодательства о базах данных как объектах интеллектуальной собственности
Некоторые особенности законодательства о базах данных как объектах интеллектуальной собственности могут помочь снизить издержки на выполнение требований о локализации.
Помимо прочего, данное требование предполагает, что оператор обязан обеспечить извлечение персональных данных с использованием базы данных, находящейся в России. Законодательство о персональных данных не определяет понятие «извлечение персональных данных». В связи с этим возможно утверждать, что под извлечением персональных данных на основе пункта 1 статьи 1334 ГК РФ следует понимать перенос всего содержания базы данных с персональными данными или существенной части составляющих ее персональных данных на другой информационный носитель с использованием любых технических средств и в любой форме. Статья 1334 ГК описывает исключительное право изготовителя базы данных как объекта смежных прав.
Такое толкование предполагает, что требование о локализации не распространяется на случаи переноса несущественной части персональных данных из базы данных с персональными данными, расположенной за рубежом, в другую базу данных, расположенную за рубежом. Указанные случаи могут иметь место в информационных системах персональных данных, предусматривающих их трансграничную передачу. Таким образом, приведенное толкование позволило бы компаниям снизить издержки на выполнение требования о локализации, поскольку оно значительно сужает понятие «извлечение персональных данных», на которое распространяется требование о локализации.
Следует отметить, что предложенное толкование не проверено правоприменительной практикой и может встретить неприятие со стороны Роскомнадзора и судов. В связи с этим при его использовании следует учитывать соответствующие риски.