Персональные данные и запрет на их хранение за рубежом: каких изменений ждать от 2015 года

Начало 2015 года ознаменовалось принятием изменений, внесенных в Федеральный закон №242 в части обработки персональных данных в зарубежных странах и установлением срока на приведение инфраструктуры компаний в соответствие требованиям до 1 сентября 2015 года.

Новые требования

Напомним, в июле 2014 г. был принят ФЗ №242, вводящий изменения в три других закона, в том числе и в 152-ФЗ «О персональных данных». В соответствии с ним при сборе персональных данных (ПДн), в том числе и в сети Интернет, оператор обязан обеспечить запись, систематизацию, хранение, уточнение, извлечение персональных данных граждан РФ с использованием БД, находящихся на территории страны.

Это означает, что с 1 сентября 2015 года все операторы ПДн должны осуществлять первичную обработку этой информации только на территории РФ. Могут ли персональные данные обрабатываться также и на территории других государств? Да, могут, но собираться, храниться и обновляться они должны только в России.

Исторически сложилось так, что ряд операторов использовали информационные системы, развернутые не в России. Другие компании стали активно применять облачные сервисы, которые также размещались за рубежом. Именно к этим двум категориям операторов и обращены новые требования.

Стоит указать на сложность полного исполнения требований закона для всех видов операторов – юридических лиц, обрабатывающих персональные данные. Например, могут возникнуть проблемы у визовых центров. Ведь данные о заявителях почти всегда хранятся в централизованных базах соответствующих стран, а теперь информация о российских гражданах должна храниться только на территории России и обрабатываться за рубежом лишь при необходимости, без возможности сохранения полной базы персональных данных. Какие же шаги следует предпринять организациям, чтобы привести деятельность в соответствие с требованиями регуляторов?

В соответствии с законодательством

Основываясь на опыте реализованных проектов, эксперты в области информационной безопасности компании Softline дают бизнесу следующие рекомендации:

1. Правильно классифицировать данные. Основой для создания эффективной системы защиты является правильная классификация персональных данных. Она зависит от категории обрабатываемых ПДн, их объема и принадлежности, а также от актуальных угроз безопасности. Чем выше необходимый уровень защищенности данных - тем большие расходы повлечет приведение инфраструктуры в соответствие требованиям законодательства.
2. Использовать инфраструктуру, построенную в соответствии с 21 приказом ФСТЭК. Приказ содержит требования к подсистемам защиты информации, которые должны быть реализованы в составе СЗПДн. В их числе: идентификация и аутентификация субъектов и объектов доступа; управление доступом; обеспечение целостности и доступности; защита среды виртуализации; каналов передачи данных, а также применение средств антивирусной защиты, обнаружение вторжений и анализ защищенности. Такую архитектуру можно реализовать самостоятельно либо арендовать у российского провайдера.
3. Перенести данные из зарубежных «облаков» в российские. Аренда мощностей в зарубежных ЦОДах – очевидная зона риска для возможного несоответствия требованиям законодательства. Российские провайдеры предоставляют идентичный набор сервисов, и размещение у них данных клиента не вызывает у проверяющих сложных вопросов. В то время как иностранные провайдеры могут на такие запросы даже не отвечать.
4. Модернизировать документацию и проект по защите персональных данных. Нужно учитывать, что законодательные изменения влекут за собой пересмотр документации и результатов уже реализованных проектов по защите персональных данных. Как правило, регуляторы начинают проверки с анализа организационно-распорядительных документов, поэтому важно обеспечить их соответствие актуальным требованиям.

На сегодняшний день нет никакой правовой практики по изменениям, внесенным Федеральным законом №242. Поэтому пока нельзя предсказать, каким образом будет обеспечен контроль за их выполнением, к каким последствиям для операторов персональных данных могут привести подобные проверки. Но очевидно одно: времени на подготовку «запасного аэродрома» у бизнеса осталось мало. И хотя бы очевидные и недорогостоящие мероприятия имеет смысл провести уже сейчас.