Персональные данные РФ: нюансы облачного хранения

Мы регулярно пишем о технических тонкостях работы облачных сервисов, однако лишь вскользь касались такого важного аспекта их работы, как юридические требования, предъявляемые к хранению персональных данных пользователей. Исправим же сегодня это упущение, ответив подробно на основные вопросы, связанные со статьей 152 ФЗ о персональных данных.

Для начала вспомним, в чем вообще состоит суть облачных сервисов. Обычно под ними подразумевают сервисы, которые размещаются не локально, а распределенно в облачных хранилищах на серверах, доступ к которым клиент получает в качестве услуги. Доступ пользователей к таким сервисам и их использование, как правило сопряжено с передачей ряда персональных данных. Разберемся подробнее, что это такое.

Персональные данные, угрозы и уровни защиты

Согласно букве закона персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Принято выделять 4 основных вида персональных данных:

• Общие: Ф.И.О. дата и место рождения, номера документов (паспорт, СНИЛС, ИНН и т.д.), электронная почта, телефонные номер и адреса.
• Специальные: национальная принадлежность, сексуальная ориентация, особенности физического и психического здоровья и т.д.
• Биометрические: биологические особенности человека, по которым можно установить его личность: ДНК, отпечатки пальцев, голос, радужка глаз и т.д.
• Иные: прочие данные о конкретном человеке, например имена домашних животных, хобби и т.д.

Хранение персональных данных налагает обязательства по их защите от несанкционированного доступа, тиражирования, изменения и стирания. Существуют разные уровни защищенности, регламентируемые «Постановлением Правительства РФ N 1119» и 21 приказом ФСТЭК. Требующийся уровень защищенности определяется типом данных, субъектами, которым они принадлежат (сотрудники сервиса или его клиенты), численностью субъектов и видом актуальных угроз.

Выделяют три основных уровня угроз:

• Угрозы первого уровня: связаны с недокументированными возможностями в системном программном обеспечении (ПО), например в операционной системе.
• Угрозы второго уровня: связаны с недокументированными возможностями в прикладном ПО, например в установленных программах.
• Угрозы третьего уровня: не связанные с ПО, например уязвимости в оборудовании.

Исходя из этих уровней угроз, выделяют четыре уровня защищенности персональных данных (виды хранения данных):

• Первый уровень. Дает возможность для хранения специальных и биометрических данных при угрозах первого уровня. Предъявляет самые высокие требования к технике: бесперебойной работы серверов для хранения данных и установки только того софта, который был одобрен службой безопасности.
• Второй уровень. Позволяет хранить данные любых видов; для некоторых допускает первый уровень угроз. Предполагает настройку системы бэкапов, мониторинга проникновения в систему извне, защиты от спама.
• Третий уровень. Дает возможность хранить биометрические и специальные данные при угрозах второго-третьего уровней. Требует корректно настраивать доступ разных уровней для разных пользователей к информационным системам; своевременно проверять ПО на наличие уязвимостей.
• Четвертый уровень. Достаточен для защиты общедоступных данных при угрозах третьего уровня. Из предъявляемых требований: установка антивируса и своевременное обновление ПО.

Принципы работы 152-ФЗ «О персональных данных»

Мы озвучили технические требования к защите персональных данных с точки зрения технологии хранения данных, теперь же рассмотрим пристальнее, как это выглядит с точки зрения закона. Целью Федерального закона № 152-ФЗ «О защите персональных данных», действующего на территории РФ, является защита прав и свобод граждан при обработке их персональных данных, например, прав на неприкосновенность частной жизни, личную и семейную тайну.

Согласно закону, от любого сервиса, который агрегирует данные российских пользователей, требуется регистрация в качестве оператора персональных данных и осуществление хранения данных строго на территории РФ. В качестве исключения могут выступать лишь зарубежные фирмы, которые предоставляют услуги и товары российским гражданам через Интернет. Согласно закону, оператор — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В том случае, если сервис, собирая данные в РФ передает их для обработки за рубеж, оператор должен быть уверен, что там, куда данные транслируются, поддерживается адекватная защита прав субъектов персональных данных, эквивалентная уровням защищенности из прошлого раздела (ст. 12, ч.4 ФЗ № 152).

В контексте трансграничной передачи личных данных важно подчеркнуть следующее: хотя ФЗ-242 не запрещает использование PaaS, SaaS и других облачных технологий, от оператора требуется иметь документальные подтверждения того, что его сервера располагаются на территории РФ. В том же случае, если сервера для хранения данных размещены за рубежом, необходимо обеспечивать проведение первоначального сбора личных данных в РФ с учетом предписаний ФЗ-152. Так, например, закон гласит, что все данные российских граждан должны быть закодированы таким образом, чтобы невозможно было соотнести их с личностью конкретного человека.

Иными словами, хотя у операторов и есть обязательство по хранению и сбору личных данных пользователей в российских базах, они имеют право на передачу и копирование информации за рубеж, однако запрещено собирать данные на зарубежных серверах и потом копировать их в российские базы данных. Кроме того, в договор с клиентом оператор обязан включать графу, в которой четко будет обозначаться факт обработки, хранения и использования данных в других странах.

Контроль за соблюдением 152-ФЗ «О персональных данных»

Важным аспектом хранения персональных данных является то, как именно осуществляется контроль за соблюдением ФЗ-152 и какие последствия нарушения закона грозят нарушителям. В случае невыполнения предписаний федерального Закон «О защите персональных данных» возможно наступление как административной, так и дисциплинарной, гражданско-правовой и уголовной ответственности для операторов. Ответственность за нарушение 152 ФЗ может выражаться в штрафах, конфискации несертифицированных средств защиты или наложении запрета на дальнейшую обработку персональных данных в зависимости от решения суда.

Проверка соблюдения закона находится в компетенции, прежде всего, Роскомнадзора, который выступает основным регулятором в этой области, ведя учет операторов. Он может организовывать плановые и внеплановые проверки, посылать запросы, плюс проводить мониторинги. Также в ряду случаев операторы могут проверяться ФСТЭК и ФСБ (приказ ФСБ России №378 от 10.07.2014 года, регулирующий методы криптографической защиты).

С 10 февраля 2021 года Правительство РФ утвердило решение об изменении КоАП, а точнее, статьи, которая касается штрафов за соблюдение нормативно-правовых норм в отношении ПДн. Новый законопроект действует в отношении всех операторов, в том числе тех, которые осуществляют трансграничную передачу личной информации. При первичном выявлении нарушений физическое лицо оштрафуют на сумму 2-6 тысяч рублей, представителя органа власти — на 10-20 тысяч рублей, а компании придется заплатить до 100 тысяч рублей в госбюджет. За повторное игнорирование правил относительно использования сведений в случаях, не прописанных в российском законодательстве, можно получить удвоенный штраф.

Как организовать хранить персональные данные согласно 152-ФЗ

Отталкиваясь от описанных выше законодательных требований к работе с персональными данными, мы можем сформулировать следующие советы для начинающих сервисов.

• Досконально изучите 152-ФЗ, а также уделите внимание следующим документам: Постановление Правительства №1119 от 01.11.2012 года (определяет типы угроз и уровни защищенности, классифицирует ИСПДн), постановление Правительства №687 от 15.09.2008 года (устанавливает обработку персональных данных без средств автоматизации), приказ ФСТЭК России №21 от 18.02.2013 года (устанавливает технические и организационные методы обеспечения защиты персональных данных), приказ ФСБ России №378 от 10.07.2014 года (регулирует методы криптографической защиты).
• Проведите аудит вашего оборудования и орг.процессов и предпримите все необходимые меры для того, чтобы обеспечить защиту личных данных пользователей того уровня, который будет релевантен их типу, объему, вероятным угрозам и т.д. Оцените качество защиты персональных данных — здесь могут помочь акт оценки эффективности или аттестация, отталкиваясь от которых можно будет подобрать оптимальные средства защиты информации (СЗИ).
• При использовании услуг хостинг-провайдеров, учитывайте географическую локализацию их серверов и следите за тем, чтобы провайдер был аттестован по защите информации. Все это поможет проходить проверки Роскомнадзора и, главное, бережно обращаться с данными ваших клиентов.

Российские и зарубежные дата-центры: где размещать данные?

Теперь надо сказать несколько слов о преимуществах хранения данных в российских дата-центрах, вытекающих из описанных выше правовых особенностей. Помимо размещения личных данных в отечественных ЦОД-ах для соблюдения 152-ФЗ, у российского бизнеса в последние годы есть и другие причины для возвращения в облака, хостящиеся на территории РФ.

Одна из таких причин: скорость связи. Хотя современные сети отличаются высокой скоростью работы, некоторые приложения (например, связанные со стримингом или управлением беспилотным транспортом) чувствительны к малейшим лагам. В таком случае чем короче путь, который запрос проходит от клиента к серверу, тем стабильнее будет работа сервиса. Соответственно, тем, кто ориентируется на российский рынок, логичнее обитать в московских, а не, к примеру, голландских дата-центрах.

Другая причина: гибкость заключаемых договоров. Рынок отечественных хостинг-провайдеров, хотя до недавнего времени и отставал от западного лет на 10, сегодня без проблем предоставляет услуги высочайшего качества. Можно без проблем составлять подробные SLA, гарантирующие бесперебойную работу серверов 99,9% времени в год. Кроме того, техподдержка, общающаяся на языке клиента и работающая в его часовом поясе может серьезно упрощать жизнь — к примеру, если произошел сбой в работе облачной кассы, чтобы избежать ущерба для бизнеса решение бывает нужно найти за считанные минуты.

В этом плане Максиплейс является хорошим решением, поскольку наш основной ЦОД расположен в РФ: это DataHouse, находящийся на юге Москвы, в промзоне недалеко от станции метро «Нагорная», вмещающий 475 серверных стоек в семи залах. Наличие еще нескольких дата-центров за рубежом позволяет оперативно сравнивать эффективность работы разных систем, чтобы предлагать клиентам оптимальные решения для их бизнеса.

Кроме того, сотрудничество с ЦОД-ами в Европе дает нам возможность настраивать автоматическое резервное копирование пользовательских данных в зарубежный ЦОД, когда это не противоречит законодательству РФ. Также, для клиентов, которые еще не пользуются облачными сервисами, мы можем предложить услугу «Резервный ЦОД», чтобы данные с корпоративных серверов регулярно бэкапились в защищенный дата-центр.

Резюме

Мы обсудили защиту персональных данных в РФ. Подытоживая, еще раз подчеркнем, что, хотя существует большое число законов и постановлений, косвенно связанных с персональными данными, в качестве главного регулирующего нормативно-правового акта, регламентирующего порядок хранения и обработки личных данных пользователей, является ФЗ-152. Из этого следует, что работа с персональными данными, осуществляемая кем бы то ни было, должна организовываться в соответствии с этим законом.

Облачное хранилище данных MaxiPlace NextСloud — это безопасное, отказоустойчивое решение для самых важных данных. Они не потеряются даже в случае выхода из строя надежного оборудования, так как хранятся распределенно. NextCloud обладает открытой архитектурой, что позволяет организовывать удаленную работу отдельных подразделений или целых компаний, вести совместные проекты и проводить встречи. Наши VPS полностью соответствуют ФЗ-152; исключение составляет лишь возможность сбора биометрических данных.