"Облака" "споткнулись" о закон о персональных данных?
Как использование облачных вычислений, так и защита персональных данных — относительно новые вопросы, в решении которых российский бизнес пока накопил мало практики. В этой связи сомнения возникают даже по поводу простейших проблем: а можно ли вообще использовать облачные системы для обработки персональных данных? И если такая возможность существует, то что нужно, чтобы выполнить все необходимые требования?
Впрочем, если говорить о российских банках, то не только ФЗ-152 является препятствием для передачи данных облачному поставщику: "Банки боятся передачи персональных данных не из-за ФЗ-152, а потому, что не хотят допускать попадания клиентской базы в руки конкурентов", – сообщает Тимур Аитов. По мнению исполнительного директора АРБ, сегодняшний банковский рынок близок к насыщению, и все люди, которые обладали достаточными финансовыми возможностями для открытия банковского счета, уже это сделали, в связи с чем "в ближайшие 3-4 года конкурентная борьба будет преимущественно сводиться к переманиванию клиентов".
Нужно ли специальное согласие на обработку данных в "облаке"?
Важно понимать, что представляет собой обработка персональных данных в "облаке" в контексте действующего законодательства. Существует мнение, что облачный провайдер выступает как юридический представитель оператора, поэтому для обработки данных на облачной площадке не требуется получения дополнительного согласия со стороны субъектов персональных данных. Алексей Лукацкий с такой точкой зрения не согласен: "В настоящей редакции закон четко говорит о том, что на передачу персональных данных третьим лицам (а облачный провайдер именно таковым и является) необходимо согласие субъекта персональных данных. Если же облачный провайдер получил персональные данные от третьего лица, то он обязан уведомить субъекта о начале обработки персональных данных. Если субъект не запретит это, то облачный провайдер имеет право обрабатывать такие персональные данные. В целом же, этот вопрос сейчас не урегулирован, в отличие от Европы, где существуют определенные разъяснения по этому вопросу".
Насколько далеко ушла Европа?
Европейское законодательство в области защиты персональных данных, во многом определившее ФЗ-152, в самой Европе уже повсеместно признано устаревшим. И одна из причин связана именно с распространением облачных технологий. Сегодня при получении интернет-услуги данные пользователя могут пересечь целый ряд границ и "осесть" в каких угодно юрисдикциях, причем, по пути они будут обработаны на серверах целого ряда разных поставщиков в разных странах, с которыми пользователю никогда не придется вступать в прямые отношения. Нынешнее законодательство очень плохо приспособлено для применения в таких условиях.
Европейцы это понимают, и адаптация законодательства к облачным вычислениям является одним из приоритетов в работе европейского комиссара по цифровому развитию Нили Крус. В мае 2011 г. она инициировала общественное обсуждение европейской облачной стратегии, в ходе которого все желающие могут высказать свое мнение на специальном веб-сайте до 31 августа 2011 г. Реформирование законодательства — один из основных аспектов общественного обсуждения.
Итак, для обработки персональных данных в публичном "облаке" требуется получение специального согласия. Из ст. 9 ФЗ-152 следует, что при получении согласия от субъектов персональных данных операторы должны указывать, в частности, наименования своих облачных поставщиков и перечислять те действия с персональными данными, которые будут осуществляться на облачной площадке.
Несмотря на то, что мнение Алексея Лукацкого опирается на конкретные положения закона, опыт общения с ИТ-директорами CNews показывает, что на практике многие компании предпочитают отталкиваться не от буквальных требований законодательства, а от собственного понимания связанных с его несоблюдением рисков. Общеизвестно, что требования регуляторов к российскому бизнесу обременительны, и буквальное их соблюдение может привести к понижению конкурентоспособности, а порой и к остановке бизнес-процессов. Неудивительно, что и в вопросе обработки персональных данных компании предпочитают ничего не менять в своих бизнес-процессах до того, как они столкнутся с реальными трудностями и проявлением недовольства со стороны клиентов.
Насколько страшна трансграничная передача?
Согласно ст. 12 ФЗ-152, трансграничная передача персональных данных допускается без дополнительных ограничений для тех государств, которые обеспечивают "адекватную защиту прав субъектов персональных данных". Однако какие страны в состоянии это сделать? Не надежнее ли будет оставить все данные в Российской Федерации? "Это как раз та тема, которой надо меньше всего опасаться, – считает Алексей Лукацкий. – Передача персональных данных в любую страну Евросоюза возможна без каких-либо ограничений, за исключением необходимости получения согласия субъекта персональных данных на передачу его данных третьему лицу. Если же страна, в которую передаются персональные данные, не входит в список с адекватной защитой прав субъекта, то согласие субъекта должно быть в письменной форме с соблюдением обязательной формы, указанной в федеральном законе". Мнение Алексея Лукацкого подтверждается и содержанием письма Министерства связи и массовых коммуникаций РФ от 13 мая 2009 г. № ДС-П11–250–2 "Об осуществлении трансграничной передачи персональных данных", согласно которому факт ратификации Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. может считаться свидетельством достаточного уровня защиты персональных данных в данной стране. Конвенцию ратифицировали фактически все европейские страны.
Как ни парадоксально, обработка данных за границей может даже упростить, а не усложнить, ситуацию для российских пользователей облачных вычислений: "Если мы говорим об облачных провайдерах, находящихся за границей, то им вообще не надо беспокоиться о том, что думает ФСТЭК и ФСБ, – отмечает Алексей Лукацкий. – Во-первых, они находятся в другой стране и на них не распространяется компетенция наших правоохранительных органов. Во-вторых, они выполняют рекомендации по защите, принятые в своих странах. А эти рекомендации гораздо более здравые, чем наши".
Кроме того, сообщает Алексей Лукацкий, европейская конвенция специально запрещает накладывать какие-либо дополнительные требования и ограничения при осуществлении трансграничной передачи персональных данных, если это не обусловлено требованиями национальной безопасности, в связи с чем требования ФСБ об использовании сертифицированных средств криптографии отпадают сами собой.
Короткая ссылка на материал: //cnews.ru/link/a2649