Федеральный Закон 242 о хранении персональных данных.
C 1 сентября 2015 года в Российской Федерации начинало действовать положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»
Для того, чтобы понять, что можно делать, а что нельзя, мы подготовили данный материал.
Итак, о чем же говорит закон?
Полный текст закона Вы можете прочитать здесь.
Что нельзя делать?
- Полностью хостить сайт, содержащий персональные данные, вне территории Российской Федерации, без принятия дополнительных мер.
- Предоставлять прямой доступ с российского сайта в зарубежные информационные системы, если персональные данные предварительно не зафиксированы в базе на территории Российской Федерации.
- Напрямую использовать по схеме Saas приложения, обрабатывающие персональные данные и находящиеся за пределами РФ, без принятия дополнительных мер.
Не накладывается никаких ограничений на передачу персональных данных после их сбора и записи в базу данных на территории России, в том числе – на трансграничную передачу, предоставление к ним доступа с территории иных государств, а также на использование персональных данных граждан РФ после их трансграничной передачи, включая использование данных из информационных систем, находящихся за пределами РФ.
Закон в новой редакции не устанавливает новых, дополнительных ограничений на трансграничную передачу персональных данных, не вводит запрет на обработку персональных данный в дата-центрах и облачных инфраструктурах, находящихся вне территории Российской Федерации, за исключением периода их сбора.
Административная ответственность
Статья 13.11 Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:
- На граждан в размере от 300 до 500 рублей;
- На должностных лиц – от 500 до 1 тысячи рублей;
- На юридических лиц – от 5000 до 10 000 рублей.
Что можно делать?
Не стоит забывать о том, что ограничения на размещение баз персональных данных вводятся на период сбора (внесения изменений) персональных данных и не затрагивают их последующей обработки после завершения сбора (внесения изменений).
Ограничения касаются только персональных данный граждан Российской Федерации и не касаются персональных данных граждан других государств и лиц без гражданства.
Что делать, чтобы выполнить закон?
- Обеспечить первичное размещение баз данных, в которые собираются персональные данные граждан России, на технических средствах, целиком располагающихся на территории Российской Федерации;
- Обеспечить уточнение, обновление, изменения, извлечение персональных данных в этих базах сначала на территории России и лишь затем передавать их за рубеж при необходимости;
- Применять те же правила в отношении персональных данных граждан, чье гражданство неизвестно или установить его нельзя.
На территории России всегда должна быть актуальная база персональных данных, используемых российским оператором персональных данных в своей деятельности.
Есть два варианта:
- Перестроить архитектуру информационной системы и обеспечить первичную запись, хранение и актуализацию персональных данных в базах на территории России. Хранение и использование копий баз с персональными данными в зарубежных сервисах, таких как Microsoft Azure или Office365, не нарушает закон.
или
- Хранить данные в информационной системе за рубежом в зашифрованном виде, а расшифровывать данные только в приложении, находящимся на территории России.
Следует помнить, что зашифрованный массив данных без ключа у провайдера – не персональные данные!
Как использовать облачные продукты компании Microsoft?
- Необходим локальный AD компании, в который заносятся персональные данные сотрудников. Локальный – размещенный на территории Российской Федерации, в том числе в любом российском облаке.
- Использовать службу синхронизации каталогов Office 365 (DirSync) для синхронизации учетных записей (без поддержки функциональности единого входа SSO).
- Использовать службу федерации Active Directory (ADFS) для поддержки функциональности единого входа SSO
СЭД/ЕСМ система DocSpace поддерживает схемы развертывания без нарушения требований ФЗ-242 как при локальной установке, так и при использовании в облаках: Azure, хостинг в России или за рубежом, гибридные облака.
Программное обеспечение компании Conteq соответствует всем требованиям закона. Вам остается только сосредоточится на своих задачах. О соблюдении закона позаботимся мы.