Федеральный Закон 242 о хранении персональных данных

Федеральный Закон 242 о хранении персональных данных.

C 1 сентября 2015 года в Российской Федерации начинало действовать положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»

Для того, чтобы понять, что можно делать, а что нельзя, мы подготовили данный материал.

Итак, о чем же говорит закон?

Полный текст закона Вы можете прочитать здесь.

Что нельзя делать?

  • Полностью хостить сайт, содержащий персональные данные, вне территории Российской Федерации, без принятия дополнительных мер.
  • Предоставлять прямой доступ с российского сайта в зарубежные информационные системы, если персональные данные предварительно не зафиксированы в базе на территории Российской Федерации.
  • Напрямую использовать по схеме Saas приложения, обрабатывающие персональные данные и находящиеся за пределами РФ, без принятия дополнительных мер.

Не накладывается никаких ограничений на передачу персональных данных после их сбора и записи в базу данных на территории России, в том числе – на трансграничную передачу, предоставление к ним доступа с территории иных государств, а также на использование персональных данных граждан РФ после их трансграничной передачи, включая использование данных из информационных систем, находящихся за пределами РФ.

Закон в новой редакции не устанавливает новых, дополнительных ограничений на трансграничную передачу персональных данных, не вводит запрет на обработку персональных данный в дата-центрах и облачных инфраструктурах, находящихся вне территории Российской Федерации, за исключением периода их сбора.

Административная ответственность

Статья 13.11 Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:

  • На граждан в размере от 300 до 500 рублей;
  • На должностных лиц – от 500 до 1 тысячи рублей;
  • На юридических лиц – от 5000 до 10 000 рублей.

Что можно делать?

Не стоит забывать о том, что ограничения на размещение баз персональных данных вводятся на период сбора (внесения изменений) персональных данных и не затрагивают их последующей обработки после завершения сбора (внесения изменений).

Ограничения касаются только персональных данный граждан Российской Федерации и не касаются персональных данных граждан других государств и лиц без гражданства.

Что делать, чтобы выполнить закон?

  • Обеспечить первичное размещение баз данных, в которые собираются персональные данные граждан России, на технических средствах, целиком располагающихся на территории Российской Федерации;
  • Обеспечить уточнение, обновление, изменения, извлечение персональных данных в этих базах сначала на территории России и лишь затем передавать их за рубеж при необходимости;
  • Применять те же правила в отношении персональных данных граждан, чье гражданство неизвестно или установить его нельзя.

На территории России всегда должна быть актуальная база персональных данных, используемых российским оператором персональных данных в своей деятельности.

Есть два варианта:

  • Перестроить архитектуру информационной системы и обеспечить первичную запись, хранение и актуализацию персональных данных в базах на территории России. Хранение и использование копий баз с персональными данными в зарубежных сервисах, таких как Microsoft Azure или Office365, не нарушает закон.

или

  • Хранить данные в информационной системе за рубежом в зашифрованном виде, а расшифровывать данные только в приложении, находящимся на территории России.

Следует помнить, что зашифрованный массив данных без ключа у провайдера – не персональные данные!

Как использовать облачные продукты компании Microsoft?

  1. Необходим локальный AD компании, в который заносятся персональные данные сотрудников. Локальный – размещенный на территории Российской Федерации, в том числе в любом российском облаке.
  2. Использовать службу синхронизации каталогов Office 365 (DirSync) для синхронизации учетных записей (без поддержки функциональности единого входа SSO).
  3. Использовать службу федерации Active Directory (ADFS) для поддержки функциональности единого входа SSO

СЭД/ЕСМ система DocSpace поддерживает схемы развертывания без нарушения требований ФЗ-242 как при локальной установке, так и при использовании в облаках: Azure, хостинг в России или за рубежом, гибридные облака.

Программное обеспечение компании Conteq соответствует всем требованиям закона. Вам остается только сосредоточится на своих задачах. О соблюдении закона позаботимся мы.