Персональные данные: Особенности хранения на иностранных серверах

Актуальность вопросов о хранении персональных данных обеспечивается глобализацией информационных технологий. Теперь данные пользователей могут одновременно храниться и обрабатываться в различных странах. Это создает множество потенциальных рисков, связанных безопасностью и конфиденциальностью. В статье эксперт по it-безопасности Антон Маслов расскажет о всех особенностях запрета хранения персональных данных на серверах за рубежом, штрафных санкциях за неправильную обработку данных и правилах их использования.

Почему хранение данных на зарубежных серверах вызывает беспокойство

Размещение базы данных на серверах за границей в первую очередь не позволяет достаточно эффективно обеспечить их безопасность и законность использования. В случае нарушения прав граждан, процессы расследования и принятие конкретных мер будут очень усложнены. И в целом доступ может быть ограничен (или частично доступен) даже для органов власти Российской Федерации. 

Во-вторых, в различных странах по-разному регламентируется взаимодействие с базами данных. Например, в одной стране могут быть установлены строгие нормы, тогда как в другой — минимальные требования. 

И это снова ведет нас к первому пункту. То есть задача изменений в регулировании вопроса о хранении персональных данных — обеспечить безопасность и законность использования.  

Основные требования в положениях

Все процессы, связанные с взаимодействием с персональными данными, регулируются Федеральным законом № 152-ФЗ «О персональных данных». Это означает, что любая деятельность, связанная с обработкой информации за пределами Российской Федерации, должна соответствовать положениям этого закона.

Если рассматривать аспекты, касающиеся хранения персональных данных, то основное требование заключается в следующем: хранение ПДн разрешено исключительно в тех странах, которые подписали Европейскую конвенцию о защите сведений в автоматизированных базах данных. Это условие обеспечивает высокий уровень защиты и безопасности персональной информации.

Тем не менее передача и обработка персональных данных может быть осуществлена и в другие страны, при условии, что эти страны способны обеспечить защиту и конфиденциальности данных. Это требование направлено на предотвращение переноса серверов и хранения данных в странах, где отсутствуют строгие стандарты информационной безопасности.

Таким образом, соблюдение требований Федерального закона № 152-ФЗ гарантирует, что персональные данные будут защищены, независимо от того, где они обрабатываются или хранятся.

Основным контролирующим органом является Роскомнадзор.

В рамках работы с персональными данными существует определенный перечень обязательных действий, которые обязана выполнить каждая компания: 

1. Создание системы для обработки, учета и хранения персональных данных 

2. Разработка и внедрение регламентов, регулирующих взаимодействие ПДн

3. Разработка документации для организации процессов обработки, учета и хранения ПДн

4. Своевременная отчетность в Роскомнадзор.

Настройка 1С

Корректно настроим процессы отчетности в Роскомнадзор

Стоимость от 3 700 руб./час Заказать настройку

Основные положения 

Согласно требованиям 242-ФЗ, компании, должностные и физические лица обязаны хранить конфиденциальную информацию в базах данных, размещенных на территории Российской Федерации согласно ч. 5 статьи 18 Федерального закона. 

Это означает что все операции (запись, систематизация, накопление, хранение, уточнение и извлечение ПДн) осуществляются исключительно на российских серверах. Обработка персональных данных, будь то данные сотрудников или внешних контрагентов (клиентов, пациентов, гостей, участников мероприятий, партнеров и т.д.), теперь является обязательной задачей для каждой организации. 

Это положение также относится к зарубежным компаниям, которые предоставляют свои услуги и товары российским гражданам посредством интернета.

Операторы имеют право копировать и передавать данные за границу при условии строгого соблюдения всех требований № 152-ФЗ. При этом им запрещено первоначально собирать данные на серверах, находящихся за пределами России, а затем переносить их в базы данных, размещенные на территории России.

При начале обработки персональных данных каждый оператор обязан подать уведомление в Роскомнадзор. В этом уведомлении необходимо указать местоположение баз данных, в которых будут храниться персональные данные. Дополнительной подачи документов, подтверждающих локализацию серверов, не требуется.

Штрафные санкции

Федеральный закон от 12 декабря 2023 года No 589-ФЗ внес корректировки в КоАП РФ

Одним из ключевых изменений стало увеличение штрафов за обработку персональных данных без письменного согласия субъекта, что особенно актуально при работе с биометрическими данными. Теперь размеры штрафов, предусмотренные частью 2 статьи 13.11 КоАП РФ, составляют:

 Виды нарушений

Если мы классифицируем возможные ошибки и правонарушения, то выделим основные группы совершенных действий, за которые последует административная ответственность:

• Незаконный сбор данных без согласия пользователя.
• Неправомерное хранение данных на иностранных серверах.
• Нарушение правил передачи данных третьим лицам.
• Несоблюдение мер безопасности, что приводит к утечке данных.

В 2019 году компания Google была оштрафована на 50 миллионов евро за нарушение GDPR. Причиной штрафа стало недостаточное информирование пользователей о том, как их данные используются для персонализированной рекламы.

Другой пример — британская компания British Airways, которая была оштрафована на 183 миллиона фунтов стерлингов за утечку данных более чем 500 000 клиентов.

Как правильно работать с персональными данными

Мы подготовили чек-лист, чтобы вы могли отследить все этапы основных процессов работы с ПДн:

Сбор данных

Первым шагом в работе с персональными данными является их сбор. Помните, что сбор данных должен осуществляться только с согласия пользователя. Пользователь должен быть проинформирован о целях сбора данных, а также о том, как и где они будут храниться.

Хранение данных

Хранение данных должно осуществляться в соответствии с законодательством. Теперь необходимо обеспечивать их хранение на территории страны. Для этого используйте современные методы шифрования и защиты данных от несанкционированного доступа.

Передача данных

Передача данных третьим лицам осуществляется только с согласия пользователя. При заключении договора с партнерами, прописывайте все условия обработки и защиты персонифицированных данных.

Удаление данных

Пользователь имеет право требовать удаления своих данных из базы. Компании должны обеспечить возможность быстрого и полного удаления данных по запросу пользователя.

Обучение сотрудников

Проводите обучение персонала. Даже если это будет определенная дополнительная нагрузка на ваш бюджет, но только таким способом можно обезопасить себя внушительных штрафов. Сотрудники должны знать основные принципы работы с данными, а также быть информированы о возможной ответственности за нарушения.

Внедрение систем мониторинга и аудита

Используйте доступные системы мониторинга и аудита. Это поможет своевременно выявлять и устранять нарушения, а также минимизировать риски утечек данных.

Текущие изменения направлены на усиление ответственности за несоблюдение законодательства в области защиты персональных данных, что требует особого внимания со стороны руководства и бухгалтеров, работающих с такими данными. Неправильная обработка данных может привести к значительным штрафам и репутационным потерям для компании. 

Поэтому важно соблюдать все правила работы с персональными данными, начиная от их сбора и заканчивая удалением. Своевременно обучать сотрудников и внедрять доступные системы мониторинга. Все эти процедуры сократят возможные риски и обеспечат эффективную защиту данных пользователей.