Comments 32
Проще говоря, в России должен быть мастер, на который данные пишутся, а за границей могут быть реплики? А наоборот можно? Идентичные копии, главная из которых за границей, а российская безболезненно отключается в случае угрозы получения этих данных без санкции оператора?
А как они определят кто мастер а кто слэйв, не полезут же они в конфиги? И даже если полезут можно это быстро поправить)
И ещё мне интересно как они определяют где хранятся данные? Если по ip сайта, то это банально скрывается с помощью проксирующего балансировщика находящегося на территории РФ.
И ещё мне интересно как они определяют где хранятся данные? Если по ip сайта, то это банально скрывается с помощью проксирующего балансировщика находящегося на территории РФ.
не обязательно. Могут посмотреть счета которые оплачивает компания, если там есть иностранные хостеры — то это повод для вопросов. (В рф оплачиватеся пару vps за 200 руб а за рубежом несколько серверов на Х тыс $. Вопрос где скорее всего находятся персональные данные?)
При желании могут запросить у хостера в РФ трафик по IP. Если есть какая то постоянная, то повод для проверки.
При желании могут запросить у хостера в РФ трафик по IP. Если есть какая то постоянная, то повод для проверки.
Пишутся в России, реплицируются за границу, куда идут все "семиэтажные" запросы на чтение.
В рф оплачиватеся пару vps за 200 руб а за рубежом несколько серверов на Х тыс $
Ну у нас к примеру — зарубежом много тестовых и бекапных систем, без ПД, а в России только продакшен.
Суды и остальные кто с ними связан, роскомнадзор, МВД, прокуратура, адвокаты и пр. не знают понятий «есть/нет», знают только «доказуемо/не доказуемо». Если при проверке (а практика таковых еще не установилась) вы сможете доказать проверяющим (не факт что у них тех. образование) что все хорошо и нет за рубежом ПД, то они будут считать что все хорошо, если нет то увы :(.
Я не про "как выявят и докажут нарушение", а про "как можно, а как нельзя". В конце-концов, можно изъять сервер или изолировать сеть и попросить продемонстрировать данные на нём.
Зачем изымать? выписывают штраф на основании документов и мнения их эксперта (или блокируют на территории РФ). А вы потом в судах доказывайте свою невиновность.
(на изъятие могут заморочиться если вы замучили морально, или в обработке находитесь по более важному делу, или сами фигурант разработки. Или просто рубят $$. От изъятия локальных сервером можно законно защититься оформив их на другое юр. физ. лицо)
Сейчас еще тяжело сказать как можно и как нельзя, новые законы, положения, еще не сложилась судебная практика. Но ведь живем.
(на изъятие могут заморочиться если вы замучили морально, или в обработке находитесь по более важному делу, или сами фигурант разработки. Или просто рубят $$. От изъятия локальных сервером можно законно защититься оформив их на другое юр. физ. лицо)
Сейчас еще тяжело сказать как можно и как нельзя, новые законы, положения, еще не сложилась судебная практика. Но ведь живем.
Мне представляется, что технологии сейчас так далеко ушли…
Например, пусть у меня в России есть база данных. Пусть будет Oracle… Используется для HR, к примеру. И эта информация требуется в Европе (Америке). Никто не будет поднимать ещё один Oracle host, и делать replication в лоб. Делается near real time logical replication — читаем redo logs с кусками транзакций с файловой системы и пихаем через VPN tunnel. На другой стороне никакой базы даных нет вообще. Всё попадает в google pub/sub, data flow, data prep, bigquery, machine learning… по выбору… Если очень нужно, то какие-то куски можно и в базу данных писать. Структура этой базы данных может очень сильно отличаться от оригинальной.
Или делаем что-то сильно распределенное. Какой-нибудь глупый пример. Типа есть имя. Хранится в России. Еще хранится какой-нибудь foreign key — чтобы соединить с фамилией (которая тоже хранится в России). Но не на прямую. А через еще кукую-нибудь фигню, которая хранится в Бельгии. В итоге имеем таблицу с двумя столбцами — (имя — на самом деле строка символов, 32 байт код). И ещё одну таблицу с двумя столбцами — (фамилия — на самом деле строка символов, еще какой-то 32 байт код). Эти таблицы никаким образом не соединяются без информации, которая хранится где-то ещё (в Бельгии). Это персональные данные? Фигня какая-то
И таких вариантов можно накидать… на вентилятор.
Вообще, мне думается, что смысл данным придают только в воображении людей. Смысл зависит от контекста и от того, что люди себе напридумывали. То есть решили, что какая-то комбинация единичек и нулей — что-то ценное. Значит должно хранится в Европейском Союзе (или России). Возможности технологий сильно оторвались от социальной структуры общества людей. И не очень понятно, что с этим делать.
Например, пусть у меня в России есть база данных. Пусть будет Oracle… Используется для HR, к примеру. И эта информация требуется в Европе (Америке). Никто не будет поднимать ещё один Oracle host, и делать replication в лоб. Делается near real time logical replication — читаем redo logs с кусками транзакций с файловой системы и пихаем через VPN tunnel. На другой стороне никакой базы даных нет вообще. Всё попадает в google pub/sub, data flow, data prep, bigquery, machine learning… по выбору… Если очень нужно, то какие-то куски можно и в базу данных писать. Структура этой базы данных может очень сильно отличаться от оригинальной.
Или делаем что-то сильно распределенное. Какой-нибудь глупый пример. Типа есть имя. Хранится в России. Еще хранится какой-нибудь foreign key — чтобы соединить с фамилией (которая тоже хранится в России). Но не на прямую. А через еще кукую-нибудь фигню, которая хранится в Бельгии. В итоге имеем таблицу с двумя столбцами — (имя — на самом деле строка символов, 32 байт код). И ещё одну таблицу с двумя столбцами — (фамилия — на самом деле строка символов, еще какой-то 32 байт код). Эти таблицы никаким образом не соединяются без информации, которая хранится где-то ещё (в Бельгии). Это персональные данные? Фигня какая-то
И таких вариантов можно накидать… на вентилятор.
Вообще, мне думается, что смысл данным придают только в воображении людей. Смысл зависит от контекста и от того, что люди себе напридумывали. То есть решили, что какая-то комбинация единичек и нулей — что-то ценное. Значит должно хранится в Европейском Союзе (или России). Возможности технологий сильно оторвались от социальной структуры общества людей. И не очень понятно, что с этим делать.
Мы согласны с тем, что технологии позволяют так или иначе скрыть наличие за границей базы персональных данных. Каким образом это можно сделать и хватит ли компетенций сотрудников правоохранительных органов выявить нарушение — тема для отдельного разговора. Здесь и сейчас мы разбираем закон с тем, чтобы выяснить, как соблюсти требования, а не как их обойти.
Вроде и обходить закон не надо. Просто критерий (что такое персональные данные) настолько неясен (с моей точки зрения), что даже и не знаю, как утрамбовать технологии под закон. То есть технологии сейчас таковы, что поток единичек и нулей складывается в то, что с натяжкой можно назвать «персональные данные», только в «браузере» «клиента», который имеет достаточно привилегий этот поток преобразовать во что-то осмысленное. То есть персональные данные не хранятся как таковые. Нигде. Ни в Америке. Ни в России. Ни в Европе. То есть основной вопрос (в контексте статьи) — Как соблюсти закон при таких технологиях?
И что с этим делать? — запретить технологии? Провернуть фарш обратно через мясорубку?
То есть, на мой взгляд, мы имеем значительно более глубокое противоречие между национальными государствами и технологическими возможностями человечества. И данный закон — пример такого разлома (ещё раз — на мой личный взгляд).
И что с этим делать? — запретить технологии? Провернуть фарш обратно через мясорубку?
То есть, на мой взгляд, мы имеем значительно более глубокое противоречие между национальными государствами и технологическими возможностями человечества. И данный закон — пример такого разлома (ещё раз — на мой личный взгляд).
Наоборот — нельзя. Основная база данных должна располагаться в России. Базы в России и за границей могут быть синхронизированы и, соответственно, идентичны, но основной именоваться должна именоваться первая.
На мой взгляд — ещё один пример, когда закон (или его трактовка) отстаёт от возможностей технологии. При горячей репликации — сервера могут меняться (даже не знаю какие прилагательные подобрать) каждые несколько минут. Причём без участия человека. Просто в зависимости от нагрузки и ста тысяч других параметров. Если речь идёт о распределённой базе данных, то вообще всё это теряет смысл. Если посмотреть как работает Google Spanner, то вообще не понятно — можно ли такие вещи использовать…
То есть фраза «Основная база данных должна располагаться в России» — приводит меня к мысли, что если я наклею бумажку на сервер (или назову DNS host) со словами «Основная база данных», то закон будет соблюдён…
То есть фраза «Основная база данных должна располагаться в России» — приводит меня к мысли, что если я наклею бумажку на сервер (или назову DNS host) со словами «Основная база данных», то закон будет соблюдён…
По поводу того, что понимается под персональными данными у нас (в РФ) — вот что об этом говорит зам. руководителя Управления Роскомнадзора по ЦФО: «Любая информация, относящаяся к субъекту персональных данных, является персональными данными» и «факт идентификации или неидентификации субъекта персональных данных оператором не влияет на статус данных как персональных». (взято здесь: www.klerk.ru/law/articles/465018). Обратите внимание — ЛЮБАЯ информация, и на факт идентификации субъекта — пофиг. И я видел судебное решение, где даже куки и ip были отнесены к персональным данным.
Так что сегодня у нас понятие персональных данных расширено максимально широко, сверх всяких разумных рамок
Так что сегодня у нас понятие персональных данных расширено максимально широко, сверх всяких разумных рамок
То есть, любой веб-сервер, поднятый на Амазоне и логирующий запросы (и айпишники) дорогих россиян, должен регистрироваться как оператор персональных данных?
С точки зрения родного РКН — видимо, да
Я полагаю, что чиновники от РКН, внезапно получившие столько полномочий, вообще не очень-то понимают суть многих сущностей. И это не лучшим образом отражается на их точке зрения. А у суда (цитата) «нет оснований не доверять...»
Опять же, по нашему опыту, голый IP-адрес без дополнительной информации, позволяющей идентифицировать конкретного человека, персональными данными являться не будет.
Все верно. В самом законе тоже нет упоминания о факте идентификации: “Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому лицу”. Однако, как показывает наш опыт, возможность идентифицировать субъекта с помощью данных играет первостепенную роль в отнесении их к персональным. Именно поэтому важно, чтобы было не просто имя, а имя и, например, адрес электронной почты, — в совокупности.
По поводу примера с куки и IP — охотно верим. А расскажите поподробнее об этом случае?
По поводу примера с куки и IP — охотно верим. А расскажите поподробнее об этом случае?
Ссылок не сохранил, к сожалению, но читал интервью с представителем РКН, где он ip и куки легко и уверенно отнес к ПДн (что, в общем-то, бред полнейший, т.к. это автоматически делает практически любой зарубежный хост нарушителем ФЗ).
Та же позиция РКН была озвучена в суде, когда они требовали запрета LinkedIn (я читал репортаж с суда). И видел судебное решение против то ли хостинговой компании, то ли оператора связи, сейчас уже не помню, где точно так же была претензия, что оператор собирал ip и куки и передавал это третьей стороне, а т.к. это ПДн (так решил суд), то он не имел права этого делать без явного согласия пользователей.
Это то, что сам видел, и плюс несколько раз встречал в статьях информацию о таком подходе РКН к ip, кукам, MAC-адресам
Та же позиция РКН была озвучена в суде, когда они требовали запрета LinkedIn (я читал репортаж с суда). И видел судебное решение против то ли хостинговой компании, то ли оператора связи, сейчас уже не помню, где точно так же была претензия, что оператор собирал ip и куки и передавал это третьей стороне, а т.к. это ПДн (так решил суд), то он не имел права этого делать без явного согласия пользователей.
Это то, что сам видел, и плюс несколько раз встречал в статьях информацию о таком подходе РКН к ip, кукам, MAC-адресам
Я правильно понимаю, что для формального соблюдения закона можно просто просить конечного пользователя сохранить на флешку (или вообще просто распечатать) текстовый файл с персональными данными, хранящимися за рубежом?
Поясните свою мысль, пожалуйста.
Я имел ввиду, что сначала можно сохранять собираемые персональные данные пользователя в текстовый (или не текстовый, а зашифрованный и подписанный) файл на локальном диске, а затем сохранённые данные синхронизировать с базой данных за пределами РФ. Формально при этом первичные данные будут размещены на территории РФ и требование закона можно будет считать выполненными.
«Два юриста — три мнения»
Вы по статье умудрились ни разу не упомянуть «профильные» дополнения ФЗ-242 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»
В частности в статью 18 ФЗ-152 внесен пункт
Второй момент. Статья 12 пункт 1
«Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.»
Во-первых, не плохо бы удостовериться, что страна вашего хостера ратифицировала Конвенцию и, следовательно, является ее стороной.
Во-вторых, трансграничная передача не снимает с вас обязанности соответствовать требованиям закона и подзаконных актов. Когда к вам как к Оператору ПДн придут проверяющие органы, это ваша задача показать модель угроз и использование адекватных мер защиты, в том числе возложенных на хостера в рамках контракта. Что-то мне говорит, что объяснить Чешскому хостеру, что он должен (а главное зачем ему это) соответствовать 21 Приказу ФСТЭК будет на порядок сложнее, чем российскому.
В-третьих, последний выделенный фрагмент как бы намекает, что ваша карета может в одночасье превратиться в тыкву.
Вы по статье умудрились ни разу не упомянуть «профильные» дополнения ФЗ-242 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»
В частности в статью 18 ФЗ-152 внесен пункт
5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
(часть 5 введена Федеральным законом от 21.07.2014 N 242-ФЗ)
Олег Ефимов сразу добавляет, что под «обработкой персональных данных» также понимают сбор, использование, обезличивание, блокирование, удаление, уничтожение персональных данных, на которые требования о локализации баз данных не распространяются.Как видим к сбору как раз требования по локализации вполне распространяется (даже появился в обиходе термин «сбор и первичная обработка»).
Второй момент. Статья 12 пункт 1
«Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.»
Во-первых, не плохо бы удостовериться, что страна вашего хостера ратифицировала Конвенцию и, следовательно, является ее стороной.
Во-вторых, трансграничная передача не снимает с вас обязанности соответствовать требованиям закона и подзаконных актов. Когда к вам как к Оператору ПДн придут проверяющие органы, это ваша задача показать модель угроз и использование адекватных мер защиты, в том числе возложенных на хостера в рамках контракта. Что-то мне говорит, что объяснить Чешскому хостеру, что он должен (а главное зачем ему это) соответствовать 21 Приказу ФСТЭК будет на порядок сложнее, чем российскому.
В-третьих, последний выделенный фрагмент как бы намекает, что ваша карета может в одночасье превратиться в тыкву.
Мне кажется что это все же скользкая дорожка.
Закон в явном виде разрешает «Сбор, использование, передачу (распространение, предоставление, доступ) ПДн зарубежом»
При этом в явном виде требует запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение вести на территории РФ.
По сути за рубежом можно хранить только резервную копию, даже не реплику, иначе нарушается или пункт изменение или пункт извлечение.
Кстати, за нарушение требований 152-ФЗ сейчас гендир может схлопотать административную дисквалификацию, правда только если не сможет выполнить предписание, полученное после проверки. Очень было бы интересно узнать, есть ли уже практика по этому вопросу, или эта возможность пока теоретическая.
Закон в явном виде разрешает «Сбор, использование, передачу (распространение, предоставление, доступ) ПДн зарубежом»
При этом в явном виде требует запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение вести на территории РФ.
По сути за рубежом можно хранить только резервную копию, даже не реплику, иначе нарушается или пункт изменение или пункт извлечение.
Кстати, за нарушение требований 152-ФЗ сейчас гендир может схлопотать административную дисквалификацию, правда только если не сможет выполнить предписание, полученное после проверки. Очень было бы интересно узнать, есть ли уже практика по этому вопросу, или эта возможность пока теоретическая.
При этом в явном виде требует запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение вести на территории РФ.
Слово "исключительно" там есть?
Еще один шаг дальше и вы ступите на опасную дорожку.
Но главный момент все же в том, что вы эту реплику должны также защищать. Никто вас от этого не освобождает при трансграничке.
И вот если у вас в модели угроз есть перехват трафика и предусмотрена мера по его защите путем VPN с сертифицированным ГОСТ шифрованием, станете ли вы это делать на сервере вне РФ? Экспорт криптосредств законен?
Но главный момент все же в том, что вы эту реплику должны также защищать. Никто вас от этого не освобождает при трансграничке.
И вот если у вас в модели угроз есть перехват трафика и предусмотрена мера по его защите путем VPN с сертифицированным ГОСТ шифрованием, станете ли вы это делать на сервере вне РФ? Экспорт криптосредств законен?
Sign up to leave a comment.
Хранение персональных данных на зарубежном хостинге: если можно, то как?