Как оператору исполнить обязанность по размещению баз с персональными данными на территории РФ

Выбираем стратегии выполнения требований закона к обработке персональных данных и оцениваем риски их применения

Рост мировой геополитической напряженности в первой половине 2014 г. между Россией и некоторыми зарубежными странами, взаимные и встречные санкции побудили российские власти выступить с рядом инициатив по обеспечению национальной безопасности РФ.

22 июля 2014 г. был опубликован текст Федерального закона № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», который вступил в силу 1 сентября 2015 г. Им в ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» были внесены дополнения следующего содержания: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети “Интернет”, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».

Это требование распространяется на всех операторов, за исключением некоторых случаев обработки персональных данных (далее – ПДн) СМИ и органами государственной власти. К исключениям также относится п. 2 ч. 1 ст. 6 Закона № 152-ФЗ: «Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей». Однако, по нашему мнению, такое исключение может применяться только в тех случаях, когда на оператора возлагается обязанность по сбору и дальнейшей обработке ПДн за рубежом.

Важной особенностью положений Закона № 242-ФЗ является акцент на гражданстве субъектов ПДн. Ранее законодательство РФ было направлено на защиту прав субъектов ПДн безотносительно их гражданства. 

В случае если оператор поручает другому лицу обработку персональных данных, включая их сбор, указанное требование распространяется также и на это лицо. При этом оператор обязан обеспечить размещение данных на территории РФ. 

Необходимо отметить, что требование распространяется только на обработку ПДн при их сборе. Таким образом, можно сделать вывод о том, что последующие действия с ПДн могут производиться в базах данных (далее – БД) на территории иностранных государств. Кроме того, изменения в Закон № 152-ФЗ не затрагивают трансграничную передачу ПДн.

Общие рекомендации по выполнению требований Закона № 242-ФЗ

Операторам информационных систем с ПДн (далее – ИСПДн), обрабатывающим персональные данные граждан РФ, следует соблюдать следующие принципы:

• сбор ПДн, в том числе с территории иностранных государств, ведется только в БД на территории РФ;
• объем и актуальность ПДн, хранящихся в БД на территории РФ, должны быть равны или превосходить соответствующие показатели в отношении ПДн, хранящихся в зарубежных БД;
• получение новых ПДн посредством использования (анализа) имеющихся ПДн, которые были собраны в БД на территории РФ и переданы за рубеж, может производиться с помощью зарубежных БД и без предварительной локализации в РФ¹.

В начале августа 2015 г. Минкомсвязь на своем сайте открыла раздел «Обработка и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года». В нем предлагаются разъяснения и ответы на вопросы, подготовленные на основании информации, полученной от представителей бизнеса, научного сообщества и органов государственной власти (Совета Федерации, Минкомсвязи, Роскомнадзора). Роскомнадзор в ноябре 2016 г. опубликовал свой комментарий к Закону № 242-ФЗ. Следует обратить внимание, что публикуемые в этих источниках разъяснения иногда противоречат друг другу².

На текущий момент несколько органов государственной власти высказали свою позицию, которая суммирует результаты толкования ими требований Закона № 242-ФЗ в отношении размещения БД с данными российских граждан. Необходимо отметить, что нижеприведенные интерпретации норм не всегда могут считаться официальными разъяснениями, так как не все эти органы, например Роскомнадзор, наделены таким правомочием.

Позиция Государственно-правового управления Президента РФ

• Обработка ПДн российских граждан должна осуществляться с использованием БД, находящихся на территории РФ, если только в конкретной ситуации не применимы случаи, указанные в п. 2, 3, 4, 8 ч. 1 ст. 6 Закона № 152-ФЗ.
• В Законе № 242-ФЗ отсутствует упоминание о дублирующих БД или актуальных копиях данных.
• Исходя из положений ч. 1 ст. 1 Закона № 242-ФЗ он распространяется на всех операторов.
• Запреты, установленные в Законе № 242-ФЗ, распространяются и на те ПДн, которые были ранее переданы за пределы РФ.

• Роскомнадзор при проведении проверок опирается на определение БП с ПДн. Согласно ему БД можно считать таблицу в формате Excel, Word, в которой содержится информация о ПДн граждан или иным образом упорядоченный массив ПДн, в том числе поддающийся обработке при помощи ЭВМ³.
• В Законе № 242-ФЗ отсутствует запрет на трансграничную передачу ПДн, так как ст. 12 Закона № 152-ФЗ не подверглась изменениям. Обработка ПДн посредством их передачи, в том числе на территорию иностранного государства, является трансграничной передачей. Допускается передача ПДн российских граждан, содержащихся в БД, находящихся в РФ, в том числе на территорию иностранных государств, в порядке и в соответствии с условиями, определенными законодательством о ПДн.
• Нормы Закона № 152-ФЗ не применяются за пределами территории РФ. Зарубежная обработка ПДн регулируется нормативными правовыми актами тех стран, в которых она осуществляется.
• Порядок определения оператором места нахождения БД с ПДн нормативно закрепляться не будет.
• Формирование и актуализация БД с ПДн российских граждан должны осуществляться на территории РФ. Требования Закона № 242-ФЗ не позволяют осуществлять отдельные процедуры, в том числе «хранение ПДн» в БД на территории иностранного государства.
• Каждый случай, в котором при сборе ПДн будет осуществляться одновременное хранение БД на территории РФ и иностранного государства, будет являться нарушением Закона № 242-ФЗ, поскольку оператор при сборе ПДн допустит их хранение в БД за пределами РФ. После сбора ПДн, т.е. после формирования БД на территории РФ, недопустимо изменение условий ее хранения путем переноса БД на территорию иностранного государства.
• Операторы должны самостоятельно определять процедуру установления гражданства субъекта ПДн. Если у оператора возникли трудности или сомнения в правильной идентификации гражданства субъектов ПДн, то он может осуществлять хранение ПДн этих субъектов в БД, размещенных на территории РФ.

Позиция Минкомсвязи

• Субъект ПДн имеет право дать согласие на обработку своих ПДн и предоставить их любому юридическому или физическому лицу, находящемуся как на территории РФ, так и за ее пределами.
• Оператор по-прежнему обладает правом поручить обработку ПДн иностранному лицу и осуществлять трансграничную передачу ПДн. Например, российские дочерние организации могут передавать ПДн своих работников в глобальные ИС (HR-системы, ERP-системы и т.п.), операторами которых являются иностранные материнские компании или иные организации.
• ИСПДн может обладать географически распределенной структурой. Часть ее элементов может находиться за пределами РФ. 
• Применение дублирующих БД, находящихся на территории РФ или за ее пределами, прямо не запрещено действующим законодательством РФ.
• Нормы Закона № 152-ФЗ применимы только на территории РФ, а Конвенция о защите физических лиц при автоматизированной обработке персональных данных ETS от 28 января 1981 г. № 108 имеет приоритет над этим законом. Соответственно, иностранные лица не обязаны соблюдать его требования за пределами РФ, и они не подлежат юридической ответственности, предусмотренной действующим законодательством РФ.
• Закон № 242-ФЗ обратной силы не имеет. Следовательно, его положения не распространяются на правоотношения с иностранными лицами, ведущими БД с ПДн, оформленные до 1 сентября 2015 г.
• На деятельность авиакомпаний, осуществляемую в рамках реализации международного договора РФ или федерального закона, не распространяется положения ч. 5 ст. 18 Закона № 152-ФЗ об обязательной локализации БД с ПДн на территории РФ.
• Обработка ПДн для целей, не предусмотренных международным договором РФ или законом, может быть осуществлена оператором в рамках исполнения требований, предусмотренных ч. 5 ст. 18 Закона № 152-ФЗ, путем размещения в центрах обработки данных на территории РФ БД, содержащей ПДн граждан РФ, большего размера или аналогичного объему ПДн, передаваемому на территорию иностранного государства.

В целом вышеописанные позиции иллюстрируют два обобщенных подхода органов госвласти к толкованию норм Закона № 242-ФЗ:

• жесткий подход Государственно-правового управления Президента РФ и Роскомнадзора: запрещено все, что прямо не разрешено законом;
• мягкий подход Минкомсвязи: разрешено все, что прямо не запрещено законом.

Способы выполнения требований к обработке персональных данных

В связи с противоречивостью и фрагментарностью правоприменительной практики и комментариев уполномоченных органов затруднительно сделать однозначные выводы о наиболее оптимальных стратегиях выполнения требований к обработке персональных данных операторами, обладающими БД с ПДн российских граждан за пределами территории РФ. Можно выделить восемь возможных стратегий выполнения требований Закона № 242-ФЗ (см. рис. ниже). Допустимо комбинировать их между собой.

Следует дать дополнительные пояснения к некоторым из стратегий.

• Стратегия № 5 подразумевает отказ от процесса обработки ПДн с помощью организации – российского резидента. Стратегия реализуется путем осуществления прямого сбора, систематизации, обновления и хранения ПДн с помощью организации за пределами России. Такая компания – оператор ПДн не подпадает под российскую юрисдикцию. 
• Стратегия № 7 подразумевает создание на территории РФ промежуточной информационной системы или БД с целью хранения, уточнения, удаления собираемых в России ПДн и их последующей передачи для обработки другому оператору, в том числе за границу. БД с ПДн может представлять собой документ в формате Excel, Word или находиться на бумажных носителях, если этого достаточно для целей обработки. Процессы в зарубежных системах (например, в глобальных системах международных холдингов и групп компаний), связанные с последующей обработкой ПДн, сохраняются неизменными или адаптируются для автоматического использования данных из России.

Перечисленные стратегии формировались исходя из презумпции, что обработка ПДн при осуществлении процедур по обеспечению непрерывности информационно-технологической инфраструктуры и восстановления ее после сбоев, при разработке и тестировании программных модулей информационных систем не регулируется напрямую Законом № 242-ФЗ в части размещения БД с ПДн на территории РФ. Данное предположение основывается на следующем доводе: в рамках резервной информационно-технологической инфраструктуры и сред разработки и тестирования программных модулей ИС не осуществляется сбор ПДн субъектов. ПДн передаются в указанную инфраструктуру и среды из иных БД с ПДн. Для минимизации юридических рисков, связанных с обработкой ПДн в средах разработки и тестирования программных модулей ИС, оператору рекомендуется рассмотреть возможность применения технологий обезличивания (обратимого и необратимого) или шифрования ПДн.

Представленные стратегии рассматривают только вопросы логики распределения информационных потоков внутри и между ИСПДн, но не затрагивают вопросы правового характера.

Риски применения стратегий выполнения требований Закона № 242-ФЗ

Для просчета юридических рисков, сопутствующих применению стратегий выполнения требований Закона № 242-ФЗ, оценивалась вероятность⁴ выявления правонарушения (обнаружить несоответствие могут Роскомнадзор и Прокуратура, субъекты ПДн, контрагенты оператора и иные лица) и дальнейшего доказывания этого факта в суде. Для этого выявлялась степень соответствия стратегии требованиям закона с точки зрения органов госвласти, опирающихся на политическую ситуацию и ведомственное мнение, и судов, руководствующихся юридической трактовкой и внутренним убеждением.

Отметим, что здесь не учитывалась возможность нарушения оператором требования об уведомлении Роскомнадзора о местонахождении БД с ПДн и привлечения его к ответственности по ст. 19.7 КоАП РФ, поскольку письмо о внесении изменений в сведения в реестре операторов он обязан направить в ведомство вне зависимости от выбора стратегии.

Ниже приведено графическое представление интегральной оценки в диапазоне от 0 до 5 баллов в отношении величины юридических рисков для каждой из стратегий. Так, стратегия № 1 получила 0 баллов, что демонстрирует ее безрисковость. Выбор стратегии № 2 чреват наибольшим юридическим риском среди всех восьми стратегий.  При реализации остальных стратегий вы в большей (стратегии № 4, 5, 8) или меньшей степени (стратегии № 3, 6, 7) рискуете столкнуться с наступлением неблагоприятных последствий, описанных далее.

Оценка реализации стратегий выполнения требований Закона № 242-ФЗ

Выбор стратегии основывается на принципе минимизации вероятного ущерба компании и расходов на ее реализацию. При этом ущерб подразделяется на штраф, влияние на бизнес и репутационный ущерб. Расходы могут быть однократными и периодическими. 

Чтобы вычислить расходы, определить риски и дать общую оценку стратегии качественные значения ставятся в соответствие с количественными, которые представляют собой безразмерную величину (условные пункты).

Оценка стратегий осуществляется в отношении только тех систем, базы данных с ПДн которых полностью или частично располагаются за пределами РФ. При оценке применяется допущение, что в течение жизненного цикла систем проверка со стороны Роскомнадзора будет проведена как минимум один раз.

Привлекательность стратегии определяется по формуле, позволяющей оценить величину расходов на ее реализацию: S_i=C_i+O_i*T_э+P_о,i*P_в,i*P_д,i*M*S₁+P_о,i*P_в,i*P_сми,I*D.

• S_i – обозначение оцениваемой стратегии (значение i соответствует порядковому номеру стратегии); 
• C_i – однократные расходы при реализации стратегии i;
• O_i – периодические расходы при реализации стратегии i;
• T_э – ожидаемый период эксплуатации ИСПДн;
• P_о,i – вероятность обнаружения ИСПД проверяющими органами при реализации стратегии i;
• P_в,i – вероятность выявления нарушений в обнаруженной ИСПДн по результатам проверки при реализации стратегии i;
• P_д,i – вероятность признания постановления Роскомнадзора законным при реализации стратегии i;
• М – мультипликатор (уровень) влияния на бизнес;
• S₁ – расходы на реализацию стратегии, включая периодические за период жизненного цикла;
• P_сми,i – вероятность освещения результатов в СМИ при реализации стратегии i;
• D – вероятный репутационный ущерб.

Влияние на бизнес выражается в виде расходов на реализацию стратегии, умноженных на мультипликатор. Мультипликатор зависит от критичности системы для бизнеса, сложности переноса системы, вовлеченности ее в основные бизнес-процессы и находится в промежутке от 1 до 3 единиц. 

Вероятность обнаружения ИСПДн зависит в первую очередь от того, был ли уведомлен Роскомнадзор об этой системе, а также от вовлеченности ее в деятельность организации, и оценивается по шкале 0–100%. Для основных бизнес-процессов вероятность обнаружения ИСПДн выше. Вероятность выявления правонарушения в ИСПДн зависит от реализованной стратегии и компетентности проверяющих.

Чтобы упростить процедуру оценки вероятностей, используется экспертное мнение о степени соответствия стратегий требованиям Закона № 242-ФЗ. Степень соответствия анализируется по следующей шкале:

• легкообнаружимое несоответствие (вероятность – 100%);
• труднообнаружимое несоответствие (вероятность – 80%);
• крайне труднообнаружимое несоответствие или соответствие с сильнозаметными уязвимостями (вероятность – 60%);
• соответствие со среднезаметными уязвимостями (вероятность – 40%);
• соответствие со слабозаметными уязвимостями (вероятность – 20%);
• полное соответствие (вероятность – 0%).

Вероятность распространения информации в СМИ зависит от значимости нарушения, степени вовлеченности системы в основные процессы организации и также оценивается по шкале 0–100%.

Действующим законодательством не установлена прямая ответственность за неисполнение операторами требований о локализации БД с ПДн (ч. 5 ст. 18 Закона № 152-ФЗ). Однако этот пробел может быть восполнен в среднесрочной перспективе. Размер штрафа может быть установлен в пределах 50 тыс. руб. (с учетом размера штрафа, установленного ч. 1 ст. 13.11 КоАП РФ). Это значительно меньше прочих расходов на реализацию стратегий и величины сопутствующих рисков. При расчете общей оценки стратегии штраф в явном виде не учитывается.

Рассмотрим пример оценки восьми стратегий в отношении отдельно взятой ИСПДн.

Итак, в рассмотренном примере наиболее привлекательной оказалась стратегия № 1 – создание промежуточной БД на территории РФ. Немного менее привлекательной является стратегия № 2 – перенос БД на территорию РФ.

---

¹ Согласно разъяснениям Роскомнадзора и Минкомсвязи, сбор ПДн – это процесс целенаправленного получения данных непосредственно от субъекта или привлеченных для этого третьих лиц. Обязанность по их локализации в БД на территории РФ возникает только в период сбора ПДн. Если, например, в зарубежной системе на основании собранных и локализованных в РФ данных о работнике определяется его грейд, делается вывод о необходимости направления работника на повышение квалификации или о его продвижении по службе, то такие ПДн нельзя рассматривать как получаемые во время сбора, т.е. они не были получены от субъекта или через уполномоченных оператором лиц.

² Например, Минкомсвязь указывает, что понятие «база данных» на уровне федерального закона раскрыто в абз. 2 ст. 1260 ГК РФ следующим образом: «Базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины». Тут же ведомство поясняет, что при применении Закона № 242-ФЗ под термином «база данных» будет пониматься указанное выше значение, предполагающее, что с помощью ЭВМ одновременно должны быть обеспечены поиск и любая обработка соответствующей информации, что представляется возможным при условии их наличия в электронной форме. Роскомнадзор придерживается мнения, что следует руководствоваться понятием, которое дано в Модельном законе о персональных данных, принятом в Санкт-Петербурге 16 октября 1999 г. Постановлением № 14-19 на 14-м пленарном заседании Межпарламентской Ассамблеи государств – участников СНГ: «база персональных данных» – это упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных). Следовательно, базой данных можно считать таблицу в формате Excel, Word, в которой содержится информация о персональных данных граждан или иным образом упорядоченный массив персональных данных, в том числе поддающийся обработке при помощи ЭВМ. Такое понимание базы данных позволяет распространить требования законодательства о персональных данных на все материалы, содержащие персональные данные, вне зависимости от того, каким образом они скомпонованы и в каком формате обрабатываются – бумажном или электронном.

³ С данным расширительным толкованием понятия БД можно не согласиться, так как согласно п. 10 ст. 3 Закона № 152-ФЗ БД является неотъемлемой частью ИСПДн, а обработка ПДн, содержащихся в БД, осуществляется с использованием информационных технологий и технических средств (средств автоматизации). При этом, согласно ч. 1 ст. 1 Закона № 152-ФЗ, без использования средств автоматизации могут обрабатываться ПДн, зафиксированные на материальном носителе и содержащиеся в картотеках или иных систематизированных собраниях ПДн. Таким образом, упорядоченные массивы ПДн можно условно разделить на две категории: [электронные] базы данных в составе ИСПДн; картотеки и иные систематизированные собрания ПДн. 

⁴ Оценка проводилась в течение трех лет. Указанный срок был определен на основании нормы, закрепленной в п. 33 Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утв. Приказом Минкомсвязи России от 14 ноября 2011 г. № 312).