Загрузка...

Локализация персональных данных: первые итоги

В рамках XII Международного форума операторов связи «Телеком 2016» состоялась сессия «Защита от угроз». В ходе дискуссии обсуждался широкий спектр вопросов: как телекоммуникационные компании и их абоненты могут противостоять современным угрозам, как соблюсти баланс между защитой данных, борьбой с угрозами и потребностями бизнеса, в какой степени реальные возможности операторов соответствуют требованиям государства...

Руководитель межотраслевой группы «Пепеляев Групп» Наталья Иващенко затронула вопрос влияния недавно принятых нормативных правовых актов на телеком-отрасль. Она отметила, что нормативная правовая база в области инфотелекоммуникаций за последние полгода не изобилует большим количеством принятых законодательных актов. Между тем достаточно большое количество различных законодательных инициатив требует серьезной работы со стороны бизнеса и государства в настоящем и ближайшем будущем. Наталья Иващенко дала интервью журналу «Электросвязь».

«ЭС»: Можно ли говорить о каких-то результатах принятого решения о переносе персональных данных российских пользователей на серверы в РФ?

– Главное, на что был направлен закон о локализации персональных данных: персональные данные не могут храниться на зарубежных серверах, они должны консолидироваться в России. Закон действует не так долго – с 1 сентября 2015 года. Но уже сейчас мы наблюдаем первые положительные результаты его принятия, а также сложности, с которыми столкнулись компании. Причем это касается не только компаний телекоммуникационного сектора, поскольку с персональными данными работают все индустрии: собирают, обрабатывают, хранят и используют данные для разных целей.

Приведу несколько примеров из тех проектов, к участию в которых привлекали юридическую компанию «Пепеляев Групп» в целях приведения в соответствие внутренних систем требованиям закона о персональных данных. Закон изначально предъявлял требования предпринимать меры защиты персональных данных. Однако для многих компаний это было простой формальностью, и тогда вместо внедрения реальных мер по защите персональных данных создавалась видимость их защиты.

Законодательное требование о локализации ПД побудило компании провести, по сути, инвентаризацию своих баз данных, поскольку появилось требование сообщать в Роскомнадзор о месте нахождения баз данных. Соответственно, потребовалось описание информационных систем, в том числе для целей определения степени их защищенности во исполнение Постановления Правительства РФ № 1119. В результате компании начали активно собирать информацию о том, какими БД они пользуются, для чего они нужны и т.д.

Результаты инвентаризации, как мы видим по своим клиентам, привели к тому, что стала видна реальная картина защиты ПД в компании:

  • выявлены БД, на которые ранее в принципе не обращалось никакого внимания;

  • от части БД компании приняли решение отказаться (уничтожить), если они утратили свою актуальность для бизнеса (например, не всегда информация о родственниках клиентов, фото, попадающие в систему и т.п. являются нужной и важной для деятельности компании информацией);

  • выявлено несоблюдение требований к защите ПД, которые предъявлялись и ранее, но на них особо не обращали внимания. Например, пока не было требования о локализации компании, не всегда знали, каким образом происходит передача информации внутри холдинга, соблюдаются ли требования, предъявляемые к целям использования ПД, полученных от работников или клиентов, к получению согласия от граждан на использование их ПД в соответствии именно с его целями, к порядку передачи ПД зарубежному офису и др.

Еще одним примером того, над чем компаниям приходится задумываться все больше, является основание для передачи ПД и распределение ответственности между субъектами. Допустим, в рамках холдинговой структуры (в том числе чисто российской) одна из компаний (скажем, сервисная) получила согласие на использование ПД и для целей оказания услуг, и для рекламных целей. А другая компания (рекламная) использует ПД граждан для своей рекламной деятельности, полагая, что согласие получено. Такой подход не работает. У каждого юридического лица, как самостоятельного оператора ПД, в той или иной форме должно быть согласие гражданина на тот вид использования его ПД, какое осуществляет именно это лицо.

Что касается трансграничных передач данных. Если данные собраны в России и требования локализации соблюдены, формально российской компании не запрещено передавать ПД за рубеж, осуществляя копирование российской БД. Между тем и в этом случае должна быть цель такой передачи, и целевое использование ПД, и на все это также должно быть получено согласие клиента. Имеет свои особенности привлечение подрядчика, например, для каких-то рассылок рекламного / информационного характера. Это самостоятельная цель использования ПД, причем третьим лицом, и для этого также формально требуется согласие субъекта ПД.

По нашему мнению, информационная безопасность компаний улучшилась. Формальное соблюдение мер защиты ПД постепенно заменяется реальным. Это также снижает угрозы для бизнеса в случае проверок РКН.

Источник - «Электросвязь»

Возврат к списку

Отправить статью

Для получения доступа к Обзорам судебной практики по налоговым спорам необходимо оформить подписку.

Год

30000 рублей + НДС

Подписаться
Я уже подписчик

Необходимо авторизоваться чтобы получить доступ

Авторизоваться

По вопросам подписки обращайтесь, пожалуйста, к Маргарите Завязочниковой
E-mail: m.zavyazochnikova@pgplaw.ru
Nел. +7 (495) 767 00 07

16.05.2022
«Пепеляев Групп» на Петербургском правовом саммите
13.05.2022
Юлия Бороздна покидает «Пепеляев Групп»
29.04.2022
Вадим Зарипов награжден медалью I степени «За заслуги в защите прав и свобод гра...
08.04.2022
Сергей Таут стал соавтором доклада «Искусственный интеллект в профилактике право...
31.03.2022
Дмитрий Зыков покидает «Пепеляев Групп»
22.03.2022
«Пепеляев Групп» и Генеральное консульство Республики Корея подписали договор об...
20.02.2022
Сайт «Пепеляев Групп» принарядился в честь 20-летия компании
19.02.2022
«Пепеляев Групп» сохраняет высокие позиции в рейтинге Chambers Global 2022