Загрузка...

Локализация персональных данных: первые итоги

В рамках XII Международного форума операторов связи «Телеком 2016» состоялась сессия «Защита от угроз». В ходе дискуссии обсуждался широкий спектр вопросов: как телекоммуникационные компании и их абоненты могут противостоять современным угрозам, как соблюсти баланс между защитой данных, борьбой с угрозами и потребностями бизнеса, в какой степени реальные возможности операторов соответствуют требованиям государства...

Руководитель межотраслевой группы «Пепеляев Групп» Наталья Иващенко затронула вопрос влияния недавно принятых нормативных правовых актов на телеком-отрасль. Она отметила, что нормативная правовая база в области инфотелекоммуникаций за последние полгода не изобилует большим количеством принятых законодательных актов. Между тем достаточно большое количество различных законодательных инициатив требует серьезной работы со стороны бизнеса и государства в настоящем и ближайшем будущем. Наталья Иващенко дала интервью журналу «Электросвязь».

«ЭС»: Можно ли говорить о каких-то результатах принятого решения о переносе персональных данных российских пользователей на серверы в РФ?

– Главное, на что был направлен закон о локализации персональных данных: персональные данные не могут храниться на зарубежных серверах, они должны консолидироваться в России. Закон действует не так долго – с 1 сентября 2015 года. Но уже сейчас мы наблюдаем первые положительные результаты его принятия, а также сложности, с которыми столкнулись компании. Причем это касается не только компаний телекоммуникационного сектора, поскольку с персональными данными работают все индустрии: собирают, обрабатывают, хранят и используют данные для разных целей.

Приведу несколько примеров из тех проектов, к участию в которых привлекали юридическую компанию «Пепеляев Групп» в целях приведения в соответствие внутренних систем требованиям закона о персональных данных. Закон изначально предъявлял требования предпринимать меры защиты персональных данных. Однако для многих компаний это было простой формальностью, и тогда вместо внедрения реальных мер по защите персональных данных создавалась видимость их защиты.

Законодательное требование о локализации ПД побудило компании провести, по сути, инвентаризацию своих баз данных, поскольку появилось требование сообщать в Роскомнадзор о месте нахождения баз данных. Соответственно, потребовалось описание информационных систем, в том числе для целей определения степени их защищенности во исполнение Постановления Правительства РФ № 1119. В результате компании начали активно собирать информацию о том, какими БД они пользуются, для чего они нужны и т.д.

Результаты инвентаризации, как мы видим по своим клиентам, привели к тому, что стала видна реальная картина защиты ПД в компании:

  • выявлены БД, на которые ранее в принципе не обращалось никакого внимания;

  • от части БД компании приняли решение отказаться (уничтожить), если они утратили свою актуальность для бизнеса (например, не всегда информация о родственниках клиентов, фото, попадающие в систему и т.п. являются нужной и важной для деятельности компании информацией);

  • выявлено несоблюдение требований к защите ПД, которые предъявлялись и ранее, но на них особо не обращали внимания. Например, пока не было требования о локализации компании, не всегда знали, каким образом происходит передача информации внутри холдинга, соблюдаются ли требования, предъявляемые к целям использования ПД, полученных от работников или клиентов, к получению согласия от граждан на использование их ПД в соответствии именно с его целями, к порядку передачи ПД зарубежному офису и др.

Еще одним примером того, над чем компаниям приходится задумываться все больше, является основание для передачи ПД и распределение ответственности между субъектами. Допустим, в рамках холдинговой структуры (в том числе чисто российской) одна из компаний (скажем, сервисная) получила согласие на использование ПД и для целей оказания услуг, и для рекламных целей. А другая компания (рекламная) использует ПД граждан для своей рекламной деятельности, полагая, что согласие получено. Такой подход не работает. У каждого юридического лица, как самостоятельного оператора ПД, в той или иной форме должно быть согласие гражданина на тот вид использования его ПД, какое осуществляет именно это лицо.

Что касается трансграничных передач данных. Если данные собраны в России и требования локализации соблюдены, формально российской компании не запрещено передавать ПД за рубеж, осуществляя копирование российской БД. Между тем и в этом случае должна быть цель такой передачи, и целевое использование ПД, и на все это также должно быть получено согласие клиента. Имеет свои особенности привлечение подрядчика, например, для каких-то рассылок рекламного / информационного характера. Это самостоятельная цель использования ПД, причем третьим лицом, и для этого также формально требуется согласие субъекта ПД.

По нашему мнению, информационная безопасность компаний улучшилась. Формальное соблюдение мер защиты ПД постепенно заменяется реальным. Это также снижает угрозы для бизнеса в случае проверок РКН.

Источник - «Электросвязь»

Возврат к списку

Отправить статью

Для получения доступа к Обзорам судебной практики по налоговым спорам необходимо оформить подписку.

Год

30000 рублей + НДС

Подписаться
Я уже подписчик

Необходимо авторизоваться чтобы получить доступ

Авторизоваться

По вопросам подписки обращайтесь, пожалуйста, к Маргарите Завязочниковой
E-mail: m.zavyazochnikova@pgplaw.ru
Nел. +7 (495) 767 00 07

11.11.2022
XVII Сибирский налоговый форум прошел в Кемерово 10-11 ноября
09.11.2022
Айдар Султанов присоединился к команде «Пепеляев Групп»
21.10.2022
В Госдуму внесен законопроект по итогам кейса ПАО «Т Плюс», выигранного ранее в ...
11.10.2022
Команда «Пепеляев Групп» на SibLegalWeek
11.10.2022
Оставлено в силе определение АС Красноярского края о мировом соглашении между НТ...
28.09.2022
Александр Виноградов в «Топ 100 директоров по персоналу»
15.09.2022
Внесудебное урегулирование спора между двумя клиентами компании
15.09.2022
Сайт «Пепеляев Групп» признан лучшим среди российских юридических фирм
X

25 антикризисных задач

которые мы можем решить
вместе с вами


Узнать