05.02.2015

Сбор ПДн и их хранение - в чем разница в контексте 242-ФЗ?

Продолжаю выкладывать фрагменты письма Роскомнадзора касательно ФЗ-242. Тем более, что сейчас как-то активизировалась эта тема именно среди иностранных компаний. Мероприятие в Ассоциации Европейского Бизнеса (АЕБ), в Бейкер-Маккензи, в Франко-Российского Торгово-промышленной палате, в The Moscow Times... Сегодня вот представители иностранных компаний собираются в РКН, чтобы обсудить эту тему. Я не думаю, что сейчас представители регулятора смогут сказать что-то новое. Все, что они хотели - зафиксировано в письме. Вот после 12-го февраля (если введут очередные санкции) политическая ситуация может поменяться и РКН получит новую вводную и ответ может быть другим :-( Но пока мы исходим из текущей ситуации. А она такова:


В этом фрагменте важно два момента. Первый - термин "сбор", вокруг которого крутятся все комментарии экспертов. Роскомнадзор почему-то распространяет нормы ФЗ-242 и обработку "после сбора", в то время как часть 5 статьи 18 ФЗ-152 говорит только про сам сбор ("при сборе") и ничего более. Второй момент касается определения термина "база данных", которое мы уже рассмотрели и которое отделено от термина "техническое средство" и "информационные технологии". Вспомним схему, которую я рисовал в июле.


Если взглянуть на нее внимательно и на разъяснение РКН, то мы поймем, что все элементы ИСПДн, исключая базу данных, могут находиться где угодно. И только БД - на территории России. Технически это сделать возможно - вопрос только в целесообразности таких затрат. Хранить ПДн, полученные при их сборе, одновременно и в России и за ее пределами нельзя - это будет нарушением ФЗ-242.


А вот с частью ответа РКН, который почему-то расширил действие ФЗ-242 не только сбором ПДн, я не согласен. На мой взгляд, я имею полное право, собранные и сохраненные данные, передавать дальше куда угодно (при соблюдении требований 12-й статьи ФЗ-152) и хранить где угодно (операция сбора уже закончилась и у меня вступили в силу другие операции обработки ПДн). И РКН дальше "проговаривается", подтверждая эту мысль:


Финализирует данную часть ответа РКН следующим образом:


И это вновь подтверждает высказанную мной мысль, что собрав ПДн в России и храня их первоначально именно у нас, дальше с данными можно делать все, что угодно и передавать/хранить их где угодно. Однако при этом РКН по-прежнему заявляет, что собранные данные должны тут и оставаться, так как их актуализация может производится только в России.


Мне непонятно, с чего РКН делает такой вывод про актуализацию. Да, обновление и уточнение ПДн могут считаться актуализацией, но опять же только при сборе ПДн. Видимо РКН считает, что ПДн могут попасть в базы данных только одним способом - через сбор. На мой взгляд это не совсем так.

Если же взять за основу точку зрения РКН, за которую они так прочно держатся, то получается ровно то, что я писал ранее - передавать можно, хранить нет. А как можно передавать без хранения? Либо исходить из того, что за пределами РФ хранится не обновляемая самостоятельно база. Иными словами, зеркало. А вот первичный ввод и уточнение осуществляются на территории РФ и дальше уже передаются данные, повисающие мертвым грузом за пределами РФ. Возможно. Тогда понятно, почему РКН не способен ответить на вопрос о "зеркалах".


Резюмируя, можно сказать, что регулятор пока стоит на своем и, несмотря на требования закона, трактует их однобоко и очень жестко. Можно конечно говорить, что закон выше позиции регулятора, который к тому же еще и не имеет права трактовать законодательство, но применять его будет именно РКН и не учитывать их позицию было бы неправильно. 

1 коммент.:

Евгений комментирует...

А мне более понятна стала позиция РКН. Если вспомнить, что под "передачей" подразумевается передача другому лицу (другой организации), то хранение ПДн внутри российской организации может быть только в БД, расположенных на территории РФ (то есть запрет иностранного хостинга). А вот в случае передачи ПДн (в том числе трансграничной) от оператора ПДн любой другой организации важно только обосновать саму передачу (согласием, договором и т.п.), а дальнейшая проблема хранения будет уже у той стороны. Если это российская организация - ну значит БД в России. Если иностранная и вы обосновали трансграничку и саму передачу какими-либо целями (например бронированием гостиницы или оформлением билетов) - значит нет, проблем та организация будет руководствоваться своим законодательством. Как-то так