Недавно услышал один из таких сценариев. Идея проста - передавать все ПДн через заграницу ;-) Как это облегчает задачу? Все просто. Согласно ст.4.4 ФЗ-152 "Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора". При этом в ст.12.2 ратифицированной нами Евроконвенции написано: "Сторона не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой Стороны, с единственной целью защиты частной жизни". А т.к. в Европе нет требования использования сертифицированных в ФСБ СКЗИ, то такой сценарий вполне себе работоспособен.
Правда, в ст.12 есть 3 исключения, когда могут быть наложены свои локальные правила:
- Передача отдельных категорий ПДн в силу характера этих данных
- Передача на территорию государства, не являющегося стороной Конвенции
- Передача через территорию государства , не являющегося стороной Конвенции.
15 коммент.:
Правильно ли я понимаю, что если ПДн в городе РФ, уходят из этого города через канал транс или ростелеком, то шифрование сертифицированное ФСБ сразу становится обязательным?
Идею эту я тоже слышал, и слышал такое вот возражение.
Учитывая особенности маршрутизации в сети Интернет, когда один пакет может идти через соседний роутер, а другой - через роутер в ЮАР, получается, что ни отправитель, ни получатель, где бы он ни находился, не могут гарантировать ни отсутствия трансгранички, ни уж тем более трансграничку через "правильные" государства. Более того, "до границы" пакет должен каким-то образом "доползти", и сделать это он должен в зашифрованном сертифицированными средствами виде.
Маразм крепчал :)
По логике конфиденциальная информация должна шифроваться при пересечении границ ИСПДн (или ее части, ограниченной границами контролируемой зоны). А от этой границы до границы с правильным далековато (в общем случае).
С правильным государством, я имел в виду
"и сделать это он должен в зашифрованном сертифицированными средствами виде."
лол.
а в момент пересечения границы он должен расшифроваться чтоли?
to pushkinist: то, что с ним будет происходить при пересечении - никому не важно. я сам ржунимагу.
Andy: Неправильно ;-)
Алексею Волкову: Отчасти да, но решить эту проблему можно, заключив договор с зарубежной компанией. И тогда уже неважно, как это все передается на уровне пакетиков
По-моему, притягивать к тексту ст. 12.2 Евроконвенции техническую реализацию передачи ПДн - неверно. Статья Евроконвенции говорит о запрете или установлении каких-либо условий при трансграничной передаче ПДн. Причем здесь шифрование?
Нашим ФЗ установлены требования по передаче ПДн в другие государства: это согласие при необходимости, а также необходимость убедиться в адекватности защиты прав субъектов.
Никаких требований по шифрованию нет. Соответственно отсюда не может вытекать право оператора ПДн на неприменение шифрования для защиты ПДн.
Это здравый смысл, но не мнение регулятора. ФСБ считает, что при передаче по Интернет надо использовать сертифицированные СКЗИ. И им не важно, куда вы передаете. И использование сертифицированных СКЗИ - это как раз условие для обработки ПДн, о котором и говорит 12.2 Евроконвенции.
Нужен облачный сервис во Франции, в котором российские компании могли бы вести обработку ПДн и уходить от наших регуляторов.
Здравствуйте,
Скажите требование комитета по здравоохранению о предоставлении ежедневной сводки по летальности(умерших) через интернет (на почтовый ящик yandex)в открытом доступе правомерно?
На какие документы можно сослаться,что передавать ПДн нужно по защищенным каналам связи в 152 этого нет?
Если это умершие это ведь не отменяет обязанность защищать ПДн(их ПДн могут нанести ущерб родственникам)?
Так спросите у тех, кому посылаются данные? А еще можно в РКН сделать запрос на эту тему
Дак мне нужно как раз тем кому посылаю данные сказать,что данные умерших тоже необходимо защищать.
Нужно аргументированная ссылка на требование закона или постановления?
Так и скажите им, что умерший гражданин тоже является субъектом ПДн. И можно запросить разъяснение РКН
Отправить комментарий