Данные едут в Россию
|Федеральный закон Российской Федерации от 21 июля 2014 г. N 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» говорит, что оператор обязан обеспечить запись, хранение, изменение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории России. С 1 сентября 2015 г. за использование первичной базы за пределами РФ «светит» относительно небольшой штраф и, что куда хуже, блокировка ресурсов в течение 3 рабочих дней с даты судебного решения. При этом разблокировать доступ и «выйти» из реестра можно будет только по решению суда.
Что переносится
Точной статистики, какой объём персональных данных россиян хранится за пределами РФ, нет. Достаточно много ПД хранится в США, Германии, Англии, Франции и других европейских странах, поскольку там наиболее развита индустрия хостинг-провайдеров. Логично, что российские регуляторы усмотрели в этом ряд рисков. Прежде всего, речь идет о рисках, связанных с соблюдением прав субъектов персональных данных, а также вероятности потери связи с внешними центрами обработки данных по причине введения санкций.
Под действие 242-ФЗ подпадают все зарубежные компании, которые имеют отделения в нашей стране, международные сервисы, туристические фирмы — представители иностранных компаний, «дочки» зарубежных банков и т. д. Но под новые требования не подпадают правоотношения, которые регулируются международными договорами или конвенциями (авиакомпании, журналистская деятельность и ряд других областей). Остальные должны переехать. Google, eBay, PayPal и многие другие уже заявили о готовности продолжать бизнес в России. Тяжелее всего процесс даётся, пожалуй, банкам — исключений для них нет, а архитектура ИТ-инфраструктуры у них обычно такова, что перенос даётся довольно тяжело.
У крупных международных компаний обычная архитектура — «колесо и спицы», где в роли основного информационного центра выступает головной офис или ЦОД (например, в США). В РФ таким компаниям придётся поднимать ещё одну площадку — либо свой региональный дата-центр, либо вставать на колокацию к кому-то ещё.
Как выглядит перенос крупной системы
Это достаточно продолжительный и мучительный процесс:
- оценка необходимых ресурсов — 2 недели;
- выбор поставщика — 2 недели;
- анализ систем — 1 неделя;
- тестирование миграции — 1 неделя;
- ожидание оборудования — 6-8 недель;
- перенос данных — 2-4 недели;
- проверка перенесенных данных — 1 неделя.
Итого — более 4 месяцев, в самых сложных случаях. Для простых систем сроки могут быть меньше, порядка 2 недель. Проблема обычно не только в том, что база данных тащит за собой ещё множество компонентов инфраструктуры, но и в том, что для многих (например, банков) важна непрерывность бизнеса, поддержка работоспособности систем заказчика на любом из этапов «переезда».
Переносить чаще всего нужно:
- онлайн-сервисы: интернет-магазин; портал для клиентов.
- бизнес-приложения: CRM; HRMS.
- инфраструктурные приложения: почту; корпоративный форум.
На стороне РФ нужны:
- дата-центры (или серверные, лучше 2 штуки, основная и резервная, хотя в некоторых случаях юристы утверждают, что бекап можно хранить за пределами РФ; закон говорит о том, что при сборе переданных компаниям данных нужно обеспечить первоначальное накопление, хранение и обработку их на территории России. После чего уже можно передавать эти данные за рубеж);
- вычислительные ресурсы — собственно, сами сервера и СХД;
- инфраструктурное ПО — это новые лицензии для площадки в РФ;
- каналы связи;
- инженерные ресурсы;
- поддержка + SLA;
- разработка механизмов миграции, синхронизации и консолидации данных.
Вот почему процедура достаточно сложная, и многие не строят свой ЦОД, а встают в уже предназначенные для этого.
Надо отметить, что законодательная инициатива напрямую связана с программой импортозамещения в ИТ. Регуляторы стимулируют по максимуму использовать имеющиеся отечественные технические ресурсы, программное обеспечение и другие разработки. Однако полного импортозамещения в ИТ-сфере достичь сегодня сложно.
Проверки
Проверки будут проводиться, также регулирующие органы будут наблюдать без прямого взаимодействия.
Условия для проведения внеплановых проверок:
- Истечение срока исполнения предписания.
- Обращения граждан (требует согласования с органами прокуратуры).
- Информация от органов государственной власти (ОГВ), органов местного самоуправления (ОМСУ) и СМИ о фактах нарушения законодательства.
- Поручения Президента и Правительства РФ.
- Нарушения по итогам систематического наблюдения.
- Несоответствие сведений, содержащихся в уведомлении, фактической деятельности.
- Неисполнение требований Роскомнадзора (РКН) об устранении нарушения.
- На основании требования прокуратуры.
Критерии включения в план проверок:
- Трёхлетний период с момента окончания проведения последней плановой проверки.
- Информация от ОГВ, ОМСУ и СМИ о фактах нарушения законодательства и результаты систематического наблюдения.
- Обработка ПДн значительного числа субъектов ПДн/биометрии/специальных категорий ПДн.
- Непредставление информации, в том числе уведомительного характера, в соответствии с ФЗ-152.