Данные едут в Россию

Федеральный закон Российской Федерации от 21 июля 2014 г. N 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» говорит, что оператор обязан обеспечить запись, хранение, изменение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории России. С 1 сентября 2015 г. за использование первичной базы за пределами РФ «светит» относительно небольшой штраф и, что куда хуже, блокировка ресурсов в течение 3 рабочих дней с даты судебного решения. При этом разблокировать доступ и «выйти» из реестра можно будет только по решению суда.

Что переносится

Точной статистики, какой объём персональных данных россиян хранится за пределами РФ, нет. Достаточно много ПД хранится в США, Германии, Англии, Франции и других европейских странах, поскольку там наиболее развита индустрия хостинг-провайдеров. Логично, что российские регуляторы усмотрели в этом ряд рисков. Прежде всего, речь идет о рисках, связанных с соблюдением прав субъектов персональных данных, а также вероятности потери связи с внешними центрами обработки данных по причине введения санкций.

Под действие 242-ФЗ подпадают все зарубежные компании, которые имеют отделения в нашей стране, международные сервисы, туристические фирмы — представители иностранных компаний, «дочки» зарубежных банков и т. д. Но под новые требования не подпадают правоотношения, которые регулируются международными договорами или конвенциями (авиакомпании, журналистская деятельность и ряд других областей). Остальные должны переехать. Google, eBay, PayPal и многие другие уже заявили о готовности продолжать бизнес в России. Тяжелее всего процесс даётся, пожалуй, банкам — исключений для них нет, а архитектура ИТ-инфраструктуры у них обычно такова, что перенос даётся довольно тяжело.

У крупных международных компаний обычная архитектура — «колесо и спицы», где в роли основного информационного центра выступает головной офис или ЦОД (например, в США). В РФ таким компаниям придётся поднимать ещё одну площадку — либо свой региональный дата-центр, либо вставать на колокацию к кому-то ещё.

Как выглядит перенос крупной системы

Это достаточно продолжительный и мучительный процесс:

• оценка необходимых ресурсов — 2 недели;
• выбор поставщика — 2 недели;
• анализ систем — 1 неделя;
• тестирование миграции — 1 неделя;
• ожидание оборудования — 6-8 недель;
• перенос данных — 2-4 недели;
• проверка перенесенных данных — 1 неделя.

Итого — более 4 месяцев, в самых сложных случаях. Для простых систем сроки могут быть меньше, порядка 2 недель. Проблема обычно не только в том, что база данных тащит за собой ещё множество компонентов инфраструктуры, но и в том, что для многих (например, банков) важна непрерывность бизнеса, поддержка работоспособности систем заказчика на любом из этапов «переезда».

Переносить чаще всего нужно:

• онлайн-сервисы: интернет-магазин; портал для клиентов.
• бизнес-приложения: CRM; HRMS.
• инфраструктурные приложения: почту; корпоративный форум.

На стороне РФ нужны:

• дата-центры (или серверные, лучше 2 штуки, основная и резервная, хотя в некоторых случаях юристы утверждают, что бекап можно хранить за пределами РФ; закон говорит о том, что при сборе переданных компаниям данных нужно обеспечить первоначальное накопление, хранение и обработку их на территории России. После чего уже можно передавать эти данные за рубеж);
• вычислительные ресурсы — собственно, сами сервера и СХД;
• инфраструктурное ПО — это новые лицензии для площадки в РФ;
• каналы связи;
• инженерные ресурсы;
• поддержка + SLA;
• разработка механизмов миграции, синхронизации и консолидации данных.

Вот почему процедура достаточно сложная, и многие не строят свой ЦОД, а встают в уже предназначенные для этого.

Надо отметить, что законодательная инициатива напрямую связана с программой импортозамещения в ИТ. Регуляторы стимулируют по максимуму использовать имеющиеся отечественные технические ресурсы, программное обеспечение и другие разработки. Однако полного импортозамещения в ИТ-сфере достичь сегодня сложно.

Проверки

Проверки будут проводиться, также регулирующие органы будут наблюдать без прямого взаимодействия.

Условия для проведения внеплановых проверок:

• Истечение срока исполнения предписания.
• Обращения граждан (требует согласования с органами прокуратуры).
• Информация от органов государственной власти (ОГВ), органов местного самоуправления (ОМСУ) и СМИ о фактах нарушения законодательства.
• Поручения Президента и Правительства РФ.
• Нарушения по итогам систематического наблюдения.
• Несоответствие сведений, содержащихся в уведомлении, фактической деятельности.
• Неисполнение требований Роскомнадзора (РКН) об устранении нарушения.
• На основании требования прокуратуры.

Критерии включения в план проверок:

• Трёхлетний период с момента окончания проведения последней плановой проверки.
• Информация от ОГВ, ОМСУ и СМИ о фактах нарушения законодательства и результаты систематического наблюдения.
• Обработка ПДн значительного числа субъектов ПДн/биометрии/специальных категорий ПДн.
• Непредставление информации, в том числе уведомительного характера, в соответствии с ФЗ-152.