Что такое локализация данных пользователей
Публикации
Локализация персональных данных россиян для иностранных компаний
Жердина eng_эж-Юрист_Локализация персональных данных россиян для иностранных компаний_11.2017
Жердина_эж-Юрист_Локализация персональных данных россиян для иностранных компаний_11.2017
Что такое персональные данные?
Закон о персональных данных дает весьма широкое определение, согласно которому персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Что означат локализация?
Локализация применительно к персональным данным означает использование баз данных, находящихся на территории Российской Федерации.
Когда возникает обязанность локализовать базы данных?
Согласно ч. 5 ст. 18 Закона о персональных данных «при сборе персональных данных, в том-числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации». Из этого правила есть исключения, которые содержатся в ч. 1 ст. 6 Закона о персональных данных пунктах 2 (обработка для достижения целей, предусмотренных международным договором Российской Федерации, или для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей), 3 (обработка в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах), 4 (обработка при предоставлении государственных или муниципальных услуг) и 8 (обработка для осуществления профессиональной деятельности журналиста, законной деятельности СМИ, научной литературной творческой деятельности, если не нарушаются права и законные интересы субъекта персональных данных).
Таким образом, в соответствии с ч. 5 ст. 18 Закона о персональных данных обязанность локализовать базы данных возникает только в том случае (и при соблюдении остальных условий), если имеет место сбор персональных данных. Нет сбора – нет обязанности локализации.
Термин «сбор» не определен в Законе о персональных данных. Согласно разъяснениям (далее – Разъяснения(1) Министерства связи и массовых коммуникаций Российской Федерации под сбором следует понимать «целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц». Если персональные данные собрало иное лицо (например, работодатель), а в дальнейшем передало их для обработки иностранному лицу, у такого иностранного лица отсутствует обязанность локализовать базы данных, так как он не осуществлял сбор персональных данных.
Формулировка ч. 5 ст. 18 Закона о персональных данных говорит о сборе данных граждан РФ. При этом указанный Закон не поясняет, как должно определяться гражданство субъекта. Минкомсвязь России также предоставило данный вопрос оператору для самостоятельного решения. Вопрос определения гражданства рекомендуется отразить в документах оператора (например, в политике обработки персональных данных). Игнорирование данного вопроса, по мнению Минкомсвязи России, позволяет считать требование о локализации применимым ко всем персональным данным, сбор которых осуществлен на территории Российской Федерации.
Следует отметить, что даже согласие субъекта на обработку его персональных данных на зарубежных серверах не освобождает оператора от обязанности локализации. Такая позиция подтверждается Разъяснениями.
Распространяется ли требование локализации на иностранные компании?
Даже если иностранная компания ведет свою деятельность через Интернет без физического присутствия на территории России, на такую компанию могут распространяться требования локализации, если соблюден главный критерий – деятельность такой иностранной компании направлена на территорию РФ.
О направленности деятельности на территорию России, по мнению Минкомсвязи России, могут свидетельствовать:
– наличие русскоязычной версии интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом, за исключением функции автоматизированного переводчика, в сочетании со следующими условиями (одним их них):
а) возможность производить расчеты в российских рублях;
b) возможность доставки товара, оказания услуги или пользования цифровым контентом на территории России, а также иные случаи исполнения договора на территории Российской Федерации;
c) использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту;
d) иные обстоятельства, явно свидетельствующие о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию.
Таким образом, если налицо факторы, свидетельствующие о направленности деятельности иностранной компании на территорию России, а иностранная компания через свой сайт осуществляет сбор персональных данных граждан Российской Федерации, такая иностранная компания обязана локализовать базы данных, содержащие персональные данные россиян (при условии неприменимости исключений, предусмотренных Законом о персональных данных и кратко обозначенных выше).
Отметим также, что если деятельность иностранной организации направлена на территорию России (в соответствии с указанными выше критериями), то к такой организации применимы не только требования локализации, но и иные требования Закона о персональных данных, в том числе требование о направлении уведомления в уполномоченный орган об обработке персональных данных, об издании документа, определяющего политику оператора в отношении обработки персональных данных, о назначении лица, ответственного за обработку персональных данных и т. д.
Ответственность за невыполнение локализации
Административные штрафы, предусмотренные указанными выше статьями, невелики по сравнению с европейскими штрафами. Так, максимальный штраф по ст. 13.11 КоАП РФ составляет всего 75 тыс. руб. (около 1100 евро на 01.09.2017). Кроме того, взыскать штраф с иностранной компании, не имеющей физического присутствия на территории Российской Федерации, весьма проблематично.
Однако у Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор), которая является уполномоченным органом по защите прав субъектов персональных данных, есть в арсенале гораздо более действенный способ воздействия на нарушителей – блокирование интернет-ресурса.
Таким образом, для иностранных компаний, обязанных локализовать базы данных, но не исполнивших данную обязанность, основной мерой ответственности за несоблюдение Закона о персональных данных является блокирование доступа к информации, обрабатываемой с нарушением законодательства о персональных данных.
Роскомнадзор также ведет реестр нарушителей прав субъектов персональных данных. В соответствии с ч. 5 ст. 15.5 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» основанием для внесения информации в реестр является нарушение оператором законодательства о персональных данных, подтвержденное вступившим в силу решением суда.
Рекомендации иностранным компаниям
В целях минимизации риска блокирования интернет-ресурса в России рекомендуется прежде всего оценить, отвечает ли иностранная организация критериям осуществления деятельности на территории России. Если налицо факторы, свидетельствующие о направленности деятельности такой организации на территорию России, следует не только локализовать базы данных, содержащие персональные данные граждан России, но и соблюдать иные требования законодательства о персональных данных, а также быть готовыми к эффективному взаимодействию с Роскомнадзором.
Требования к локализации персональных данных в России
С 1 сентября 2015 г. организации, которые считаются операторами персональных данных, должны обеспечить, чтобы при сборе персональных данных учет персональных данных, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение данных выполнялись через базы данных, расположенные в России (требование локализации персональных данных). 1
службы Майкрософт для организаций (в том числе образовательных учреждений) (далее они называются «клиентом»Microsoft 365 Microsoft Azure), в том числе из центров обработки данных, расположенных за пределами России( дополнительные сведения см. в центре доверия Microsoft).
В зависимости от типа и содержимого информации, обрабатываемой информационными системами клиентов, такие системы, в том числе использующие облачные продукты Майкрософт, могут считаться системой персональных данных (PDIS, ISPD). В тех случаях, когда клиент хотел бы использовать службы Майкрософт в системе, которая квалифицируется как PDIS с помощью своей архитектуры и типов обрабатываемых сведений, Корпорация Майкрософт предлагает своим клиентам рассмотреть, среди прочего, доступные решения, указанные ниже. Все предоставляемые сценарии доступны для клиентов в качестве дополнительного варианта стандартных бизнес-предложений.
Следует отметить, что именно клиент как оператор персональных данных PDIS отвечает за соблюдение требований и анализирует и оценивает применимые юридические требования к локализации персональных данных и по своему усмотрению самостоятельно определяет достаточные меры для обеспечения того, чтобы обработка персональных данных в PDIS соответствовала российскому закону о персональных данных. 2
Подписка на службы Майкрософт
Управление идентификаторами Microsoft ID
Корпорация Майкрософт предлагает клиентам рассмотреть возможность подписки на службы Майкрософт; Microsoft Azure, Microsoft 365, Dynamics 365 и Power Platform с помощью партнера поставщик облачных решений (Майкрософт) (CSP). Дополнительные сведения см. в этом списке партнеров CSP.
Управление удостоверением пользователя и доступом для службы Майкрософт
Для службы Майкрософт, таких как Microsoft Azure, Microsoft 365, Dynamics 365 и Power Platform, проверка пользователей и управление доступом выполняются через Azure Active Directory (Azure Active Directory). В тех случаях, когда клиент Майкрософт использует локализованную систему управления идентификацией для облачных служб Майкрософт (например, Windows Server Active Directory (AD) или любой другой системы управления удостоверением личности, клиент имеет возможность быстро интегрировать такую систему с Azure Active Directory (Azure Active Directory) через Azure AD Подключение. Дополнительные сведения см. в Подключение Azure AD. Кроме того, клиенты Корпорации Майкрософт могут использовать приложения и решения сторонних поставщиков для управления пользователями и интеграции локальной системы идентификации с Azure AD.
Оценка риска с помощью диспетчера соответствия требованиям (Майкрософт)
Диспетчер соответствия требованиям (Майкрософт) — это предварительная функция в Центре соответствия требованиям Microsoft 365, помогающая понять состояние вашей организации в отношении соответствия требованиям и принять меры по снижению рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.
Вопросы и поддержка
Для вопросов технического и вы выставления счета см. ниже ссылку на ресурсы поддержки Майкрософт. Дополнительные вопросы или разъяснения обратитесь в команду конфиденциальностиМайкрософт.
Microsoft Azure
Microsoft 365
Dynamics 365
Power Platform
1 Федеральный закон No. 242-FZ (издание от 12.31.2014) «О внесении изменений в отдельные законодательные акты Российской Федерации об уточнении порядка обработки персональных данных в информационно-телекоммуникационных сетях» от 07.21.2014 г.
2 Федеральный закон No. 152-ФЗ о персональных данных по данным на 07.27. 2006
Персональная ответственность: как международной компании локализовать данные российских клиентов
Управляющий директор INBRIEF CRM Максим Алешин рассказывает, почему глобальные CRM-решения могут не работать в России, и как им можно помочь
В четверг, 21 ноября, Госдума в третьем чтении приняла законопроект, увеличивающий суммы штрафов за «невыполнение оператором при сборе персональных данных граждан Российской Федерации обязанности по обеспечению их хранения с использованием баз данных, находящихся на территории Российской Федерации». Сумма выплат для юрлиц увеличится до 18 млн руб. Несмотря на то, что требование о хранении персональных данных на территории России появилось еще в 2015 году, реальные и массовые проверки международных компаний начались не так давно.
Только за этот год два наших международных клиента попали под аудит Роскомнадзора. Но в отсутствие четко обозначенной административной ответственности за выявленные нарушения эффективность этих проверок, вероятно, оставляла желать лучшего. Теперь эта ситуация изменилась и у компаний, не перестроивших систему хранения персональных данных есть реальный риск получить многомиллионный штраф. Каждый второй запрос, приходивший в CRM-агентство INBRIEF в последние годы, так или иначе касался этой темы.
В подавляющем большинстве случаев с этой проблемой сталкиваются международные компании, недавно вышедшие на российский рынок или решившие поставить процесс работы с конечным потребителем инструментами CRM-маркетинга. Существует несколько типовых кейсов, с которыми приходят такие клиенты:
Какие требования необходимо соблюдать
Основные юридические требования по сбору и обработке персональных данных и их трансграничной передаче изложены в законе «О персональных данных» и в ФЗ № 242, который вносит в него некоторые дополнения. Основные моменты, на которые компании следует обратить особое внимание:
Варианты локализации данных
Все это значит, что глобальные корпорации больше не могут использовать ранее разработанные глобальные решения для сбора и обработки данных в России, и вынуждены искать другие пути.
Путь 1: самостоятельно подать заявку на регистрацию в реестре операторов Роскомнадзора
Для этого необходимо соблюдение требований, которые предъявляет к операторам Роскомнадзор, в том числе:
Путь 2: обратиться в специализированное CRM-агентство
Речь идет об аутсорсинге обработки персональных данных сторонним оператором. Мы в INBRIEF часто сталкиваемся с такими задачами и разработали типовые решения для международных компаний, планирующих адаптировать имеющиеся IT-ресурсы (сайт, интернет-магазин) для России.
И тут тоже есть два варианта.
Вариант А. Выделение и локализация целого бизнес-процесса сбора и обработки данных.
Как правило, речь идет о ресурсах, в которых бизнес-процесс сбора и обработки ПД не завязан на другие и может быть легко выделен — корпоративные сайты с подпиской, продуктовые сайты с регистрацией продукта, несложные варианты программ лояльности. В этом случае хранение и обработка данных происходят на нашей платформе. Основная задача — обеспечить бесшовную их передачу их с глобального ресурса. Как правило, на сайте существует набор форм (регистрация клиента, регистрация продукта, подписка на новости), в которые вводятся клиентские данные. Необходимо перенаправить эти данные на российский сервер. Это можно сделать двумя путями.
В первом случае мы предоставляем REST API и разработчики сайта переключают на него регистрацию/сбор данных, авторизацию и функционал личного кабинета. По такому принципу организована регистрация в российском клубе лояльности одного из международных брендов детского питания с сайта, поддержка которого осуществляется для всех стран на глобальном уровне.
Другой вариант — более глубокая локализация, касающаяся самих форм сбора данных. В этом случае, даже сами формы разрабатываются нами и их хостинг осуществляется в России. Это снимает любые возможные вопросы по точке возникновения данных. Информация с форм также передается на нашу платформу. Причем такие формы могут быть встроены в глобальный сайт с помощью iframe (как это организовано на сайте нашего немецкого клиента BRITА) либо вообще располагаться на отдельной странице на домене третьего уровня, ссылка на которую находится на глобальном сайте. Этот способ идеален с юридической точки зрения. Удачный пример — организация сбора данных на сайте нашего клиента Stanley Black & Decker: на глобальном сайте ru.dewalt.global располагаются кнопки «ВХОД» и «МОЙ DEWALT», ведущие на локальную форму и личный кабинет по адресу my.dewalt.ru.
Вариант Б. «Перехват» данных
Такой вариант идеально подходит для российской версии больших интернет-магазинов, работающих по всему миру (и хранящих данные на глобальных серверах). В этом случае процесс хранения и обработки персональных данных уже невозможно изолировать от других (например, заказа товара или оплаты) и любые вмешательства в бэкенд интернет-магазина должны быть минимизированы. Мы вынуждены использовать зарубежные базы для хранения персональных данных за рубежом, но можем исполнить букву закона другим способом — обеспечив «перехват» из регистрационных и адресных форм, в которые вводятся персональные данные российских клиентов. То есть достаточно обеспечить сохранение критичных данных на территории России ДО того, как они попадут в глобальную базу интернет-магазина. Мы так же предоставляем REST API для этого. Данные из форм сначала записываются к нам в базу и если это произошло успешно, мы даем разрешение продублировать эти данные в базу интернет-магазина.
Локализация персональных данных
Интернет предпринимателей особенно взбудоражила история с локализацией. И до сих пор не совсем понятно, как и к кому этот 242 ФЗ применяется. Поэтому мы с коллегами из Б152 решили на примерах все разобрать и предложить варианты хранения данных, подходящие совершенно разным компаниям.
Напомним, что он вступил в силу 1 сентября 2015 года, хотя принят был еще летом 2014-го. О нем много разговоров, но судебной практики пока нет. Поэтому мы обратимся к опыту иностранных коллег.
Суть закона заключается в том, что отныне юридическим лицам, которые работают с персональными данными граждан РФ, запрещено собирать и хранить эти данные за рубежом – они обязаны локализовать базы данных на территории России. Закон этот вносит важные изменения в ФЗ № 152 «О персональных данных», вступивший в силу еще в 2007 году.
По части жестких требований к локализации ПДн мы далеко не одиноки. На территории других стран подобные законы действуют уже не один год.
Вьетнам
В 2013 году во Вьетнаме владельцев нескольких конкретных видов ресурсов (новостных, социальных сетей и онлайн-игр) обязали локализовать копии данных. Для чего это было сделано, нетрудно догадаться. Конечно же, для предоставления их компетентным органам и облегчения рассмотрения претензий пользователей. Запрета на параллельную обработку персональных данных за рубежом власти Вьетнама не ввели.
Китай
Китайцы подошли более сурово к вопросу трансграничной передачи данных, правда, в отношении только одного вида персональной информации. На два года опередив вьетнамцев, Китайский народный банк опубликовал Уведомление банковским институтам о защите персональной финансовой информации. Этот документ запретил кредитным организациям хранить, обрабатывать или анализировать за границей личную финансовую информацию, полученную внутри страны.
Индия
В том же 2011 году Министерство коммуникаций и информационных технологий Индии утвердило Правила по процедурам и практикам. Такое размытое название документа подразумевает под собой вполне конкретные цели, а именно – обеспечение безопасности специальных категорий персональных данных. В Правилах определены эти самые специальные категории, в список включили пароли, финансовую информацию (включая данные о банковском счете или кредитной карте), сведения о здоровье, сексуальной ориентации и биометрические данные.
Для этих категорий ПДн установили требование, согласно которому передача их любой другой компании или физическому лицу, находящемуся в Индии или в другом государстве, возможна только при условии обеспечения последними должного уровня защиты. И возможно все это только в рамках выполнения договора, заключенного с субъектом данных, или в случае получения от него согласия на передачу.
Малайзия
Финальной на сегодня глубиной нашего погружения в историю будет 2010 год, когда закон о защите персональных данных Малайзии ввел запрет на передачу ПДн за пределы страны. Осуществлять трансграничную передачу персональных данных можно лишь при соблюдении определенных условий и в ряде исключительных случаев. Например: согласие субъекта ПДн, необходимость исполнения договора между субъектом и оператором, необходимость исполнения контракта между оператором и третьим лицом, который был заключен по запросу или в интересах субъекта ПДн.
Однако подобные нововведения касаются не только азиатских стран. Запрет на передачу персональных данных за рубеж был введен в Австралии, правда, только в отношении данных о здоровье.
Вот только на фоне ФЗ-242 все вышеупомянутые законы и указания – детские сказки. Наш закон более суров и специфичен.
Больше всего споров возникает вокруг того, что этот закон запрещает хранение ПДн российских граждан за рубежом, но параллельное хранение, на первый взгляд, невозможно отследить. К тому же закон не содержит правовых инструментов, решающих эту проблему.
Минкомсвязи внес ясность в вопрос трансграничной передачи. Согласно их разъяснениям, ПДн граждан, изначально внесенные в базы данных на территории России, могут быть переданы за рубеж в соответствии с положением о трансграничной передаче данных. Также ведомство подтвердило возможность предоставления удаленного доступа к российским БД с территории других государств.
Перейдем к практике.
Судебных решений пока нет, слишком мало времени прошло. Пока мы можем лишь сказать, что изменения коснулись всех компаний, которые работают на территории РФ. Как им быть и что делать? Как строить теперь свою работу?
В первую очередь не надо паниковать. А что делать дальше – советуют наши коллеги из Б-152.
Итак, что делать если:
1. Вы иностранная компания, которая работает на территории РФ, в том числе через отдельное юридическое лицо или филиал.
Вариант 1. Передать данные за рубеж в обезличенном виде.
Это значит, что персональные данные будут находиться на серверах в России, но каждому физическому лицу будет присвоен ID, который и передается за рубеж. Таким образом персональные данные отделяются от субъекта, и их невозможно будет соотнести с конкретным человеком. Такой подход предлагает Microsoft для работы со своими сервисами и Microsoft Azure.
Вариант 2. Трансграничная передача данных с хранением первичной актуальной базы на территории России.
Как мы уже сказали, закон не запрещает обрабатывать данные за границей, но только в том случае, если база данных в РФ является наиболее полной и актуальной. То есть если сбор и хранение первоначально происходит в БД на территории России, то персональные данные можно передавать за рубеж и использовать там. На данный момент это один из самых востребованных способов локализации персональных данных.
И самый простой вариант его реализации – использование буферного сервера в России. В этом случае данные сначала попадают на этот сервер, и только потом – за рубеж. Позиция регуляторов позволяет это сделать, ведь соблюдено главное требование – первичная база данных находится в России.
Напомним, что базой данных, с точки зрения Минкомсвязи и Роскомнадзора, считаются в том числе бумажные базы. Например, это может быть шкаф с личными делами сотрудников в виде картотеки или таблица в excel.
Самый очевидный способ – перенести базы персональных данных, их обработку, сбор и хранение на территорию РФ, используя российские дата-центры.
Однако варианты с трансграничной передачей и обезличиванием вам тоже подойдут.
За нарушение норм локализации отдельной ответственности не предусмотрено. А значит, действует ст. 13.11 КоАП РФ, устанавливающая санкции за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных. Штраф за это совсем небольшой, для юридических лиц он составляет не более 10 тыс. руб.
Но это не единственная мера воздействия. Альтернативой является возможность внесения доменных имен и сетевых адресов в реестр нарушителей прав субъектов персональных данных. Что, пожалуй, более существенно, нежели штраф.
Локализация данных российских пользователей
В последнее время в России все больше говорят о персональных данных — требования к работе с ними ужесточаются и конкретизируются, а соответствующее законодательство постоянно меняется. Для компаний это означает этим требованиям следовать, иначе компаниям грозят санкции — вплоть до полной блокировки интернет-ресурса. Проблема в том, что не всегда очевидно, кого эти положения касаются и как их соблюдать. Разберемся, на кого распространяются требования о локализации данных российских пользователей и как проверить, соблюдены ли они.
Почему это важно?
Одна из глобальных задач российских властей — создание безопасной интернет-среды для оборота персональных данных (ПДн) россиян. В связи с этим постепенно ужесточаются как нормы законодательства, регулирующего требование к операторам таких данных, так и контроль за их соблюдением. Выполнять требования становится все сложнее, так как правила игры постоянно меняются. Одно из требований — обязанность локализовать ПДн, что означает хранение сведений о российских пользователях на территории России.
Изначально это требование появилось с «прицелом» на крупных иностранных игроков, так как для его выполнения им необходимо открыть на территории России свои подразделения, а это означает дополнительные налоговые поступления в российский бюджет. В итоге некоторые компании требования выполнили, другие — Twitter, Facebook и WhatsApp — пока отделались штрафами. По информации Роскомнадзора, на сегодняшний день хранение персональных данных российских пользователей локализовали более 600 представительств зарубежных компаний в России, в число которых входят Apple, Microsoft, Samsung, LG, Booking PayPal и многие другие.
Сейчас, когда Роскомнадзор все больше автоматизирует проверку исполнения законодательства в сфере ПДн, стать объектами проверок могут не только крупные иностранные игроки, но и небольшие российские компании. Речь идет о всех организациях, которые обрабатывают ПДн российских пользователей, поэтому важно не только разбираться в требованиях закона, но и уметь проверять, соблюдены ли они.
Причем санкции могут ждать не только компании, которые не локализуются, но и тех, кто будет использовать такие данные, поэтому необходимо следить, выполняют ли все требования контрагенты. Также это касается организаций, использующих маркетинговые инструменты, собирающие данные (сервисы рассылок, сервисы для проведения квизов и т.д.).
Каким образом можно проверить соблюдение установленных требований?
Во-первых, можно использовать общедоступные интернет-сервисы с соответствующим функционалом. Один из них — Whois. С его помощью можно увидеть сведения о сайте, узнать регистратора и возраст домена, проверить, кому принадлежат сайт и домен. Информация может быть разной, но в большинстве случаев можно узнать:
До конца этого года должна заработать Информационная система, разработкой которой занимается Главный радиочастотный центр (ФГУП при Роскомнадзоре). Этот сервис позволит определять адрес хостинга ресурса с точностью до федерального округа или субъекта РФ.
Если говорить о Роскомнадзоре, то служба, помимо уже указанных способов, может направлять в организации запросы, в ответ на которые юрлица обязаны предоставить блок-схему, где будет отражено местонахождение баз данных. Чтобы такую проверку пройти, необходимо подтвердить соблюдение требований о локализации данных. При этом, если у компании есть сомнения в том, распространяются ли на нее эти требования и не допущены ли нарушения, стоит обратиться к специалистам для проведения аудита в этой части. Это касается и случаев, когда компании используют иностранные решения, в связи с чем не всегда очевидно, выполняются ли требования российского законодательства.
Кому не нужно «локализоваться»?
Перед тем, как выбирать решения и способы локализации данных, убедитесь в том, что на вашу компанию распространяются эти требования закона. Так, есть ряд случаев, когда это не требуется:
Как оптимизировать процесс локализации данных?
Если же требования о локализации все же должны быть выполнены, стоит рассмотреть все варианты и выбрать способ, который будет наименее затратным для организации.
Способы для оптимизации затрат на локализацию:
Если в силу специфики работы какой-либо компании, ей подходит только иностранное решение, то и в этом случае выход есть. На российском рынке есть игроки, способные доработать иностранный софт под конкретный функционал для выполнения требований российского законодательства о локализации данных. Причем компании сейчас нередко используют именно иностранные решения, так как они больше отвечают их потребностям, но в этом случае все же стоит обратить особое внимание на то, соблюдены ли требования закона.
Если говорить о законодательстве, регулирующем локализацию данных российских пользователей, то можно однозначно сказать, что в ближайшее время российские власти продолжат работу в этом направлении — и в части расширения требований закона, и в части более жесткого контроля за их соблюдением. При этом закон только недавно начал работать в России, поэтому компании ждет период постоянных изменений, так как законодатель будет изучать применение норм на практике и в соответствии с этим дорабатывать нормативную базу. Поэтому в ближайшее время игнорировать этот закон не стоит — лучше заранее определиться, будете ли вы локализовывать данные и как вы будете это делать.
Источник: Мария Шурукина, старший консультант по защите персональных данных компании Б-152