Download - Cloud russia 2016_-_rus
ОБЛАЧНЫЕ ТЕХНОЛОГИИ: ВОПРОСЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ. НОВЕЛЛЫ 2016 ГОДА
Евгений ЧернявскийМосква, 13 декабря 2016 г.
Содержание
Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 1
Правовое регулирование облачных услуг:
– Специальное регулирование облаков.
– Регулирование обработки отдельных категорий данных.
– Правоотношения в связи с использованием облаков.
– Обработка персональных данных.
Новеллы 2016 года:
– Кейс LinkedIn.
– Закон Яровой.
Специальное регулирование облаков?
Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 2
На данный момент отсутствуют специальные нормативно-правовые акты, устанавливающие правила оказания облачных услуг, а также стандарты обеспечения безопасности информации, обрабатываемой с использованием непосредственно облачных технологий.
В 2013 г. Минкомсвязи был разработан проект технического задания на подготовку предложений в части нормативно-правового регулирования использования облачных технологий.*
* Техническое задание Минкомсвязи от 29 апреля 2013 г. на выполнение научно-исследовательской работы по теме: «Нормативно-правовое обеспечение возможности использования облачных технологий органами государственной власти и органами местного самоуправления».
Правовое регулирование
Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 3
Нормативно-правовые акты, регулирующие отношения между хозяйствующими субъектами в РФ, включая Гражданский кодекс РФ.
Законодательное регулирование обработки отдельных категорий данных, включая:
– Федеральный закон № 149-ФЗ от 27 июля 2006 г. “Об информации, информационных технологиях и защите информации” (с изменениями и дополнениями).
– Федеральный закон № 126-ФЗ от 7 июля 2003 г. “О связи” (с изменениями и дополнениями).
– Конвенция Совета Европы № 108 “О защите физических лиц при автоматизированной обработке персональных данных”.
– Федеральный закон № 152-ФЗ от 27 июля 2006 г. “О персональных данных” (с изменениями и дополнениями).
– Федеральный закон № 395-1 от 2 декабря 1990 г. “О банках и банковской деятельности” (с изменениями и дополнениями).
– Федеральный закон № 323-ФЗ от 21 ноября 2011 г. “Об основах охраны здоровья граждан в Российской Федерации” (с изменениями и дополнениями).
– Подзаконные акты Правительства Российской Федерации, РКН, ФСБ, ФСТЭК и пр.
Правоотношения в связи с использованием облаков
Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 4
Правоотношения в связи с использованием облачных сервисов:
– Субъекты данных – заказчики (операторы данных) – провайдеры облачных услуг.
– Субъекты данных – провайдеры облачных услуг.
– Контроль и надзор со стороны регулирующих органов.
Обработка персональных данных провайдерами облачных услуг (1/2)
Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 5
Персональные данные могут передаваться провайдерам облачных услуг субъектами персональных данных и (или) заказчиками (операторами персональных данных).
При передаче персональных данных непосредственно субъектами персональных данных провайдеры выступают в качестве операторов персональных данных.
При передаче персональных данных провайдеру облачных услуг заказчиком (оператором), правовой режим обработки таких персональных данных зависит от положений заключенного между провайдером и заказчиком договора.
Обработка персональных данных провайдерами облачных услуг (2/2)
Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 6
С точки зрения законодательства о защите персональных данных, возможен особый режим обработки данных “по поручению” – при соблюдении требований к оформлению обработки по поручению:
– провайдеру не потребуется получать согласия на обработку персональных данных;
– провайдер не будет нести ответственность перед субъектами персональных данных.
Требование о локализации персональных данных (1/2)
Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 7
С 1 сентября 2015 г. систематизация, накопление, хранение, изменение, обновление и (или) извлечение персональных данных российских граждан должны осуществляться с использованием баз данных на территории России.
Ожидаются разъяснения регулирующих органов о порядке реализации требования по локализации.
На сайте Минкомсвязи размещены разъяснения и ответы на некоторые вопросы относительно реализации требования о локализации – их статус неясен (данные разъяснения и ответы не были официально опубликованы и теоретически могут быть удалены / изменены в любой момент).*
Тем не менее, высока вероятность, что позиция Минкомсвязи, выраженная в указанных разъяснениях и ответах, может применяться на практике.
* – http://minsvyaz.ru/ru/personaldata/
Требование о локализации персональных данных (2/2)
Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 8
Минкомсвязи обозначил следующие важные моменты:
– Трансграничная обработка персональных данных российских граждан не запрещена (с учетом соблюдения требования о локализации).
– Обработка таких персональных данных с использованием зарубежных серверов допустима в следующих случаях:
к обработке не применяется требование о локализации (законом предусмотрены четыре исключения, включая если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей); или
на территории РФ находятся база данных, в которых содержится объем персональных данных, больший или равный находящемуся за пределами РФ. При этом не допускается нахождение за пределами РФ персональных данных, которые одновременно не находятся в РФ.
Требование о локализации персональных данных: проверки РКН
По состоянию на 1 сентября 2016 г. в рамках проверок соблюдения требований к обработке персональных данных: – РКН проведено более 1 тыс. проверок, в рамках которых было выявлено 31
нарушение требования о локализации (менее 2% от общего количества выявленных нарушений);
– операторам выданы предписания об устранении нарушений со сроком исполнения от полугода.
Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 9
Кейс LinkedIn (1/2)
Решением Таганского районного суда г. Москвы от 4 августа 2016 г. сайт linkedin.com заблокирован на территории Российской Федерации (решение оставлено в силе апелляционным определением московского городского суда от 10 ноября 2016 г.).
Решение о блокировке мотивировано следующими факторами: – LinkedIn осуществляет обработку персональных данных без соответствующих
согласий субъектов персональных данных.
– LinkedIn не соблюдает требование о локализации персональных данных.
Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 10
Кейс LinkedIn (2/2) При этом суд отметил, что нормы законодательства о
персональных данных применяются к LinkedIn (как иностранной компании) с учетом следующих обстоятельств: – LinkedIn осуществляет целенаправленную деятельность по сбору
персональных данных, в том числе, российских граждан.
– Наличие у LinkedIn русскоязычной версии сайта. Сайт допускает возможность использования рекламы на русском языке (как дополнительное свидетельство о включении российской аудитории в сферу бизнес-интересов LinkedIn).
– В любом случае, даже выбор права, подлежащего применению к договору, стороной которого является физическое лицо, которое приобретает услуги для целей, не связанных с осуществлением предпринимательской деятельности, не может повлечь за собой лишение такого физического лица (потребителя) защиты его прав, предоставляемой императивными нормами права страны места жительства потребителя, если контрагент потребителя осуществляет свою деятельность в стране места жительства потребителя / любыми способами направляет свою деятельность на территорию этой страны (ст. 1212 Гражданского кодекса).
Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 11
Кейс LinkedIn: практические аспекты (1/2)
Иск против LinkedIn был подан из-за неоднократных сообщений о крупных утечках с ресурса личных данных пользователей –риск аналогичных последствий для компаний без подобной истории / компаний, разработавших план устранения несоответствий требованию о локализации?
Из решений судов не ясно, какой интерпретации требования о локализации персональных данных придерживался суд – в отсутствие официальных разъяснений сохраняется риск применения «консервативной» трактовки (персональные данные российских граждан должны обрабатываться только в РФ).
Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 12
Кейс LinkedIn: практические аспекты (2/2)
Возможность соблюдения требований по обработке персональных данных (включая требование о сборе согласий –в некоторых случаях исключительно в письменной форме)?
Применимость исключений из требования о сборе согласий на обработку персональных данных: – по общему правилу, не требуется согласие при обработке для целей
заключения или исполнения договора, стороной или выгодоприобретателем по которому является субъект персональных данных;
– применительно к трансграничной передаче персональных данных на территории стран, не обеспечивающих адекватную защиту прав субъектов персональных данных – не требуется согласие при обработке для целей исполнения договора, стороной которого является субъект данных.
Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 13
Закон Яровой
6 июля 2016 г. Президент РФ подписал федеральные законы №№ 374-ФЗ и 375-ФЗ, известные как «Закон Яровой».
Закон Яровой вносит поправки в отдельные законодательные акты и обязывает определенных субъектов (см. ниже) хранить ряд данных на территории Российской Федерации и предоставлять такие данные уполномоченным государственным органам в сфере ОРД / национальной безопасности по запросу.
Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 14
Закон Яровой: субъекты регулирования
Требования Закона Яровой распространяются на следующих субъектов: – Операторы связи – юридические лица / индивидуальные предприниматели,
оказывающие услуги связи на основании лицензии («Операторы»).
– Организаторы распространения информации в сети Интернет – лица, осуществляющие деятельность по обеспечению функционирования информационных систем / программ для ЭВМ, которые предназначены / используются для приема, передачи, доставки и/или обработки электронных сообщений пользователей сети Интернет («Организаторы»).
Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 15
Закон Яровой: требование о хранении информации (1/2)
Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 16
Требования до принятия Закона Яровой
Операторы ОрганизаторыИнформация, подлежащая хранению Срок Информация, подлежащая хранению Срок
1. Сведения о пользователях услуг связи, об оказанных им услугах связи и о расчетах за оказанные услуги связи
3 года
1. Факты приема / передачи / доставки / обработки сообщений пользователей сети Интернет, а также информация о самих пользователях
6 мес.
Требования после принятия Закона Яровой
Операторы ОрганизаторыИнформация, подлежащая хранению Срок Информация, подлежащая хранению Срок
1. Сведения о пользователях услуг связи, об оказанных им услугах связи и о расчетах за оказанные услуги связи
3 года
2. Факты приема / передачи / доставки / обработки сообщений пользователей услуг связи
3 года
1. Факты приема / передачи / доставки / обработки сообщений пользователей сети Интернет, а также информация о самих пользователях
1 год
3. Текстовые сообщения, голосовая информация, изображения, звуки, видео сообщения и другие электронные сообщения
Требование вступает в силу c 1 июля 2018 г.
6 мес.
2. Текстовые сообщения, голосовая информация,изображения, звуки, видео сообщения и другиеэлектронные сообщения
Требование вступает в силу c 1 июля 2018 г.
6 мес.
Закон Яровой: требование о хранении информации (2/2)
Требование по хранению контента вступает в силу с 1 июля 2018 г.
Вступление в силу данного требования может быть отложено до 1 июля 2023 г. – предложение о переносе срока сделано в Законопроекте № 1129775-6 (зарегистрирован 19 июля 2016 г. – в Парламенте РФ пока не рассмотрен).
Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 17
Закон Яровой: поручение Президента
Одновременно с подписанием Закона Яровой Президентом было принято Поручение № Пр-1301:
– Правительству РФ: подготовить проекты НПА, направленных на минимизацию возможных рисков от реализации Закона Яровой –акты приняты не были.
– Минпромторгу / Минкомсвязи: провести анализ сроков и объемов финансовых затрат для организации производства необходимого отечественного оборудования / ПО – СМИ сообщают, что доклад подготовлен и представлен Президенту.
Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 18
Закон Яровой: ответственность
В отношении Организаторов – предусмотрен специальный состав (ст. 13.31 (2) КоАП РФ):
– административный штраф до 1 000 000 руб.
В отношении Операторов – специальный состав отсутствует, применяется общий состав за осуществление предпринимательской деятельности с нарушением лицензионных требований (ст. 14.1 КоАП РФ):
– административный штраф до 200 000 руб.;
– приостановление деятельности на срок до 90 суток.
Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 19
Евгений ЧернявскийЮристТелефон: +7 495 787 30 42Email: [email protected]
Уайт энд Кейс ЛЛК125009, Россия, МоскваРоманов переулок, 4Телефон: + 7 495 787 3000Факс: + 7 495 787 3001