1. Що таке персональні дані?
2. Які компанії потрапляють під дію нових вимог закону?
3. Які існують варіанти для архітектури системи?
4. висновок

Вже більше року минуло з моменту набуття чинності закону «Про персональні дані» в Росії, і тим не менш подробиці його застосування до цих пір мало кому точно відомі. Не дивлячись на жваву дискусію навколо цієї теми, на момент написання даної статті цілий ряд питань залишається без відповіді, і виразна судова практика також не була ще сформована. Робота Awara IT Solutions, яка є частиною групи компаній Awara, тісно пов'язана з новим законом, оскільки багато хто з наших клієнтів безпосередньо стикаються з його наслідками. У зв'язку з цим, думаю, варто детальніше розповісти про суть проблеми і запропонувати можливі рішення для запобігання ризикам.

Відповідно до даного закону, з 1 вересня 2015 року компанії, що здійснюють обробку персональних даних, повинні обробляти і зберігати персональні дані російських громадян на території Росії . Іншими словами, бази даних, в яких містяться персональні дані, повинні перебувати на російських серверах. Дехто каже, що мета закону полягає в тому, щоб захистити персональні дані росіян від «зарубіжних спецслужб». Інші вважають, що він забезпечить російським властям більш легкий і швидкий доступ до даних компаній, оскільки всередині країни отримати доступ до даних значно простіше, ніж запитувати подібну інформацію у інших країн. Нижче наводиться пояснення загальних принципів і варіантів планування архітектури при впровадженні ERP системи в Росії.

Що таке персональні дані?

Персональними даними є будь-яка інформація про фізичну особу, в тому числі:

• Адреса електронної пошти, що містить в собі прізвище і назва компанії;
• Номер банківської карти, а також, в певних випадках, код CVC;
• У деяких випадках, номер мобільного телефону (так звані «конфіденційні персональні дані»)

наприклад:

ivan. ivanov @ post. com - є персональними даними

ivan @ post. com - не є персональними даними

Необхідно відзначити, що навіть у разі, якщо інформація, що відноситься до суб'єкта персональних даних, не дозволяє ідентифікувати фізичну особу, при певних обставинах така інформація може бути персональними даними. На даний момент Роскомнадзор розробляє чіткі критерії визначення «персональні дані». Тим самим під дію закону потрапляють контактні дані представників компанії, угоди, а також імена користувачів Active Directory

Які компанії потрапляють під дію нових вимог закону?

• Компанії, зареєстровані в Росії;
• Іноземні компанії, які мають представництва та філії в Росії;
• Іноземні компанії, діяльність яких спрямована на територію Росії і та / або включає в себе обробку персональних даних російських громадян.

наприклад:

Якщо громадянин Росії, який працює в російському представництві іноземної компанії, може переглядати і завантажувати інформацію про себе на загальний внутрішній портал іноземної компанії, і сервер, на якому обробляється і зберігається дана інформація, розташовується за межами Росії, то така компанія може бути визнана такою, що порушує вимоги закону про локалізацію персональних даних на території Росії.

Які існують варіанти для архітектури системи?

Більшість наших клієнтів - іноземні компанії, які планують впроваджувати в Росії ERP-системи з індивідуальними доробками. Багато з них прагнуть до створення єдиної для всіх країн бази даних, яку можна зберігати й адмініструвати в одному місці, наприклад, в головному офісі компанії. Їм слід врахувати наслідки введення нового закону, так як вони в будь-якому випадку будуть здійснювати обробку персональних даних росіян, і, відповідно, повинні повністю усвідомлювати можливі ризики зберігання цих даних за межами Росії. Нижче я пропоную 4 можливих варіанти організації системи (Швеція була вибрано тільки в якості прикладу, на її місці може бути будь-яка інша країна крім Росії).

Даний варіант має на увазі, що сервер, на якому розташована база даних, розташовується в межах Росії. У базі містяться персональні дані росіян. Це може бути реалізовано через:

• фізичний сервер, що знаходиться в офісі компанії
• фізичний сервер в дата-центрі
• орендований віртуальний сервер (наприклад, Azure Pack)

Це найбільш надійний спосіб в рамках нового закону про персональні дані.

В даному варіанті, сервер з базою даних розташовується не в Росії, а в головному офісі компанії в іншій країні. Сервер може перебувати або в дата-центрі, або може бути перенесений в хмарну платформу Microsoft Azure, дата-центри якої знаходяться за межами Росії. Отримати доступ до бази можна з будь-якого місця, проте в такій базі будуть зберігатися і персональні дані росіян.

Такий варіант є порушенням вимог нового закону, і його слід уникати.

Найбільш бажаний нашими клієнтами спосіб. В цьому випадку первинний введення даних здійснюється з використанням бази, що знаходиться за межами Росії. У той же час в Росії (в будь-якій точці на території країни) існує копія цієї бази даних. Чим швидше між ними виконується обмін даними, тим менше ризиків для компанії з боку закону про зберігання персональних даних. В ідеалі, SQL-сервер повинен бути налаштований таким чином, щоб обидві бази синхронізувалися в режимі реального часу. У разі перевірки з боку контролюючих органів повинен бути забезпечений постійний доступ до російської базі даних (тобто потрібен доступ до серверної і клієнтської частини програмного забезпечення).

Проте цей варіант все-таки має на увазі певний ризик, тому що може розцінюватися як порушення через те, що з самого початку введення даних здійснюється в базу, розташовану за межами Росії. Але тут слід брати до уваги той факт, що згідно із законом про персональні дані все ще відсутня будь-яка судова практика, так само як і реальні випадки застосування цього закону.

В останньому варіанті первинний введення даних здійснюється в межах Росії, відповідно, відсутній ризик порушення закону про персональні дані. Якщо виникає потреба отримати ці дані на сервер в головному офісі за кордоном, то виконується автоматична операція з передачі даних на головний сервер: такий процес може здійснюватися в режимі реального часу або за розкладом, наприклад, раз на добу.

висновок

Іншими словами, щоб не порушувати новий російський закон про персональні дані, первинні дані слід обробляти і зберігати на території Росії, при цьому дозволяється мати їх копію за кордоном. Є й інші варіанти, але в них більше ризику. Також слід не забувати, що судової практики в цій галузі все ще не було.

Оригінал статті опубліковано на Microsoft Dynamics NAV Community .