ОБЛАЧНЫЕ ТЕХНОЛОГИИ: ВОПРОСЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ. НОВЕЛЛЫ 2016 ГОДА

Евгений ЧернявскийМосква, 13 декабря 2016 г.

Содержание

Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 1

Правовое регулирование облачных услуг:

– Специальное регулирование облаков.

– Регулирование обработки отдельных категорий данных.

– Правоотношения в связи с использованием облаков.

– Обработка персональных данных.

Новеллы 2016 года:

– Кейс LinkedIn.

– Закон Яровой.

Специальное регулирование облаков?

Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 2

На данный момент отсутствуют специальные нормативно-правовые акты, устанавливающие правила оказания облачных услуг, а также стандарты обеспечения безопасности информации, обрабатываемой с использованием непосредственно облачных технологий.

В 2013 г. Минкомсвязи был разработан проект технического задания на подготовку предложений в части нормативно-правового регулирования использования облачных технологий.*

* Техническое задание Минкомсвязи от 29 апреля 2013 г. на выполнение научно-исследовательской работы по теме: «Нормативно-правовое обеспечение возможности использования облачных технологий органами государственной власти и органами местного самоуправления».

Правовое регулирование

Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 3

Нормативно-правовые акты, регулирующие отношения между хозяйствующими субъектами в РФ, включая Гражданский кодекс РФ.

Законодательное регулирование обработки отдельных категорий данных, включая:

– Федеральный закон № 149-ФЗ от 27 июля 2006 г. “Об информации, информационных технологиях и защите информации” (с изменениями и дополнениями).

– Федеральный закон № 126-ФЗ от 7 июля 2003 г. “О связи” (с изменениями и дополнениями).

– Конвенция Совета Европы № 108 “О защите физических лиц при автоматизированной обработке персональных данных”.

– Федеральный закон № 152-ФЗ от 27 июля 2006 г. “О персональных данных” (с изменениями и дополнениями).

– Федеральный закон № 395-1 от 2 декабря 1990 г. “О банках и банковской деятельности” (с изменениями и дополнениями).

– Федеральный закон № 323-ФЗ от 21 ноября 2011 г. “Об основах охраны здоровья граждан в Российской Федерации” (с изменениями и дополнениями).

– Подзаконные акты Правительства Российской Федерации, РКН, ФСБ, ФСТЭК и пр.

Правоотношения в связи с использованием облаков

Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 4

Правоотношения в связи с использованием облачных сервисов:

– Субъекты данных – заказчики (операторы данных) – провайдеры облачных услуг.

– Субъекты данных – провайдеры облачных услуг.

– Контроль и надзор со стороны регулирующих органов.

Обработка персональных данных провайдерами облачных услуг (1/2)

Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 5

Персональные данные могут передаваться провайдерам облачных услуг субъектами персональных данных и (или) заказчиками (операторами персональных данных).

При передаче персональных данных непосредственно субъектами персональных данных провайдеры выступают в качестве операторов персональных данных.

При передаче персональных данных провайдеру облачных услуг заказчиком (оператором), правовой режим обработки таких персональных данных зависит от положений заключенного между провайдером и заказчиком договора.

Обработка персональных данных провайдерами облачных услуг (2/2)

Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 6

С точки зрения законодательства о защите персональных данных, возможен особый режим обработки данных “по поручению” – при соблюдении требований к оформлению обработки по поручению:

– провайдеру не потребуется получать согласия на обработку персональных данных;

– провайдер не будет нести ответственность перед субъектами персональных данных.

Требование о локализации персональных данных (1/2)

Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 7

С 1 сентября 2015 г. систематизация, накопление, хранение, изменение, обновление и (или) извлечение персональных данных российских граждан должны осуществляться с использованием баз данных на территории России.

Ожидаются разъяснения регулирующих органов о порядке реализации требования по локализации.

На сайте Минкомсвязи размещены разъяснения и ответы на некоторые вопросы относительно реализации требования о локализации – их статус неясен (данные разъяснения и ответы не были официально опубликованы и теоретически могут быть удалены / изменены в любой момент).*

Тем не менее, высока вероятность, что позиция Минкомсвязи, выраженная в указанных разъяснениях и ответах, может применяться на практике.

* – http://minsvyaz.ru/ru/personaldata/

Требование о локализации персональных данных (2/2)

Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 8

Минкомсвязи обозначил следующие важные моменты:

– Трансграничная обработка персональных данных российских граждан не запрещена (с учетом соблюдения требования о локализации).

– Обработка таких персональных данных с использованием зарубежных серверов допустима в следующих случаях:

к обработке не применяется требование о локализации (законом предусмотрены четыре исключения, включая если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей); или

на территории РФ находятся база данных, в которых содержится объем персональных данных, больший или равный находящемуся за пределами РФ. При этом не допускается нахождение за пределами РФ персональных данных, которые одновременно не находятся в РФ.

Требование о локализации персональных данных: проверки РКН

По состоянию на 1 сентября 2016 г. в рамках проверок соблюдения требований к обработке персональных данных: – РКН проведено более 1 тыс. проверок, в рамках которых было выявлено 31

нарушение требования о локализации (менее 2% от общего количества выявленных нарушений);

– операторам выданы предписания об устранении нарушений со сроком исполнения от полугода.

Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 9

Кейс LinkedIn (1/2)

Решением Таганского районного суда г. Москвы от 4 августа 2016 г. сайт linkedin.com заблокирован на территории Российской Федерации (решение оставлено в силе апелляционным определением московского городского суда от 10 ноября 2016 г.).

Решение о блокировке мотивировано следующими факторами: – LinkedIn осуществляет обработку персональных данных без соответствующих

согласий субъектов персональных данных.

– LinkedIn не соблюдает требование о локализации персональных данных.

Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 10

Кейс LinkedIn (2/2) При этом суд отметил, что нормы законодательства о

персональных данных применяются к LinkedIn (как иностранной компании) с учетом следующих обстоятельств: – LinkedIn осуществляет целенаправленную деятельность по сбору

персональных данных, в том числе, российских граждан.

– Наличие у LinkedIn русскоязычной версии сайта. Сайт допускает возможность использования рекламы на русском языке (как дополнительное свидетельство о включении российской аудитории в сферу бизнес-интересов LinkedIn).

– В любом случае, даже выбор права, подлежащего применению к договору, стороной которого является физическое лицо, которое приобретает услуги для целей, не связанных с осуществлением предпринимательской деятельности, не может повлечь за собой лишение такого физического лица (потребителя) защиты его прав, предоставляемой императивными нормами права страны места жительства потребителя, если контрагент потребителя осуществляет свою деятельность в стране места жительства потребителя / любыми способами направляет свою деятельность на территорию этой страны (ст. 1212 Гражданского кодекса).

Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 11

Кейс LinkedIn: практические аспекты (1/2)

Иск против LinkedIn был подан из-за неоднократных сообщений о крупных утечках с ресурса личных данных пользователей –риск аналогичных последствий для компаний без подобной истории / компаний, разработавших план устранения несоответствий требованию о локализации?

Из решений судов не ясно, какой интерпретации требования о локализации персональных данных придерживался суд – в отсутствие официальных разъяснений сохраняется риск применения «консервативной» трактовки (персональные данные российских граждан должны обрабатываться только в РФ).

Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 12

Кейс LinkedIn: практические аспекты (2/2)

Возможность соблюдения требований по обработке персональных данных (включая требование о сборе согласий –в некоторых случаях исключительно в письменной форме)?

Применимость исключений из требования о сборе согласий на обработку персональных данных: – по общему правилу, не требуется согласие при обработке для целей

заключения или исполнения договора, стороной или выгодоприобретателем по которому является субъект персональных данных;

– применительно к трансграничной передаче персональных данных на территории стран, не обеспечивающих адекватную защиту прав субъектов персональных данных – не требуется согласие при обработке для целей исполнения договора, стороной которого является субъект данных.

Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 13

Закон Яровой

6 июля 2016 г. Президент РФ подписал федеральные законы №№ 374-ФЗ и 375-ФЗ, известные как «Закон Яровой».

Закон Яровой вносит поправки в отдельные законодательные акты и обязывает определенных субъектов (см. ниже) хранить ряд данных на территории Российской Федерации и предоставлять такие данные уполномоченным государственным органам в сфере ОРД / национальной безопасности по запросу.

Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 14

Закон Яровой: субъекты регулирования

Требования Закона Яровой распространяются на следующих субъектов: – Операторы связи – юридические лица / индивидуальные предприниматели,

оказывающие услуги связи на основании лицензии («Операторы»).

– Организаторы распространения информации в сети Интернет – лица, осуществляющие деятельность по обеспечению функционирования информационных систем / программ для ЭВМ, которые предназначены / используются для приема, передачи, доставки и/или обработки электронных сообщений пользователей сети Интернет («Организаторы»).

Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 15

Закон Яровой: требование о хранении информации (1/2)

Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 16

Требования до принятия Закона Яровой

Операторы ОрганизаторыИнформация, подлежащая хранению Срок Информация, подлежащая хранению Срок

1. Сведения о пользователях услуг связи, об оказанных им услугах связи и о расчетах за оказанные услуги связи

3 года

1. Факты приема / передачи / доставки / обработки сообщений пользователей сети Интернет, а также информация о самих пользователях

6 мес.

Требования после принятия Закона Яровой

Операторы ОрганизаторыИнформация, подлежащая хранению Срок Информация, подлежащая хранению Срок

1. Сведения о пользователях услуг связи, об оказанных им услугах связи и о расчетах за оказанные услуги связи

3 года

2. Факты приема / передачи / доставки / обработки сообщений пользователей услуг связи

3 года

1. Факты приема / передачи / доставки / обработки сообщений пользователей сети Интернет, а также информация о самих пользователях

1 год

3. Текстовые сообщения, голосовая информация, изображения, звуки, видео сообщения и другие электронные сообщения

Требование вступает в силу c 1 июля 2018 г.

6 мес.

2. Текстовые сообщения, голосовая информация,изображения, звуки, видео сообщения и другиеэлектронные сообщения

Требование вступает в силу c 1 июля 2018 г.

6 мес.

Закон Яровой: требование о хранении информации (2/2)

Требование по хранению контента вступает в силу с 1 июля 2018 г.

Вступление в силу данного требования может быть отложено до 1 июля 2023 г. – предложение о переносе срока сделано в Законопроекте № 1129775-6 (зарегистрирован 19 июля 2016 г. – в Парламенте РФ пока не рассмотрен).

Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 17

Закон Яровой: поручение Президента

Одновременно с подписанием Закона Яровой Президентом было принято Поручение № Пр-1301:

– Правительству РФ: подготовить проекты НПА, направленных на минимизацию возможных рисков от реализации Закона Яровой –акты приняты не были.

– Минпромторгу / Минкомсвязи: провести анализ сроков и объемов финансовых затрат для организации производства необходимого отечественного оборудования / ПО – СМИ сообщают, что доклад подготовлен и представлен Президенту.

Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 18

Закон Яровой: ответственность

В отношении Организаторов – предусмотрен специальный состав (ст. 13.31 (2) КоАП РФ):

– административный штраф до 1 000 000 руб.

В отношении Операторов – специальный состав отсутствует, применяется общий состав за осуществление предпринимательской деятельности с нарушением лицензионных требований (ст. 14.1 КоАП РФ):

– административный штраф до 200 000 руб.;

– приостановление деятельности на срок до 90 суток.

Облачные технологии: Вопросы правового регулирования. Новеллы 2016 года. 19

Евгений ЧернявскийЮристТелефон: +7 495 787 30 42Email: echernyavsky@whitecase.com

Уайт энд Кейс ЛЛК125009, Россия, МоскваРоманов переулок, 4Телефон: + 7 495 787 3000Факс: + 7 495 787 3001