Проблема защиты конфиденциальной информации, в частности, персональных данных (далее – ПДн) является одним из существенных факторов при принятии решения об использовании бизнесом облачных технологий. Значимость данного вопроса продиктована, с одной стороны, критической важностью указанной информации для некоторых видов бизнеса, с другой – возросшим в последнее время вниманием регуляторов к этой сфере.
Главный вопрос в связи с этим – не является ли использование облачных сервисов для обработки ПДн нарушением российского законодательства? Прежде чем давать оптимистичный ответ на этот вопрос, необходимо учесть ряд важных моментов.
Базовые положения
В первую очередь необходимо понимать, что обеспечение безопасности ПДн при их обработке – это обязанность оператора ПДн (далее – Оператор). Для исполнения своей обязанности Оператор выстраивает систему защиты ПДн, служащую для нейтрализации актуальных угроз, определяемых в соответствии с частью 5 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных; Закон).
При этом под «обработкой» Закон о персональных данных понимает любое действие с ПДн, включая сбор, накопление, хранение, передачу, удаление и т. д. Таким образом, операции, совершаемые облачными провайдерами с ПДн, в любом случае подпадают под понятие «обработки» и, следовательно, подлежат соответствующему правовому регулированию.
Для того чтобы рассматриваемые отношения оставались в рамках существующего правового поля, необходимо учитывать следующие аспекты:
▪ возможность передачи ПДн для обработки третьим лицам;
▪ требования к содержанию договора с провайдером облачного сервиса;
▪ условия трансграничной передачи ПДн;
▪ нормативное регулирование в области сертификации и лицензирования;
▪ особенности регулирования в части обезличенных данных.
Передача данных для обработки третьим лицам
В соответствии с частью 3 статьи 6 Закона о персональных данных Оператор вправе поручить обработку ПДн другому лицу (далее – Обработчик) только с согласия субъекта. Такое согласие должен получить именно Оператор ПДн, а не Обработчик.
При этом статус Обработчика, которым и является провайдер облачного сервиса, по смыслу Закона, не тождественен статусу самого Оператора, так как в отличие от последнего он осуществляет обработку ПДн с одной единственной целью – исполнить условия договора с Оператором (и получить от него встречное исполнение), и не использует ПДн для взаимодействия с их субъектами или извлечения выгоды путем их коммерциализации. По данному критерию следует отличать от Обработчиков, к примеру, коллекторские агентства, которые, получая ПДн от кредитора, непосредственно используют их в своей деятельности.
Вопросы на практике вызывают требования к форме согласия субъекта на обработку его ПДн третьими лицами. Общие требования к согласию на обработку ПДн определены в статье 9 Закона о персональных данных, согласно которой такое согласие должно быть конкретным, информированным и сознательным. Формальное требование к такому согласию состоит в том, что оно может быть дано субъектом или его представителем в любой позволяющей подтвердить факт его получения форме. При этом Закон не требует, чтобы такое согласие было письменным. Таким образом, указанное согласие может быть получено Оператором в любой форме, в том числе электронной, при условии, что он впоследствии сможет доказать факт его получения.
Если Оператор поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия этого лица все равно несет Оператор. Обработчик, в свою очередь, несет ответственность перед Оператором.
Подводя итог: прежде чем использовать облачные сервисы для обработки ПДн, необходимо получить соответствующее согласие от всех субъектов такой информации.
Договор с провайдером
Закон о персональных данных также содержит указание на необходимость заключения соответствующего договора с Обработчиком ПДн.
Такой договор в обязательном порядке должен содержать:
▪ обязанность провайдера соблюдать принципы и правила обработки ПДн, предусмотренные Законом о персональных данных;
▪ перечень действий (операций) с ПДн, которые будут совершаться провайдером, и цели обработки;
▪ обязанность провайдера соблюдать конфиденциальность ПДн и обеспечить их безопасность при обработке;
▪ требования к защите обрабатываемых ПДн в соответствии со статьей 19 Закона о персональных данных.
При этом обязательность выполнения требований, указанных в пунктах 1 и 4, в случае если провайдер зарегистрирован на территории иностранного государства, вызывает сомнения среди экспертов, ссылающихся на то, что на территории соответствующего государства действуют свои нормы и требования к безопасности ПДн. Однако, как указывалось выше, по смыслу Закона о персональных данных, указанные требования являются обязательными к исполнению не для провайдера сервиса, а для Оператора, который вправе передать соответствующие полномочия на обработку только при условии включения соответствующих положений в текст договора/поручения.
Во избежание различного толкования объема данных, за который провайдер несет ответственность, необходимо включать в договор конкретный перечень ПДн, которые передаются провайдеру или к которым у провайдера есть доступ.
Не лишним также будет включить в SLA-соглашение с провайдером условия, касающиеся безопасности информации, в частности: обязанность использования определенных алгоритмов шифрования данных, порядок исполнения обязанности провайдера по передаче данных оператору в случае расторжения договора, а также по их уничтожению, требования к мерам по изолированной обработке данных разных клиентов/пользователей и др.
Трансграничная передача данных
Исходя из смысла статьи 12 Закона о персональных данных, оператор вправе осуществлять передачу ПДн на территорию любого иностранного государства, обеспечивающего адекватную защиту прав субъектов ПДн, без необходимости получать соответствующее согласие. В соответствии с Законом, к государствам, обеспечивающим такую защиту, относятся:
государства, являющиеся участниками Конвенции Совета Европы «О защите физических лиц в отношении автоматизированной обработки данных личного характера» (ETS № 108) (Заключена в Страсбурге 28.01.1981) (далее – Конвенция СЕ);
государства, не являющиеся сторонами Конвенции СЕ, но тем не менее обеспечивающие адекватную защиту ПДн, перечень которых определяет Уполномоченный орган по защите прав субъектов ПДн.
Передача ПДн на территорию государства, не обеспечивающего адекватную защиту прав субъектов ПДн, возможна в следующих случаях:
▪ наличие согласия в письменной форме субъекта персональных данных на трансграничную передачу его ПДн;
▪ случаи, предусмотренные международными договорами Российской Федерации (например, при оформлении визы);
▪ исполнение договора, стороной которого является субъект ПДн (например, при осуществлении трансграничных банковских операций).
Таким образом, при использовании облачных сервисов необходимо требовать от соответствующих провайдеров предоставления информации о местонахождении их центров хранения и обработки данных и, в зависимости от предоставленной информации, принимать решение о необходимости запрашивать согласие у субъектов ПДн.
Сертификаты и лицензии
В зависимости от того, на территории какого государства зарегистрирован провайдер облачного сервиса, следует различать две принципиально различные ситуации.
Так, в случае если провайдером является иностранное лицо, то оно осуществляет свою деятельность, в том числе связанную с обработкой ПДн, в соответствии с национальным законодательством соответствующего государства и, таким образом, не обязано соблюдать требования российских регуляторов. Отсюда следует, что в данной ситуации для оператора, по крайней мере, с точки зрения соблюдения требований регуляторов, не имеет значения, обладает ли такой провайдер соответствующими сертификатами, лицензиями и т. п.
С российскими провайдерами дело обстоит несколько сложнее.
В части 2 статьи 19 Закона о персональных данных приведен перечень мер, с помощью которых достигается обеспечение безопасности ПДн. Данный перечень содержит в числе прочих мер «применение прошедших в установленном порядке процедуру оценки соответствия» средств защиты информации (далее - СЗИ).
Указанное положение говорит об «оценке соответствия» СЗИ, которая в соответствии с абзацем вторым части 3 статьи 7 Федерального закона от 27.12.2002 № 184-ФЗ «О техническом регулировании» (далее – Закон о техрегулировании) помимо сертификации включает в себя еще целый ряд возможных способов такой оценки (государственный контроль (надзор), испытание, регистрацию и др.) и может носить как обязательный характер (декларирование соответствия или обязательная сертификация), так и добровольный (добровольная сертификация).
Следует также учитывать, что Закон о техническом регулировании устанавливает принцип недопустимости применения обязательного подтверждения соответствия к объектам, в отношении которых не установлены требования технических регламентов.
Из всего этого мы можем сделать вывод, что на сегодняшний момент законодательство не устанавливает обязанности операторов использовать сертифицированные СЗИ, а лишь указывает на возможность их использования в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПДн. Оператор самостоятельно определяет, необходимо ли использование сертифицированных СЗИ в каждом конкретном случае или нет. В рассматриваемом случае Оператор вправе пользоваться услугами провайдера независимо от того, сертифицированы ли СЗИ, применяемые последним при оказании услуг, или нет.
В соответствии с пунктами 1, 5, 36 Федерального закона от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» лицензированию подлежат следующие виды деятельности, осуществление которых связано с предоставлением облачных сервисов и обеспечением безопасности ПДн:
▪ деятельность по технической защите информации;
▪ распространение средств, информационных и телекоммуникационных систем, защищенных шифрованием; выполнение работ и услуг в области шифрования информации; обслуживание средств, информационных и телекоммуникационных систем, защищенных шифрованием;
▪ оказание услуг связи (а именно, телематических услуг связи).
Указанные регуляторные требования необходимо учитывать при выборе российского провайдера облачного сервиса.
Обезличенные данные
В соответствии с Законом о персональных данных персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. То есть для признания за той или иной информацией статуса ПДн необходимо, кроме прочего, чтобы данную информацию можно было бы соотнести с конкретным физическим лицом.
В то же время Закон о персональных данных содержит определение «обезличивания ПДн». Согласно данному определению, под обезличиванием понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту. Обезличивание также упоминается в части 7 статьи 5 Закона о персональных данных в качестве мероприятия, которое обязан произвести Оператор по достижении целей обработки ПДн или в случае утраты необходимости в достижении этих целей. Таким образом, исходя из системного толкования положений Закона о персональных данных, а также с учетом зарубежного опыта регулирования данного вопроса, можно сделать вывод о том, что в отношении обезличенных ПДн вышеназванные требования не действуют.
Однако необходимо учитывать, что, в случае если какое-либо третье лицо по вине Оператора получит доступ к указанным данным и сможет соотнести эти данные с конкретными лицами, Оператор все равно будет нести ответственность за разглашение ПДн, так как он не предпринял достаточных мер для обеспечения безопасности соответствующей информации.
В качестве рекомендаций для осуществления обезличивания ПДн частные организации могут руководствоваться положениями, указанными в Требованиях и методах обезличивания ПДн, утвержденных Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 № 996, распространяющими свое действие на Операторов, являющихся государственными или муниципальными органами. В частности, указанный документ содержит следующие методы обезличивания ПДн:
▪ метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
▪ метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
▪ метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
▪ метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).
Таким образом, использование того или иного метода обезличивания ПДн может оказаться при определенных условиях наиболее целесообразным выходом для Оператора, прибегающего к помощи облачных сервисов.
Заключение
В заключение хотелось бы отметить значительное отставание правового регулирования в этой области от развития ИТ-сектора. Соответствующая нормативная база находится еще на этапе формирования. Существующее же законодательство рассчитано на использование традиционных технологий, в нем почти отсутствует дифференцированный подход к регулированию услуг в ИТ-сфере, наконец, ощущается нехватка судебной практики. Все это, с одной стороны, образует неопределенность в части юридической квалификации соответствующих отношений, однако в то же время создает предпосылки для формирования позиции, отражающей цели законодательства в сфере защиты персональных данных.