Datenübertragung nach Russland. Kurze FAQ zu Missverständnissen

    Der Satz "Ich habe es der Welt so oft erzählt" passt wahrscheinlich perfekt zur Beschreibung der Situation mit dem Schutz personenbezogener Daten und ihrer Übermittlung an Russland. In der Zeit, die seit der Erörterung der Probleme in diesem Bereich vergangen war, schien alles diskutiert worden zu sein. Darüber hinaus sollten Anwälte in der Lage sein, Gesetze zu lesen.

    Ach. Die Teilnahme an der nächsten Konferenz löste für mich diesen Mythos auf, in dessen Rahmen ich Antworten auf häufig gestellte Fragen im Bereich der Datenübertragung zum Sparschwein des Khabrazhitel gebe.

    Wie übertrage ich die Verantwortung für die Verarbeitung personenbezogener Daten?

    Aus irgendeinem Grund vergessen sie, dass das Bundesgesetz vom 21. Juli 2014 Nr. 242-FZ kein Gesetz für sich ist. Es werden nur folgende Änderungen vorgenommen:

    • Bundesgesetz vom 27. Juli 2006 N 149-ФЗ „Über Information, Informationstechnologien und Informationsschutz“
    • Bundesgesetz vom 27. Juli 2006 N 152-ФЗ "Über personenbezogene Daten"
    • Bundesgesetz vom 26. Dezember 2008 N 294-ФЗ über den Schutz der Rechte von juristischen Personen und Einzelunternehmern

    In Bezug auf den Schutz personenbezogener Daten ist es daher erforderlich, die Bestimmungen von 152-FZ einzuhalten. In Übereinstimmung mit 152-FZ:

    2) Betreiber - eine staatliche, kommunale, juristische oder natürliche Person, die unabhängig oder gemeinsam mit anderen Personen die Verarbeitung personenbezogener Daten organisiert und (oder) durchführt sowie die Zwecke der Verarbeitung personenbezogener Daten, die Zusammensetzung der zu verarbeitenden personenbezogenen Daten, Handlungen (Vorgänge) festlegt. mit personenbezogenen Daten verpflichtet;
    5. Für den Fall, dass der Betreiber die Verarbeitung personenbezogener Daten an eine andere Person überträgt, ist der Betreiber gegenüber der betroffenen Person für die Handlungen der angegebenen Person verantwortlich . Eine Person, die im Auftrag des Betreibers personenbezogene Daten verarbeitet, ist dem Betreiber gegenüber verantwortlich.

    Die Verantwortung für den Betreff verbleibt somit in jedem Fall beim Betreiber - dem Unternehmen, das die Zustimmung des Betreffs zu personenbezogenen Daten für deren Verarbeitung erhalten hat. Im Allgemeinen wird auch die Zuordnung eines Teils der Mitarbeiter zu einer anderen juristischen Person nicht die Situation retten, da die Daten im Unternehmen ohnehin weiter verarbeitet werden - die Geschäftsinteraktionen mit diesen Mitarbeitern werden fortgesetzt.

    ... Roskomnadzor ... sicherer Kanal / Verschlüsselung

    Viele Fragen betreffen Sicherheitsmaßnahmen. Und das ist natürlich. Aus irgendeinem Grund ist Roskomnadzor der einzige Anwendungsbereich. Auch hier gibt es nach 152-FZ drei Aufsichtsbehörden, von denen jede einen eigenen Verantwortungsbereich hat.

    4. Die Zusammensetzung und der Inhalt der Anforderungen an den Schutz personenbezogener Daten, die von der Regierung der Russischen Föderation gemäß Teil 3 dieses Artikels für jedes Schutzniveau festgelegt wurden, sowie die organisatorischen und technischen Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten werden von der Bundesbehörde festgelegt die im sicherheitsbereich ermächtigte exekutive behörde und die föderale exekutive behörde sind ermächtigt in technische Intelligenz und technischen Schutz von Informationen innerhalb ihrer Behörde zu begegnen.

    Und das ist unser FSTEC der Russischen Föderation und der FSB der Russischen Föderation, wo dieser für die Verschlüsselung zuständig ist.

    Wie erfüllen wir die Server-Migrationsanforderungen?

    Die aktuelle Ausgabe von 149-FZ lautet:

    7) die Präsenz auf dem Territorium der Russischen Föderation Datenbank von Informationen mit denen, Aufzeichnung, Systematisierung, Speicherung, Lagerung, Klärung (Aktualisierung, Modifizierung), Extraktion der personenbezogenen Daten der Bürger der Russischen Föderation zu sammeln.

    Und entsprechend 152-ФЗ:

    5. Bei der Erhebung personenbezogener Daten, auch über das Informations- und Telekommunikationsnetz „Internet“, ist der Betreiber verpflichtet, personenbezogene Daten von Bürgern der Russischen Föderation unter Verwendung von Datenbanken auf zu erfassen, zu systematisieren, zu sammeln, zu speichern, zu klären (zu aktualisieren, zu ändern) das Gebiet der Russischen Föderation mit Ausnahme der in Artikel 6 Teil 1 Absätze 2, 3, 4, 8 dieses Bundesgesetzes genannten Fälle

    Hierbei ist es wichtig, dass die Definition in der Definition "using" verwendet. Es gibt viele Interpretationsmöglichkeiten. Im Prinzip wird sogar ein Parallelserver darunter fallen. Aber normalerweise wird die Definition im Sinne interpretiert. das:

    1. Die Datenerhebung und -speicherung sollte auf dem Territorium der Russischen Föderation erfolgen, die Verarbeitung kann jedoch überall erfolgen
    2. Im Ausland können Sie auch Kopien von Daten speichern, auf die während der Verarbeitung zugegriffen wird




    Hier und weitere Darstellungen wurden aus den aufgenommenen Materialien der Konferenz.



    Durch aufmerksames Lesen wird das Risiko von Gesetzesverstößen minimiert

    2) Betreiber - eine staatliche, kommunale, juristische oder natürliche Person, die unabhängig oder gemeinsam mit anderen Personen die Verarbeitung personenbezogener Daten organisiert und (oder) durchführt sowie die Zwecke der Verarbeitung personenbezogener Daten, die Zusammensetzung der zu verarbeitenden personenbezogenen Daten, Handlungen (Vorgänge) festlegt. mit personenbezogenen Daten verpflichtet;
    3. Der Betreiber hat das Recht, die Verarbeitung personenbezogener Daten mit Zustimmung des Betreffs der personenbezogenen Daten einer anderen Person anzuvertrauensofern das Bundesgesetz nichts anderes vorsieht, auf der Grundlage einer mit dieser Person geschlossenen Vereinbarung, einschließlich eines Staats- oder Gemeindevertrags, oder durch Annahme des entsprechenden Gesetzes durch den Staat oder die Gemeindeverwaltung (im Folgenden: Verordnung des Betreibers). Eine Person, die im Auftrag des Betreibers personenbezogene Daten verarbeitet, ist verpflichtet, die in diesem Bundesgesetz vorgesehenen Grundsätze und Regeln für die Verarbeitung personenbezogener Daten einzuhalten . Die Anweisungen des Betreibers müssen spezifizierenDie Liste der Aktionen (Operationen) mit personenbezogenen Daten, die von der Person durchgeführt werden, die die personenbezogenen Daten verarbeitet, und der Zweck der Verarbeitung, die Verpflichtung einer solchen Person, die Vertraulichkeit personenbezogener Daten zu wahren und die Sicherheit personenbezogener Daten während ihrer Verarbeitung zu gewährleisten, sowie die Anforderungen an den Schutz müssen angegeben werden verarbeitete personenbezogene Daten gemäß Artikel 19 dieses Bundesgesetzes.
    4. Eine Person, die personenbezogene Daten im Auftrag des Betreibers verarbeitet, ist nicht verpflichtet, die Zustimmung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten einzuholen.

    Die Verantwortung für das Thema verbleibt in jedem Fall beim Betreiber, die Schutzmaßnahmen (zusammen mit der Verantwortung für deren Umsetzung) können jedoch auf einen Dritten übertragen werden. Der entsprechende Vertrag sollte die Ziele der Datenverarbeitung, Anforderungen an deren Schutz usw.



    regeln . Ein gesondertes Thema ist die Notwendigkeit, Roskomnadzor von dem Unternehmen zu benachrichtigen, an das die Daten zur Verarbeitung übermittelt werden, sowie die Verantwortung für deren Schutz. Theoretisch kann ein solches Unternehmen ein spezialisiertes Unternehmen sein, das die Erfüllung der gesetzlichen Anforderungen als Dienstleistung erbringt. Im Allgemeinen kann sie jedoch nicht wissen, was der nächste Kunde von ihr verlangen wird - und bei jedem Vertrag Roskomnadzor vor Beginn der Bearbeitung benachrichtigen ... Die interessanteste Option von 152-FZ besagt dies

    2. Der Betreiber hat das Recht, ohne Benachrichtigung der befugten Stelle zum Schutz der Rechte von Personen personenbezogener Daten personenbezogene Daten zu verarbeiten:
    2) die der Betreiber im Zusammenhang mit dem Abschluss eines Vertrages, an dem die Person personenbezogener Daten beteiligt ist, erhalten hat, sofern personenbezogene Daten nicht weitergegeben werden und auch nicht ohne Einwilligung an Dritte weitergegeben werden des Betroffenen und werden vom Betreiber ausschließlich zur Ausführung des Vertrages und zum Abschluss von Verträgen mit dem Betroffenen verwendet;

    Diese Option ist nur im Falle einer dreigliedrigen Vereinbarung möglich, bei der eine der Parteien Gegenstand personenbezogener Daten ist.

    Jetzt auch beliebt: