EN

Российские компании и европейское облако ServiceNow

Последние несколько лет стали своеобразным вызовом для российских компаний, пользующихся зарубежными сервисами. Когда вступил в силу 242-ФЗ с изменениями к Закону о персональных данных, многим пришлось выбирать: продолжать использовать привычные продукты или искать отечественные альтернативы. В аналогичной ситуации оказались клиенты европейской SaaS -платформы ServiceNow. Разбираемся, могут ли они и дальше с ней работать, не нарушая закон.

 Как сейчас обстоят дела с защитой персональных данных в России?

Федеральный закон № 152 «О персональных данных», принятый в 2006 году, долгое время не причинял неудобств компаниям, которые эти данные хранят и обрабатывают (их называют операторами персональных данных). Но в 2014-м произошло кое-что важное: 21 июля вступил в силу 242-ФЗ, который внес изменения в три федеральных закона: 152-ФЗ, 149-ФЗ и 294-ФЗ

Что это значило для операторов персональных данных:  

  • Данные граждан РФ должны записываться, накапливаться, храниться, уточняться и обрабатываться в базах данных, расположенных на территории РФ.

Если оператор персональных данных нарушает законодательство об их хранении, Роскомнадзор блокирует доступ к интернет-ресурсу этого оператора.

Как российским компаниям законно работать с ServiceNow?

Российским компаниям нужно выполнить  ряд требований при использовании ServiceNow. 

  1. Собирать, вносить и актуализировать (уточнять и обновлять) персональные данные граждан РФ в базы данных на территории Российской Федерации – это будут так называемые первичные базы данных. Сайты, обращающиеся к ним, можно размещать и на российском, и на зарубежном хостинге. 
  2. Соблюдать Закон «О персональных данных» (статья 12) и не обрабатывать их в ServiceNow запрещенными способами. 
  3. Обеспечить дополнительные меры по фиксации персональных данных на территории РФ перед их обработкой в зарубежных информационных системах. 
  4. Если персональные данные ранее были локализованы в соответствии с 242-ФЗ, компания имеет право передавать их на обработку в иностранные информационные системы. Повторно локализовать такие данные не нужно. 

Что нельзя делать: собирать, записывать, систематизировать, накапливать, хранить, уточнять, обновлять, изменять и извлекать данные. 

К разрешенным способам обработки, для которых не требуется размещать базы данных в РФ, относятся: использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление и уничтожение данных.

Законодательство обязывает операторов получать согласие граждан РФ на трансграничную передачу их персональных данных. Но это правило не распространяется на страны, которые обеспечивают адекватную защиту персональных данных. В их число как раз попадают Нидерланды, Великобритания и Швейцария, где расположены вычислительные мощности ServiceNow. Ранее эти государства подписали Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных ETS № 108.

Внедрение ServiceNow

Может ли ServiceNow технически выполнить требования закона?  

Да, и для этого есть несколько возможностей.

  1.   Для соблюдения действующих законов достаточно, чтобы источник персональных данных находился в России. При этом те же данные могут параллельно храниться на территории другой страны. Например, если компания использует ServiceNow, она может выгружать в европейское облако персональные данные своих сотрудников, используя любой сервис, серверы которого расположены в РФ — и это будет законно. Незаконно вносить те же данные вручную, напрямую в ServiceNow.
  2.   Зашифрованные данные (в том числе персональные) можно хранить где угодно и передавать куда угодно: немногие клиенты ServiceNow знают об этой возможности и пользуются ею на практике. Для этой задачи подходит собственный модуль платформы Edge Encryption — он шифрует данные в месте сбора, и только потом, уже в зашифрованном виде отправляет их в европейское облако ServiceNow. 

Вывод по использованию ServiceNow в России

Мы проанализировали последние изменения в законодательстве РФ о персональных данных, информационных системах и защите информации и убедились, что ваша компания может начать работу с SaaS-платформой ServiceNow, не нарушая закон. 

Российские компании могут собирать первичные данные и записывать их в базы данных, размещенные на территории РФ, а затем использовать эти данные в информационных системах за пределами государства. Чтобы не выходить за рамки правового поля, компании достаточно выполнить требования федеральных законов 242-ФЗ и 152-ФЗ, которые мы рассмотрели в этой статье.

Оставайтесь в курсе событий

Подписывайтесь на рассылку новых материалов блога по почте

Нажимая на кнопку «Отправить», Вы соглашаетесь с условиями «Политики конфиденциальности»
Cookie.
Мы используем файлы cookie для оптимизации скорости и содержания сайта, персонализации сервисов и удобства пользователей.