Последние несколько лет стали своеобразным вызовом для российских компаний, пользующихся зарубежными сервисами. Когда вступил в силу 242-ФЗ с изменениями к Закону о персональных данных, многим пришлось выбирать: продолжать использовать привычные продукты или искать отечественные альтернативы. В аналогичной ситуации оказались клиенты европейской SaaS -платформы ServiceNow. Разбираемся, могут ли они и дальше с ней работать, не нарушая закон.
Как сейчас обстоят дела с защитой персональных данных в России?
Федеральный закон № 152 «О персональных данных», принятый в 2006 году, долгое время не причинял неудобств компаниям, которые эти данные хранят и обрабатывают (их называют операторами персональных данных). Но в 2014-м произошло кое-что важное: 21 июля вступил в силу 242-ФЗ, который внес изменения в три федеральных закона: 152-ФЗ, 149-ФЗ и 294-ФЗ.
Что это значило для операторов персональных данных:
- Данные граждан РФ должны записываться, накапливаться, храниться, уточняться и обрабатываться в базах данных, расположенных на территории РФ.
Если оператор персональных данных нарушает законодательство об их хранении, Роскомнадзор блокирует доступ к интернет-ресурсу этого оператора.
Как российским компаниям законно работать с ServiceNow?
Российским компаниям нужно выполнить ряд требований при использовании ServiceNow.
- Собирать, вносить и актуализировать (уточнять и обновлять) персональные данные граждан РФ в базы данных на территории Российской Федерации – это будут так называемые первичные базы данных. Сайты, обращающиеся к ним, можно размещать и на российском, и на зарубежном хостинге.
- Соблюдать Закон «О персональных данных» (статья 12) и не обрабатывать их в ServiceNow запрещенными способами.
- Обеспечить дополнительные меры по фиксации персональных данных на территории РФ перед их обработкой в зарубежных информационных системах.
- Если персональные данные ранее были локализованы в соответствии с 242-ФЗ, компания имеет право передавать их на обработку в иностранные информационные системы. Повторно локализовать такие данные не нужно.
Что нельзя делать: собирать, записывать, систематизировать, накапливать, хранить, уточнять, обновлять, изменять и извлекать данные.
К разрешенным способам обработки, для которых не требуется размещать базы данных в РФ, относятся: использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление и уничтожение данных.
Законодательство обязывает операторов получать согласие граждан РФ на трансграничную передачу их персональных данных. Но это правило не распространяется на страны, которые обеспечивают адекватную защиту персональных данных. В их число как раз попадают Нидерланды, Великобритания и Швейцария, где расположены вычислительные мощности ServiceNow. Ранее эти государства подписали Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных ETS № 108.
Может ли ServiceNow технически выполнить требования закона?
Да, и для этого есть несколько возможностей.
- Для соблюдения действующих законов достаточно, чтобы источник персональных данных находился в России. При этом те же данные могут параллельно храниться на территории другой страны. Например, если компания использует ServiceNow, она может выгружать в европейское облако персональные данные своих сотрудников, используя любой сервис, серверы которого расположены в РФ — и это будет законно. Незаконно вносить те же данные вручную, напрямую в ServiceNow.
- Зашифрованные данные (в том числе персональные) можно хранить где угодно и передавать куда угодно: немногие клиенты ServiceNow знают об этой возможности и пользуются ею на практике. Для этой задачи подходит собственный модуль платформы Edge Encryption — он шифрует данные в месте сбора, и только потом, уже в зашифрованном виде отправляет их в европейское облако ServiceNow.
Вывод по использованию ServiceNow в России
Мы проанализировали последние изменения в законодательстве РФ о персональных данных, информационных системах и защите информации и убедились, что ваша компания может начать работу с SaaS-платформой ServiceNow, не нарушая закон.
Российские компании могут собирать первичные данные и записывать их в базы данных, размещенные на территории РФ, а затем использовать эти данные в информационных системах за пределами государства. Чтобы не выходить за рамки правового поля, компании достаточно выполнить требования федеральных законов 242-ФЗ и 152-ФЗ, которые мы рассмотрели в этой статье.