Хранение персональных данных в облаке
Подборка наиболее важных документов по запросу Хранение персональных данных в облаке (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Статьи, комментарии, ответы на вопросы
Статья: Договорное регулирование облачных услуг
(Суслова С.А.)
("Право и бизнес", 2025, N 1)Вопрос обеспечения безопасности персональных данных пользователей посредством использования облачных технологий также остается открытым. Согласно Федеральному закону от 27 июля 2006 г. N 152 "О персональных данных" <11> (далее - Федеральный закон N 152) компаниям не запрещается хранить персональные данные в облаке, но, как установлено в п. 5 ст. 18 упомянутого Закона, дата-центр (помещение, в котором расположены серверы компании) выбранного облачного провайдера должен обязательно находиться на территории России <12>. Представляется, что сам облачный провайдер может быть привлечен к ответственности за утечку персональных данных клиентов, если только не докажет, что не имел доступа к информационным системам, размещенным в облаке и по смыслу Федерального закона N 152 "О персональных данных" не является оператором персональных данных.
(Суслова С.А.)
("Право и бизнес", 2025, N 1)Вопрос обеспечения безопасности персональных данных пользователей посредством использования облачных технологий также остается открытым. Согласно Федеральному закону от 27 июля 2006 г. N 152 "О персональных данных" <11> (далее - Федеральный закон N 152) компаниям не запрещается хранить персональные данные в облаке, но, как установлено в п. 5 ст. 18 упомянутого Закона, дата-центр (помещение, в котором расположены серверы компании) выбранного облачного провайдера должен обязательно находиться на территории России <12>. Представляется, что сам облачный провайдер может быть привлечен к ответственности за утечку персональных данных клиентов, если только не докажет, что не имел доступа к информационным системам, размещенным в облаке и по смыслу Федерального закона N 152 "О персональных данных" не является оператором персональных данных.
Статья: Цифровизация корпоративного права: современные тенденции
(Олейник Е.В.)
("Гражданское право", 2023, N 4)Вопрос перехода корпорации на электронный документооборот является актуальным на сегодняшний день, который позволит упростить передачу и учет документов, снизить вероятность ошибок. Важно отметить, что каждая организация по своему усмотрению должна рассматривать вопрос о целесообразности и эффективности перехода на электронный документооборот. При положительном решении нужно: разработать план и систему авторизации корпорации; разработать и принять соответствующие внутренние документы; привлечь соответствующих специалистов и обучить сотрудников; систематизировать вопросы внутреннего и внешнего (с третьими лицами, государственными органами и др.) документооборота и создать технические условия для взаимодействия; сформировать электронное облако для хранения рабочих документов и архива неиспользуемых документов; разработать требования к доступу к информации, определить ответственных лиц; разработать средства защиты персональных данных; серьезно отнестись к вопросам цифровой безопасности. Правила электронного документооборота корпорации регулируются действующим законодательством <14>, локальными нормативными актами; между контрагентами возможно согласовать формы электронного взаимодействия, например, через электронную почту или через оператора документооборота (ОЭД).
(Олейник Е.В.)
("Гражданское право", 2023, N 4)Вопрос перехода корпорации на электронный документооборот является актуальным на сегодняшний день, который позволит упростить передачу и учет документов, снизить вероятность ошибок. Важно отметить, что каждая организация по своему усмотрению должна рассматривать вопрос о целесообразности и эффективности перехода на электронный документооборот. При положительном решении нужно: разработать план и систему авторизации корпорации; разработать и принять соответствующие внутренние документы; привлечь соответствующих специалистов и обучить сотрудников; систематизировать вопросы внутреннего и внешнего (с третьими лицами, государственными органами и др.) документооборота и создать технические условия для взаимодействия; сформировать электронное облако для хранения рабочих документов и архива неиспользуемых документов; разработать требования к доступу к информации, определить ответственных лиц; разработать средства защиты персональных данных; серьезно отнестись к вопросам цифровой безопасности. Правила электронного документооборота корпорации регулируются действующим законодательством <14>, локальными нормативными актами; между контрагентами возможно согласовать формы электронного взаимодействия, например, через электронную почту или через оператора документооборота (ОЭД).
Нормативные акты
"ГОСТ Р ИСО/МЭК 27018-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Свод правил по защите персональных данных (ПДн) в публичных облаках, используемых для их обработки"
(утв. и введен в действие Приказом Росстандарта от 10.11.2020 N 1042-ст)Рекомендации по реализации мер защиты персональных данных в публичных облаках
(утв. и введен в действие Приказом Росстандарта от 10.11.2020 N 1042-ст)Рекомендации по реализации мер защиты персональных данных в публичных облаках
"ПНСТ 794-2022. Предварительный национальный стандарт Российской Федерации. Информационные технологии. Интернет вещей. Периферийные вычисления"
(утв. и введен в действие Приказом Росстандарта от 17.11.2022 N 111-пнст)Система периферийных вычислений должна ограничивать продолжительность хранения персональных данных и при возможности обеспечивать анонимность или минимизацию данных. Например, в периферийных вычислениях личные данные потребителей могут храниться в сущностях периферийных вычислений, а в общедоступном облаке - только неконфиденциальные данные. При управлении рисками безопасности и приватности устройств, подключенных к системе, необходимо достигать компромиссов, поскольку управление некоторыми рисками может повлиять на другие типы рисков и привести к появлению новых.
(утв. и введен в действие Приказом Росстандарта от 17.11.2022 N 111-пнст)Система периферийных вычислений должна ограничивать продолжительность хранения персональных данных и при возможности обеспечивать анонимность или минимизацию данных. Например, в периферийных вычислениях личные данные потребителей могут храниться в сущностях периферийных вычислений, а в общедоступном облаке - только неконфиденциальные данные. При управлении рисками безопасности и приватности устройств, подключенных к системе, необходимо достигать компромиссов, поскольку управление некоторыми рисками может повлиять на другие типы рисков и привести к появлению новых.
"Глобальный атлас регулирования искусственного интеллекта. Вектор БРИКС"
(3-е издание, переработанное и дополненное)
(под ред. А.В. Незнамова)
(Подготовлен для системы КонсультантПлюс, 2024)Саудовская Аравия активно работает в направлении развития ИИ и создания крупных центров по данным. Королевство уже внедрило уникальную инфраструктуру данных с централизованной экосистемой ресурсов для поддержки государственных учреждений в успешном завершении их инициатив в области ИИ, включая Национальный банк данных (National Data Bank [261]) (площадка для обмена данными), G-Cloud (государственное облако для хранения данных) и общегосударственную платформу аналитики и ИИ [262].
(3-е издание, переработанное и дополненное)
(под ред. А.В. Незнамова)
(Подготовлен для системы КонсультантПлюс, 2024)Саудовская Аравия активно работает в направлении развития ИИ и создания крупных центров по данным. Королевство уже внедрило уникальную инфраструктуру данных с централизованной экосистемой ресурсов для поддержки государственных учреждений в успешном завершении их инициатив в области ИИ, включая Национальный банк данных (National Data Bank [261]) (площадка для обмена данными), G-Cloud (государственное облако для хранения данных) и общегосударственную платформу аналитики и ИИ [262].
Статья: Пути оптимизации документирования инспекционных процедур автотранспортного автодорожного надзора и контроля международных перевозок
(Гатилов Э.В., Егорова Е.А.)
("Делопроизводство", 2022, N 4)- интегрированность (в частности, доступ к личным данным подконтрольных субъектов, к реестру контрольно-надзорных мероприятий);
(Гатилов Э.В., Егорова Е.А.)
("Делопроизводство", 2022, N 4)- интегрированность (в частности, доступ к личным данным подконтрольных субъектов, к реестру контрольно-надзорных мероприятий);
Статья: Облачные технологии: правовой аспект
(Карцхия А.А.)
("Российский юридический журнал", 2018, N 6)Стремительное развитие технологий способствует появлению и новых договорных конструкций. Так, новым договором на предоставление облачных сервисов (услуг) в последние годы стал SLA (Service Level Agreement). Ввиду специфики регулируемых данными договорами отношений, включающих как частноправовые (договорные) отношения, так и публичные (безопасность, обработка персональных данных), SLA выделены в отдельную группу сервисных договоров. Предмет SLA предусматривает подключение клиента к приложению поставщика (провайдера) облачных сервисов, а облачный провайдер принимает на себя обязательства по управлению системой, мониторингу трафика и потребностей клиентов, хранению и обработке информации в "облаке".
(Карцхия А.А.)
("Российский юридический журнал", 2018, N 6)Стремительное развитие технологий способствует появлению и новых договорных конструкций. Так, новым договором на предоставление облачных сервисов (услуг) в последние годы стал SLA (Service Level Agreement). Ввиду специфики регулируемых данными договорами отношений, включающих как частноправовые (договорные) отношения, так и публичные (безопасность, обработка персональных данных), SLA выделены в отдельную группу сервисных договоров. Предмет SLA предусматривает подключение клиента к приложению поставщика (провайдера) облачных сервисов, а облачный провайдер принимает на себя обязательства по управлению системой, мониторингу трафика и потребностей клиентов, хранению и обработке информации в "облаке".
"Научно-практический постатейный комментарий к Федеральному закону "О персональных данных"
(2-е издание, переработанное и дополненное)
(Савельев А.И.)
("Статут", 2021)<2> См.: Обработка и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года. URL: https://digital.gov.ru/ru/personaldata/.
(2-е издание, переработанное и дополненное)
(Савельев А.И.)
("Статут", 2021)<2> См.: Обработка и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года. URL: https://digital.gov.ru/ru/personaldata/.
Статья: Цифровое преобразование банковской и платежной систем России
(Тарасенко О.А.)
("Предпринимательское право", 2019, N 3)Несмотря на то что некоторые банки уже активно внедряют эту технологию, тем не менее предполагаются также и нормативные последствия принятия облачных решений, поскольку регуляторы всего мира обеспокоены несколькими ключевыми вопросами. Среди них: вопрос обеспечения непрерывности обслуживания клиентов перед лицом сбоев в облаке; вопросы хранения личных данных и их защиты; вопросы зависимости облачных хранилищ от сторонних поставщиков и безопасности облачной инфраструктуры.
(Тарасенко О.А.)
("Предпринимательское право", 2019, N 3)Несмотря на то что некоторые банки уже активно внедряют эту технологию, тем не менее предполагаются также и нормативные последствия принятия облачных решений, поскольку регуляторы всего мира обеспокоены несколькими ключевыми вопросами. Среди них: вопрос обеспечения непрерывности обслуживания клиентов перед лицом сбоев в облаке; вопросы хранения личных данных и их защиты; вопросы зависимости облачных хранилищ от сторонних поставщиков и безопасности облачной инфраструктуры.
Статья: Не так страшно облако, "как его малюют"
(Ференец В.)
("Банковское обозрение", 2017, N 7)В качестве второго вывода можно привести обращенные уже к отечественным бизнесменам слова Юрия Толстых, директора по работе с партнерами Oracle СНГ, который в статье для CNews "Oracle Cloud Machine: Публичное облако в ЦОД заказчика" выразил уверенность, что "российский бизнес наконец оставил позади предрассудки, связанные с облачными сервисами. Но на пути развития публичных облаков встало новое препятствие - законодательные требования, ограничивающие передачу и хранение персональных данных россиян собственными ЦОД операторов ПДн. Что делать продвинутым компаниям, которые хотят использовать все преимущества облаков? Выход нашла компания Oracle, предложив "встраивать" свое публичное облако внутрь периметра безопасности заказчика".
(Ференец В.)
("Банковское обозрение", 2017, N 7)В качестве второго вывода можно привести обращенные уже к отечественным бизнесменам слова Юрия Толстых, директора по работе с партнерами Oracle СНГ, который в статье для CNews "Oracle Cloud Machine: Публичное облако в ЦОД заказчика" выразил уверенность, что "российский бизнес наконец оставил позади предрассудки, связанные с облачными сервисами. Но на пути развития публичных облаков встало новое препятствие - законодательные требования, ограничивающие передачу и хранение персональных данных россиян собственными ЦОД операторов ПДн. Что делать продвинутым компаниям, которые хотят использовать все преимущества облаков? Выход нашла компания Oracle, предложив "встраивать" свое публичное облако внутрь периметра безопасности заказчика".
Статья: Инновационные технологии в бухгалтерском учете
(Филин С.А., Чайковская Л.А., Сатымбекова К.Б.)
("Международный бухгалтерский учет", 2019, N 4; "Бухгалтерский учет в бюджетных и некоммерческих организациях", 2022, N 20)2) относительно высокие безопасность, сохранность информации и отказоустойчивость. Копии данных автоматически распределяются по нескольким серверам, поэтому при возникновении любых проблем с компьютером вся информация сохраняется. При подключении через Интернет для шифрования канала связи используется защищенный протокол "https". Хранящиеся на серверах данные зашифровываются криптостойкими алгоритмами; в журнале действий пользователей, удаление записей из которого невозможно и который можно просматривать в режиме онлайн, ведется контроль за совершаемыми операциями <3>. Законы об охране информационных данных в Европейском союзе [4] предполагают хранение персональных данных только на территории стран, с которыми подписаны соответствующие соглашения, при этом часть провайдеров "облаков" в контрактах заранее оговаривают, где личные данные будут размещены;
(Филин С.А., Чайковская Л.А., Сатымбекова К.Б.)
("Международный бухгалтерский учет", 2019, N 4; "Бухгалтерский учет в бюджетных и некоммерческих организациях", 2022, N 20)2) относительно высокие безопасность, сохранность информации и отказоустойчивость. Копии данных автоматически распределяются по нескольким серверам, поэтому при возникновении любых проблем с компьютером вся информация сохраняется. При подключении через Интернет для шифрования канала связи используется защищенный протокол "https". Хранящиеся на серверах данные зашифровываются криптостойкими алгоритмами; в журнале действий пользователей, удаление записей из которого невозможно и который можно просматривать в режиме онлайн, ведется контроль за совершаемыми операциями <3>. Законы об охране информационных данных в Европейском союзе [4] предполагают хранение персональных данных только на территории стран, с которыми подписаны соответствующие соглашения, при этом часть провайдеров "облаков" в контрактах заранее оговаривают, где личные данные будут размещены;
Статья: Юридические проблемы использования российскими банками облачных услуг зарубежных провайдеров
(Канашевский В.А.)
("Lex russica", 2019, N 3)Перед принятием решения об использовании зарубежных облачных решений российским финансовым организациям необходимо выделить "чувствительную" (конфиденциальную) информацию, которая может быть передана в зарубежное облако только при соблюдения определенных условий. Примерный список такой чувствительной (конфиденциальной) информации включает финансовую информацию, информацию о технической и информационной безопасности, внутренние корпоративные документы, банковскую тайну, персональные данные, информацию о кредитной истории, налоговую информацию, тайну страхования и тайну ломбарда, а также иную информацию, признанную финансовой организацией в качестве "конфиденциальной" <16>. При хранении и обработке чувствительной (конфиденциальной) информации облачный провайдер должен принять определенные меры по защите переданной ему информации, которые (методы) описываются в ряде нормативных актов <17>.
(Канашевский В.А.)
("Lex russica", 2019, N 3)Перед принятием решения об использовании зарубежных облачных решений российским финансовым организациям необходимо выделить "чувствительную" (конфиденциальную) информацию, которая может быть передана в зарубежное облако только при соблюдения определенных условий. Примерный список такой чувствительной (конфиденциальной) информации включает финансовую информацию, информацию о технической и информационной безопасности, внутренние корпоративные документы, банковскую тайну, персональные данные, информацию о кредитной истории, налоговую информацию, тайну страхования и тайну ломбарда, а также иную информацию, признанную финансовой организацией в качестве "конфиденциальной" <16>. При хранении и обработке чувствительной (конфиденциальной) информации облачный провайдер должен принять определенные меры по защите переданной ему информации, которые (методы) описываются в ряде нормативных актов <17>.
Статья: "Судебное облако": правовые вопросы структурирования и защиты данных
(Лаптев В.А., Соловяненко Н.И.)
("Актуальные проблемы российского права", 2019, N 6)В данном вопросе эффективным будет применение искусственного интеллекта. Полагаем, что ограничения для судей по доступу к какой-либо цифровой информации, в том числе к персональным данным, недопустимы. Судьи во всех случаях не вправе разглашать информацию, полученную при исполнении своих обязанностей (п. 6 ст. 11 Кодекса судейской этики, утвержденного VIII Всероссийским съездом судей 19 декабря 2012 г. <24>). Исключение могут составлять судебные акты и документы в электронном виде, содержащие сведения государственной тайны, допуск судей к которым устанавливается в особом порядке. При предоставлении доступа к судебному облаку иным резидентам (например, сотрудникам аппарата суда), искусственному интеллекту следует формировать вариативные (по содержанию) электронные виды документов. Например, судьям предоставляется доступ к полному тексту документов в облаке, а сотрудникам аппарата суда - к усеченному, без персональных данных. Такой подход гарантировал бы защиту персональных данных, в том числе от случайного разглашения охраняемых законом сведений.
(Лаптев В.А., Соловяненко Н.И.)
("Актуальные проблемы российского права", 2019, N 6)В данном вопросе эффективным будет применение искусственного интеллекта. Полагаем, что ограничения для судей по доступу к какой-либо цифровой информации, в том числе к персональным данным, недопустимы. Судьи во всех случаях не вправе разглашать информацию, полученную при исполнении своих обязанностей (п. 6 ст. 11 Кодекса судейской этики, утвержденного VIII Всероссийским съездом судей 19 декабря 2012 г. <24>). Исключение могут составлять судебные акты и документы в электронном виде, содержащие сведения государственной тайны, допуск судей к которым устанавливается в особом порядке. При предоставлении доступа к судебному облаку иным резидентам (например, сотрудникам аппарата суда), искусственному интеллекту следует формировать вариативные (по содержанию) электронные виды документов. Например, судьям предоставляется доступ к полному тексту документов в облаке, а сотрудникам аппарата суда - к усеченному, без персональных данных. Такой подход гарантировал бы защиту персональных данных, в том числе от случайного разглашения охраняемых законом сведений.