Аналитика Публикации

Облачные технологии на сегодняшний день уже не являются чем-то новым и сверхъестественным[1]. Появившаяся в 2006 году концепция cloud computing (облачные вычисления) основательно проникает в самые разные IT-сферы, что сказывается и на изменении подходов к организации и ведению бизнеса. Облачные сервисы и технологии в силу своей гибкости и мобильности, а также отсутствия аналогов в мире стали очень востребованы на рынке. Взять хотя бы рост инвестиций бизнеса в облачную инфраструктуру и услуги, которые по прогнозам экспертов достигнут небывалых размеров к 2019 году – 312 млрд долларов – и будут ежегодно расти на 15%[2].  

В самом общем смысле под облачным сервисом понимается автоматизированный способ предоставления вычислительных мощностей, в том числе программного обеспечения, в режиме удаленного доступа через сеть Интернет по запросу клиента[3]. Облачные сервисы, самые известные из которых сегодня Amazon, Alphabet, Microsoft и IBM SoftLayer, характеризует возможность предоставления универсального доступа к сети, самообслуживание, учет потребления данных, возможность объединения ресурсов. Как справедливо отмечает А.И. Савельев[4], в настоящее время часть существующих организаций использует "облачные" технологии в своей инфраструктуре, а современные цифровые сервисы обычно предоставляются пользователям из "облака". Мобильность, доступность и возможность сокращения издержек на IT-инфраструктуру являются безусловными преимуществами облачных технологий.

В технической, да и в правовой среде, до сих пор нет четкого определения понятия облачного сервиса (англ. cloud service) и облачных вычислений (англ. cloud computing). При этом законопроектом "О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений"[5] планируется ввести понятие "услуги облачных вычислений", под которыми следует понимать "услуги по предоставлению вычислительных мощностей (включая технические средства и права использования программного обеспечения) в целях обработки и хранения информации потребителя услуг с использованием технических средств, взаимодействующих через информационно-телекоммуникационные сети".

Учитывая прогнозы Министерства связи и массовых коммуникаций Российской Федерации (Минкомсвязь) о том, что до 2018 года применение облачных сервисов в корпоративной среде в России станет массовым, особенно в сфере малого и среднего бизнеса[6], а мировой рынок облачных вычислений к 2020 г. может достигнуть 240 млрд долларов, неизбежно возникают вопросы как технического, так и правового характера. Зачастую в облаке хранится или с помощью облачных серверов обрабатывается информация ограниченного доступа, как, например, коммерческая тайна, служебная, врачебная тайна и персональные данные. Персональные данные уже давно называют "новой нефтью" и "новой валютой" в цифровом мире, так как такая информация имеет высокую значимость для компаний и бизнеса в целом. За последнее время к персональным данным приковано внимание не только бизнеса, но и регулятора. Использование cloud-сервисов для обработки информации с ограниченным доступом, включая персональные данные, вызывает много дополнительных вопросов. Так, например, не совсем ясно, какие нормы подлежат применению, если провайдер облачного сервиса зарегистрирован на территории иностранного государства и подлежат ли применению к нему нормы о локализации? Как обеспечивается безопасность данных провайдером облачного сервиса? Как согласно законодательству о персональных данных должен квалифицироваться доступ персонала облачного провайдера к обрабатываемым персональным данным, будет ли это считаться передачей данных или поручением об обработке? Некоторые из упомянутых вопросов будут рассмотрены ниже.

Обработчик персональных данных

Лицо, предоставляющее "облачные" сервисы, по смыслу Закона о персональных данных является обработчиком, хотя на настоящий момент данный термин законодательно не закреплен. Закон о персональных данных в части 3 статьи 6 лишь указывает на лицо, осуществляющее обработку персональных данных по поручению оператора. Отметим, что Государственной Думой Российской Федерации принят в первом чтении проект Федерального закона № 416052-6 "О внесении изменений в Федеральный закон "О персональных данных" и статью 28.3 Кодекса Российской Федерации об административных правонарушениях" (далее – Законопроект). Данный Законопроект, в частности, вводит понятие "обработчика" и определяет его как "лицо, осуществляющее обработку персональных данных по поручению оператора".

От оператора обработчика отличает цель обработки персональных данных. Обработчик осуществляет обработку персональных данных с единственной целью – исполнить условия договора с оператором (и получить от него встречное удовлетворение). Кроме того, обработчик не взаимодействует напрямую с субъектом персональных данных и не получает его согласия на обработку (это прямо закреплено как в текущей редакции части 4 статьи 6 Закона о персональных данных, так и в Законопроекте).

Чтобы привлечь обработчика оператору необходимо дать поручение об обработке, например в рамках договора о предоставлении "облачного" сервиса. В поручении необходимо указать перечень действий (операций) с персональными данными, которые будет совершать обработчик, цели обработки, прописать обязанность по соблюдению обработчиком конфиденциальности и обеспечению безопасности, а также должны быть указаны требования к защите персональных данных.

Важным условием для привлечения обработчика, в том числе провайдера "облачного" сервиса, является наличие согласия субъекта персональных данных. Данное требование указано в части 3 статьи 6 Закона о персональных данных. Требования к форме согласия законодательно не установлены. Часть 1 статьи 9 Закона о персональных данных лишь указывает на то, что согласие субъекта может быть дано в любой форме, позволяющей подтвердить факт его получения. Таким образом, оператор может и в электронной форме получить согласие субъекта, если он при этом сможет подтвердить этот факт.

Ответственность перед субъектом персональных данных всегда несет оператор, а не обработчик. Обработчик же несет ответственность перед оператором.

Применимость требования локализации к облачным сервисам

Согласно части 5 статьи 18 Закона о персональных данных при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Возникает закономерный вопрос, применимо ли требование о локализации баз данных на территории России к провайдерам "облачных" сервисов.

Для ответа на данный вопрос следует обратить внимание на формулировку части 5 статьи 18 Закона о персональных данных. В ней говорится о сборе персональных данных, в том числе в сети "Интернет". Термин "сбор" не определен в Законе о персональных данных. Согласно разъяснениям Министерства связи и массовых коммуникаций Российской Федерации[7] под сбором следует понимать "целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц".

Нет сбора – нет обязанности локализации. Таким образом, провайдер "облачных" сервисов не обязан локализовать свои базы данных, если он не осуществляет сбор персональных данных. Сбор обычно осуществляет оператор. Именно у него возникает обязанность локализовать свои базы данных. Дальнейшая передача "облачному" провайдеру может происходить и на зарубежные серверы.

Договор с провайдером "облачных" сервисов  

Чтобы регламентировать свои отношения с провайдером, необходимо заключить с ним договор. В договоре необходимо указать:

(1)   обязанность провайдера соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;

(2)   перечень действий (операций) с персональными данными, которые будет совершать провайдер;

(3)   цели обработки персональных данных;

(4)   обязанность по соблюдению обработчиком конфиденциальности и обеспечению безопасности;

(5)   требования к защите персональных данных в соответствии со статьей 19 Закона о персональных данных.

В данной статье мы не ставим цель подробно изложить содержание указанных требований к договору. Однако считаем необходимым привести примеры иных положений, которые также рекомендуется предусмотреть в договоре с провайдером.

Помимо обязательных условий, в договоре с провайдером рекомендуется указать следующее:

(1)   порядок действий с персональными данными (передача оператору, уничтожение) при расторжении договора;

(2)   осуществление обработки персональных данных лично провайдером или с привлечением третьих лиц;

(3)   порядок и сроки уведомления оператора о фактах обращения к обработчику субъектов персональных данных, уполномоченных органов с целью проверки надлежащей обработки персональных данных, а также об угрозах безопасности;

(4)   возмещение убытков оператора в случае нарушения провайдером условий обработки персональных данных.

Кроме того, в договоре с провайдером рекомендуется указать, что провайдер не осуществляет сбор персональных данных ввиду требования локализации, рассмотренного выше.

Рекомендации компаниям при использовании облачных технологий

Исходя из вышеизложенного можно дать ряд рекомендаций как обработчикам персональных данных, так и операторам.

Рекомендации обработчикам персональных данных:

- Осуществлять обработку персональных данных только для целей, которые были изначально оговорены и согласованы с пользователем услуг облачных вычислений (cloud customer) или с оператором по соглашению об обработке.

- Убедиться в том, что все требования законодательства о персональных данных выполняются в рамках взаимодействия оператор – обработчик. Конкретные права, обязанности и гарантии могут быть зафиксированы в соглашении об обработке персональных данных, которое рекомендуется к заключению между оператором и обработчиком.

- Рекомендуется выработать четкую схему по эффективному удалению персональных данных из облака по первому требованию субъекта персональных данных, для чего, прежде всего, необходима упорядоченная система хранения данных.

- В случае предоставления облачных услуг в рамках соглашения об обработке в нем важно прописать возможность привлечения для обработки персональных данных и/или их хранения субподрядчиков и иных третьих лиц и согласовать данные условия с субъектом персональных данных или оператором, по поручению которого действует обработчик. Дополнительно при взаимодействии с субподрядчиками следует прописать тот же объем обязательств по договору, что и в соглашении об обработке персональных данных или в любом ином соглашении с провайдером облачных услуг.

Рекомендации операторам персональных данных

- В соглашении с провайдером облачного сервиса детально согласовать требования к защите персональных данных в соответствии со статьей 19 Закона о персональных данных и ответственность провайдера (обработчика) в случае нарушения условий обработки персональных данных.

- В случае первичного сбора персональных данных использовать серверы, находящиеся в России, в целях соблюдения требований о локализации.

- Получение согласия субъекта персональных данных на привлечение обработчика по соглашению об обработке.

- При поручении об обработке персональных данных – прописать обязанность по соблюдению обработчиком конфиденциальности и обеспечению безопасности при обработке персональных данных.

Данные рекомендации позволят максимально эффективно организовать взаимодействие оператора и обработчика персональных данных и учесть интересы субъекта персональных данных при обработке персональных данных с использованием облачных сервисов.

[1] https://blogs.oracle.com/russia/10-2017.

[2] Gartner (2015, August 26) Forecast Analysis: Public Cloud Services, Worldwide, 2Q15 Update.

[3] Согласно разъяснениям Национального института стандартизации и технологий США под облачным сервисом подразумевается информационно-технологическая концепция, с помощью которой обеспечивается сетевой доступ к общему пулу конфигурируемых вычислительных ресурсов. См. подробнее: http://collaborate.nist.gov/twiki-cloud-computing/pub/CloudComputing/CloudSecurity/NIST_Security_Ref....

[4] Савельев А.И. "Правовая природа "облачных" сервисов: свобода договора, авторское право и высокие Технологии"//Вестник гражданского права. 2015. Т. 5. № 5//Доступно СПС "КонсультантПлюс".

[5] http://www.consultant.ru/law/hotdocs/33631.html/.

[6] http://minsvyaz.ru/ru/documents/4084/.

[7] Разъяснения доступны по ссылке: http://minsvyaz.ru/ru/personaldata/#1438546529980 (дата обращения – 31.10.2017).