У подавляющего числа компаний в России имеется потребность в обработке персональных данных, которые включают в себя огромный кластер (информацию о сотрудниках, клиентах, контрагентах), с использованием таких систем, как ERP, CRM, бухгалтерские, коммуникационные (например, адресные книги) и т. п. Как известно, персональными считаются данные, которые позволяют однозначно определить физическое лицо и получить какую-либо с ним связанную информацию. Соответственно, их защита, обработка и хранение — одни из первоочередных задач компании. В России данные активности регулируются соответствующими законами.

Законы о персональных данных

Начнем с Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Закон регулирует права субъекта персональных данных и обязанности оператора, обрабатывающего персональные данные. Также в подзаконных актах установлены уровни защищенности (УЗ) и разновидности правил по защите разных типов УЗ — 1, 2, 3, 4. Соответственно, при УЗ 1 необходимы особые организационно-технические мероприятия и сертифицированные средства защиты. При УЗ 4, самом низком уровне, требования значительно ниже. Согласно статистике, большинству организаций требуются именно УЗ 3 и 4.

Как показывает практика, многие компании в рамках данного закона столкнулись с рядом проблем и затруднений. Во-первых, зачастую специалисты организации самостоятельно не могут выбрать подходящий им УЗ. Во-вторых, систему защиты необходимо своевременно обновлять и поддерживать в актуальном состоянии. В-третьих, изменения законодательства, информационных сервисов и инфраструктуры для обработки персональных данных в целом требуют от организации актуализации систем защиты. Последние два пункта, конечно же, требуют существенных затрат на реализацию.

Теперь перейдем к Федеральному закону от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», который оказал наибольшее влияние на рынок ИТ-услуг. Согласно этому закону, с 1 сентября 2015 г. все сервисы, размещенные за пределами нашей страны, в которых используются персональные данные граждан РФ, должны адаптировать свою работу таким образом, чтобы запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации осуществлялось с использованием баз данных, находящихся на территории Российской Федерации. Это в первую очередь касается провайдеров, хостингов, зарубежных ЦОДов, облачных сервисов, а также онлайн-сервисов, таких как CRM, системы и платформы для информационных ресурсов и торговли, социальные сети, интернет-магазины и пр.

В последнее время ощутимо усиливается контроль за соблюдением требований законов по защите персональных данных. И это касается всех компаний, независимо от их величины. Возьмем, к примеру, недавний скандал с закрытием бизнес-платформы LinkedIn. Роскомнадзор потребовал закрыть сеть, т. к. ее владельцы до сих пор не перенесли свои серверы в Россию, а она собирает и хранит информацию о пользователях без их на то согласия.

Адаптация рынка ИТ-услуг к законодательству, плюсы и минусы закона

Для многих операторов год действия закона вылился в дополнительные вложения в миграцию ИТ-сервисов, обрабатывающих персональные данные, на территорию РФ. Для кого-то это оказалось не сложной и не дорогостоящей задачей, от других же это потребовало крупных затрат — к примеру, для компаний, вложивших большие деньги в создание центров обработки данных за границей.

На сервис-провайдерах, в первую очередь, облачных, год действия закона сказался положительно — даже заметен рост спроса на их услуги. Актуальность темы защиты персональных данных подтолкнула провайдеров к более пристальному вниманию к вопросам информационной безопасности в целом, а не только в разрезе защиты персональных данных. При этом многие компании не остановились на достигнутом и стали добавлять в свои пакеты услуг как выполнение требований по защите персональных данных, так и реализацию требований других законов и стандартов, в том числе и международных.

И как показывает практика, сервисная и арендная модели ИТ позволяют существенно экономить при реализации требований законодательства по защите персональных данных. Для сравнения, внедрение сервиса в офисе стоит от 1 млн. руб., а в облаке — от 10 тыс. руб. в месяц, или от 120 тыс. руб. в год. Таким образом, максимальный экономический эффект удается получить при использовании облачных сервисов, которые позволяют снизить расходы на защиту персональных данных более чем в 10 раз.

Автор статьи — директор по работе с партнерами компании «Облакотека».