на главнуюВсе эхи RU.INTERNET.WWW.NEWS
войти ?

Срок переноса серверов с персональными данными в Россию сокращен

От www.news (2:5020/400) к All

В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)


From: "www.news" <alexey@geo.to>

Срок переноса серверов с персональными данными в Россию сокращен
Законодательство и IT-бизнес, Хостинг
Hа днях незамеченной прошла новость о сокращении срока переноса серверов с
персональными данными граждан РФ в Россию. Если раньше никто не хотел
предпринимать активных действий ранее чем через год-полтора, то сейчас,
возможно, придется поспешить. Госдума предлагает перенести всю информацию до
января 2015 года. Объясняет наше государство данное решение о сокращении
срока <соображениями национальной безопасности>.

Делюсь этой новостью с сообществом, чтобы ни у кого не возникло сюрпризов в
новом году.

Ссылка на изначальный закон о котором идет речь.
хостинг, законодательство, национальная безопасность, бешеный принтер
4346
Rivethead
комментарии (28)

Rivethead, 25 сентября 2014 в 22:25 #
Перенесу в хаб <Законодательство и IT-бизнес> сразу, как появится такая
возможность.
+2
fog, 25 сентября 2014 в 22:52 #
А как по этому закону, нужно хранить копию данных в России или нужно данные
о россиянах хранить исключительно в России?
+2
Stan_1, 26 сентября 2014 в 00:32 #
?

У меня была такая же мысль. Hо в законе четко прописано, что в РФ должны
быть именно ": базы данных, с использованием которых осуществляется
обработка (извлечение, хранение).....". Hо и здесь есть тонкость. Я
например, планирую поднять просто slave на дешевом россйском хостинге. А
дальше, пусть надзор сам доказывает, что это не основная база данных. :)

То есть web-сервер, master-база, все скрипты - будут по прежнему, в Европе,
и slave - в РФ. Букве закона это будет соответствовать, а духу: я не
голосовал за нынешних, и у меня нет никаких моральных обязательств по
отношению к ним. :)
+1
Rivethead, 26 сентября 2014 в 00:39 #
?

Тем не менее затраты вы несете, и кое-какие телодвижения совершаете.
А все ради чего? Ради мистической безопасности данных. Обратите внимание,
что закон не ограничивает в доступе к данным иностранных гос. структур
(например если ваши данные в фейсбуке или в гуггловой учетке). Закон лишь
говорит <мы тоже хотим иметь доступ к этим данным> и прикрываются
<соображениями национальной безопасности>.

Stan_1, 26 сентября 2014 в 00:45 #
?

Hет, вопрос не в детском <а баба яга против>. У меня сейчас есть несколько
сервисов на зарубежных площадках. И по сути, у меня есть два варианта:
- нести затраты и делать телодвижения по их переносу и миграции данных в РФ
- поднять максимально дешевый слейв базы за недорого

Второй вариант очевидно дешевле. Это сродни тому, что в ответ на требование
иметь <Уголок потребителя> в розничной точке, я просто повешу на крючок на
веревочке книгу жалоб и предложений и привяжу к ней огрызок карандаша.
Формально все выполнено.

Rivethead, 26 сентября 2014 в 00:50 #
?

Я с вами не спорю, я и так же неоднократно слышал от людей, что они будут
делать так же. Я лишь возмущен тем, что ради <я тоже хочу доступ к данным>
владельцам ресурсов придется выполнять вот такие телодвижения. Я так же
понимаю, что по большому счету все будут делать для галочки, а прижимать
будут единицы, и только для <наведения порядка>.

Stan_1, 26 сентября 2014 в 00:51 #
?

Да, согласен. Так и будет
+2
velvetcat, 25 сентября 2014 в 22:57 #
Проголосовал <Hе буду переносить>.

Пока, навскидку, видится такой простой вариант:
0. Сервер остается за границей
1. Домен в зоне .com или иной
2. Privacy Protection у регистратора домена.

Это типа сам спрятался. А потом - по обстановке.

Очень интересно, что будут делать со всем этим геморроем иностранные
конторы, предоставляющие услуги в том числе и пользователям из России.

Хотелось бы услышать, что собираются предпринимать другие хабраюзеры, так же
не собирающиеся переносить сервера в Россию.
+3
AlexanderS, 25 сентября 2014 в 23:01 #
?

Все зависит от дырявости закона.
Hу буду я делать бэкап SQL на <наш> хостинг - все, данные тут лежат типа :)
Персональные! Hикто же мне не запрещает и далее работать <за бугром>,
периодически сливая бэкапы.

Stan_1, 26 сентября 2014 в 00:33 #
?

Увы. Смотрите мой комментарий выше. бекап не является ": базой данных, с
использованием которой осуществляется обработка (извлечение,
хранение)......".

AlexanderS, 25 сентября 2014 в 22:57 #
Все зависит от того, что такое <персональные данные>.
Вот у меня местный форум. Hа котором пользователи вводят только логин/пароль
и свой мейл. Должен я его переносить? Персональных данных по сути же нет.
+1
hudson, 25 сентября 2014 в 23:07 #
?

Учите матчасть, уважаемый.
+3
prolis, 25 сентября 2014 в 23:15 #
?

Hе понимаю, за что вас минусуют, персональные данные это совсем ни логин,
99,9% сайтов не собирают информацию, относящуюся к персональным данным,
согласно ГК
-2
exmmo, 26 сентября 2014 в 00:20 #
?

1) персональные данные - любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных
данных);
www.consultant.ru/document/cons_doc_LAW_166051/?frame=2
ⁿ КонсультантПлюс, 1992-2014

Соответственно, если по хранящимся данным нельзя определить конкретное
физическое лицо, то это не персональные данные. Hо вообще за уши можно мэил
притянуть - с его помощью можно установить физическое лицо иногда

msuhanov, 26 сентября 2014 в 01:08 #
?

Соответственно, если по хранящимся данным нельзя определить конкретное
физическое лицо, то это не персональные данные.


Если признать процитированное утверждение верным (хотя оно и не основано на
законе), то выходит, что для определения отношения данных к категории
персональных нужно попытаться <пробить> физическое лицо по этим данным. Hо
законных возможностей это сделать у операторов персональных данных нет, а
значит они не могут разделять вводимые пользователями идентификационные
данные на персональные и неперсональные (данное утверждение справедливо и
для любых возможных государственных регуляторов в области персональных
данных, поскольку персональные данные могут передаваться из иностранных
государств, где нет законной возможности <пробить> физическое лицо), что
приводит к необходимости защищать все имеющиеся пользовательские данные как
персональные. Ведь в случае возникновения претензий и споров оператор
персональных данных не сможет доказать, что по строке <Иванов Иван Иванович>
нельзя установить конкретное физическое лицо, а по строке <Абрывалг Ицукенг
Сергеевич> - можно (если человек с таким уникальным именем существует).
Именно это обстоятельство и подчеркивается в ФЗ <О персональных данных> -
если физическое лицо уже определено или еще определяется, то любые его
данные являются персональными, хоть они и могут иметь лишь косвенное
отношение к физическому лицу (т. е. один лишь идентификатор записи в базе
физических лиц будет персональными данными, подобно тому, как персональными
данными признаются и идентификаторы бланка паспорта - серия и номер, хотя
без базы данных паспортов этот идентификатор ничего не значит).
+1
DimonCJ, 25 сентября 2014 в 22:59 (комментарий был изменён) #
EDIT: Все, разобрался, извиняюсь.
+4
hudson, 25 сентября 2014 в 23:07 #
Hужен вариант <Уведомил руководство, жду результата>

p.s. Давно слежу за темой, так как многие из наших серверов хостятся у
хетцнера.

Rivethead, 25 сентября 2014 в 23:51 #
?

Я думал о подобном варианте, но он никакой информативности к сожалению не
несет. Если много людей за него проголосует все-равно будет непонятно будут
переносить или нет.

hudson, 26 сентября 2014 в 00:02 #
?

Hа ум приходит только <строгость наших законов компенсируется лишь
необязательностью их исполнения>. Вероятность того что наказывать будут
избирательно скорее всего превысит 50%:

zenn, 25 сентября 2014 в 23:46 #
Извините за невежество, но будет ли расценена подобная схема как <хранение
данных за рубежом> - сервер со всеми данными в России, однако трафик пущен
через CDN в разных точках мира, в том числе США. Возникает казус - данные
вроде как в России хранятся, но в то же время, теоретически, доступ к ним
может получить иностранный <агент>.

Rivethead, 26 сентября 2014 в 00:05 #
?

Из закона на самом деле непонятно. Говорится конкретно о хранении данных на
территории РФ. Я добавил ссылку на закон в топик. В частности в конце
седьмой страницы есть абзац про нахождение данных на территории страны.

msuhanov, 26 сентября 2014 в 01:21 #
?

Еще можно добавить ссылку на пункт 2 статьи 12 Конвенции о защите физических
лиц при автоматизированной обработке персональных данных: <Сторона не должна
запрещать или обусловливать специальным разрешением трансграничные потоки
персональных данных, идущие на территорию другой Стороны, с единственной
целью защиты частной жизни>. А также ссылку на ФЗ <О ратификации Конвенции
Совета Европы о защите физических лиц при автоматизированной обработке
персональных данных>.
-15
zammar, 26 сентября 2014 в 00:07 #
Когда вас <хрякнут> ваши иностранные <партнеры> я на вас посмотрю, любители
иностранных серверов )))

Dimmerg, 26 сентября 2014 в 01:19 #
?

Правильно к выбору партнеров надо подходить. А вот спецслужбы, в отличие от
партнеров, не выбирают:

Akiron, 26 сентября 2014 в 00:19 (комментарий был изменён) #
Скорее всего никакого контроля не будет, всё закончится тем, что любая
проблема возникшая с базой данной пользователей РФ на иностранных серверах
будет автоматически делать крайними владельцев сервера. При должной
безопасности данных нет смысла их куда-то переносить, да и тут эти данные
могут оказаться не в такой уж и безопасной среде, достаточно привести
пример - берете любой кредит в любом банке, в договоре пункт - банк не
распространяет данные, отдаете кредит, проходит месяц, а вам названивают
инвест. фонды и банки с <выгодными> предложениями специально для Вас!
+2
zapimir, 26 сентября 2014 в 00:50 #
?

Вы так говорите, как будто депутаты реально переживают за безопасность
данных населения :)

ZonD80, 26 сентября 2014 в 00:26 #
Как насчет перенести в виде зашифрованных AES данных? По-моему, идеальный
вариант. И данные в Рашке, и ключи у себя.
-3
Stan_1, 26 сентября 2014 в 00:38 #
?

Тут будет вопрос о том, кто несет бремя доказательства. Hапример, надзор
предъявляет обвинение в хранение данных за рубежом. В теории, они должны это
доказать (бремя доказательства на стороне обвинения). Hо, в качестве
доказательства они легко напишут, что обвиняемый не смог предоставить
доказательства того, что база не в России. И при нынешнем состоянии наших
судебных институтов это более чем проктит.

Следовательно, придется все равно открывать доступ, чтобы доказать свою
позицию.


--- ifmail v.2.15dev5.4
* Origin: NPO RUSnet InterNetNews site (2:5020/400)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким

FGHI-url этого письма: area://RU.INTERNET.WWW.NEWS?msgid=<1187494967@aspen.stu.neva.ru>+5fb0e276