Сегодня говорим о том, что делать компаниям, у которых имеются свои мобильные приложения, и как быть разработчикам мобильных приложений и агентствам, поддерживающим их?
Почти год назад, 1 сентября 2015 года, вступил в силу Федеральный закон № 242-ФЗ, который в народе прозвали «Законом о локализации персональных данных».
Одним из важных нововведений закона является внесение в ст. 18 закона № 152-ФЗ «О персональных данных» пункта 5, обязывающего осуществлять обработку персональных данных граждан Российской Федерации на территории России, а именно:
«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети „Интернет“, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».
Интернет и СМИ пошумели какое-то время о новых требованиях, после чего тема незаметно ушла на задний план.
Между тем Роскомнадзор, осуществляющий проверки по персональным данным, тему не забыл и взял её на контроль. За прошедшее время он определил методику проверки компаний на выполнение требований по локализации, представил свое «неофициальное» мнение на новые требования и уже начал проводить проверки компаний, у которых наверняка имеет место хранение данных за рубежом и трансграничная передача персональных данных (KupiVip.ru, Microsoft, McDonald's, Oriflame, РОЛЬФ, Samsung и другие).
И в этом году Роскомнадзор стал проверять мобильные приложения компаний.
Смотрите. До проведения плановой или внеплановой проверки, Роскомнадзор направляет перечень запрашиваемых сведений. Если в прошлом году направлялся список из 23 пунктов, то с этого года 7-ми страничный документ, в котором стали запрашиваться информация о мобильных приложениях:
4.3. Справка о функционале используемых интернет-сервисов в части, касающейся сбора данных о посетителях на сайтах и в мобильных приложениях Оператора, отдельно по каждому сервису.
4.4. Перечень данных о посетителях и зарегистрированных пользователях сайтов и мобильных приложений Оператора, получаемых при помощи указанных сервисов, отдельно по каждому сервису. Приложить подтверждающие документы.
4.5. Сведения о базах данных (их адрес, кому принадлежат) на которых хранятся данные, полученные с помощью интернет-сервисов, когда и как уничтожаются данные.
4.6. Копии документов и локальных актов, изданных Оператором, по вопросам обработки ПДн пользователей мобильных программных приложений Оператора. Копии технической документации по функционалу мобильных приложений Оператора. Справку о содержании данных пользователей, обрабатываемых в мобильных приложениях Оператора для операционных систем iOS, Android, Windows, с указанием мест хранения данных, целей обработки, лиц, которым данные передаются, сроках обработки и хранения, порядка и условий уничтожения.
Также, по опыту участия в проверках Роскомнадзора этого года, известно, что представители регулятора запрашивают сведения о сервисах статистики, установленных на приложение (Flurry, Mixpanel, Google Analytics, Yandex Metrika и другие).
Представители регулятора попросят запустить приложение на устройстве и показать, как оно работает, куда и какие персональные данные вводятся. В том числе не обойдут стороной и проверку того, в каком виде отображаются персональные данные пользователей в админ-панели (если такая есть).
Во-первых, подтверждающие документы по месторасположению запрашиваются у проверяемого оператора. Такими документами могут быть договор с хостингом или ЦОДом с указанием адреса расположения сервера с базой данных, официальное письмо их хостинга или ЦОДа или информационное письмо от руководства, если сервера располагаются в помещениях проверяемой организации.
Во-вторых, Роскомнадзор может запросить IP-адрес сервера и проверить его местонахождение через этот сервис (применяется при проверках).
Занимаются ли представители Роскомнадзора снифингом трафика для определения IP и установления месторасположения сервера, нам пока не известно, но и это не исключено.
Также Роскомнадзор стал требовать подписывать с агентствами, разрабатывающими и поддерживающими мобильные приложения, соглашения об обеспечении безопасности персональных данных, и по опыту, многие агентства не готовы к этому, опасаясь рисков.
Что делать компаниям, у которых имеются свои мобильные приложения?
В зоне риска те компании, сервера мобильных приложений с персональными данными российских пользователей у которых расположены за пределами России.
Чтобы не попасть на штрафы, блокировку и на требование по уничтожению персональных данных со стороны Роскомнадзора, можно воспользоваться следующими способами «локализации»:
Отказаться от вывода на российский рынок мобильного приложения (актуально для международных брендов, имеющих россыпь мобильных предложений, и которые не понесут потерь от такого решения).
Локализовать сервер мобильного приложения с персональными данными на территории России.
Развернуть локализованный в России сервер для первичного сбора персональных данных, после чего направлять данные за рубеж.
Использовать юридические уловки с правильным обоснованием, чтобы не попасть под требование локализации.
Также стоит работать с теми агентствами мобильной разработки, которые готовы подписывать соглашения об обеспечении безопасности персональных данных, чтобы не навлечь на себя немилость регулятора.
Чтобы не потерять хороших клиентов и привести процесс разработки и поддержки мобильных приложений в соответствие с 152-ФЗ, рекомендуется:
Подать уведомление об обработке персональных данных в Роскомнадзор.
Разработать шаблон соглашения об обеспечении безопасности персональных данных для подписания его с заказчиками и Положение об обеспечении безопасности персональных данных.
По возможности, рекомендовать размещение серверных мощностей мобильного приложения на территории РФ.
Если есть возможность, то и подготовить необходимый комплект документов по персональным данным.
Некоторые, понятное дело, забьют на эти требования и на закон. Но закону 10 лет, и вряд ли он куда-то уже денется.
Автор: Максим Лагутин
О том, как используют мобильные приложения для конференции зарубежные коллеги Event LIVE рассказывает Алексей Лукацкий – бизнес-консультант по безопасности, Cisco Systems, делегат RSA Conference - 2016 (США) :
Мобильное приложение для конференции: взгляд делегата