Добрый день! нужна ваша экспертиза/консультация: есть глобальный вендор облачного ПО в сфере закупок, который рассматривает выход на российский рынок. Но т.к. ПО облачное и глобальное (и клиенты в массе своей крупные транснациональные компании), то данные хранятся в надежных серверах по всему миру (надежно).
В России есть закон о защите данных который требует, чтобы данные российских пользователей (и их первичная обработка) находились на территории РФ.
Значит ли это, что компании прежде чем выйти на рынок, нужно арендовать здесь серверное пространство и дублировать данные системы на этих серверах в РФ?
Как это работает у других вендоров, например SAP Ariba? Насколько строго компании следят за тем, чтобы данные хранились на территории РФ? Как следит за этим Роскомнадзор. Проконсультируйте как правильно поступить.
Мое личное мнение: на начальном этапе я бы не стал особо париться и городить огород в виде дублирования данных на российских серверах, посмотрел бы в принципе, устраивает ли ПО клиентов, насколько оно востребовано, сделал бы пару-тройку внедрений. И клиентам ПО интересно, то уже можно создавать такую базу. с другой стороны есть риск, что Роскомнадзор заблокирует их, а вендор крупный и рисковать не хочет. Но (особенно вначале) деятельность компании будет небольшой в России и вряд ли Роскомнадзор ими заинтересуется. Но это все догадки.
Могут ли они начать работать без вложений в виде аренды серверного пространства и создания локальной инфраструктуры для соблюдения закона? Или все же стоит этим озаботиться прежде чем выходить на локальный рынок? Как рекомендуете поступить?
-
Юрист общей практики, консультант
Здравствуйте.
Вы пишете:
есть глобальный вендор облачного ПО в сфере закупок, который рассматривает выход на российский рынок. Но т.к. ПО облачное и глобальное (и клиенты в массе своей крупные транснациональные компании), то данные хранятся в надежных серверах по всему миру (надежно).
В России есть закон о защите данных который требует, чтобы данные российских пользователей (и их первичная обработка) находились на территории РФ.
Зелимхан
Я бы хотел уточнить.Не пользователей, а субъектов персональных данных.
Согласно закону о персональных данных:
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Действительно, закон устанавливает определенные обязанности, а именно:
Статья 18. Обязанности оператора при сборе персональных данных
5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.Но это касается именно персональных данных, а они могут быть только у физических лиц. Вы же указываете, что клиентами являются, по всей видимости, лица юридические. В таком случае данные правила к Вашему вендору не относятся. Или Вы что-то другое имели в виду?
Клиенты — юридические лица, крупные и средние компании. чтобы работать в ПО как правило требуется их сотруднику (например, закупщику) нужно ввести ФИО, email; поставщику нужно ввести — ФИО, телефон, email. это же все перс данные…