Как Роскомнадзор стал проверять мобильные приложения

Почти год назад, 1 сентября 2015 года, вступил в силу Федеральный закон № 242-ФЗ, который в народе прозвали «Законом о локализации персональных данных».

Одним из важных нововведений закона является внесение в ст. 18 закона № 152-ФЗ «О персональных данных» пункта 5, обязывающего осуществлять обработку персональных данных граждан Российской Федерации на территории России, а именно:

«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети „Интернет“, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».

Интернет и СМИ пошумели какое-то время о новых требованиях, после чего тема незаметно ушла на задний план.

Между тем Роскомнадзор, осуществляющий проверки по персональным данным, тему не забыл и взял её на контроль. За прошедшее время он определил методику проверки компаний на выполнение требований по локализации, представил свое «неофициальное» мнение на новые требования и уже начал проводить проверки компаний, у которых наверняка имеет место хранение данных за рубежом и трансграничная передача персональных данных (KupiVip.ru, Microsoft, McDonald’s, Oriflame, РОЛЬФ, Samsung и другие).

Продвижение медцентров и клиник: три кейса о SEO, TikTok и Instagram*

Как получить измеримые результаты в фарммаркетинге.

Показываем на примерах →

Спецпроект

И в этом году Роскомнадзор стал проверять мобильные приложения компаний.

Смотрите. До проведения плановой или внеплановой проверки, Роскомнадзор направляет перечень запрашиваемых сведений. Если в прошлом году направлялся список из 23 пунктов, то с этого года 7-ми страничный документ, в котором стали запрашиваться информация о мобильных приложениях:

4.3. Справка о функционале используемых интернет-сервисов в части, касающейся сбора данных о посетителях на сайтах и в мобильных приложениях Оператора, отдельно по каждому сервису.
4.4. Перечень данных о посетителях и зарегистрированных пользователях сайтов и мобильных приложений Оператора, получаемых при помощи указанных сервисов, отдельно по каждому сервису. Приложить подтверждающие документы.
4.5. Сведения о базах данных (их адрес, кому принадлежат) на которых хранятся данные, полученные с помощью интернет-сервисов, когда и как уничтожаются данные.
4.6. Копии документов и локальных актов, изданных Оператором, по вопросам обработки ПДн пользователей мобильных программных приложений Оператора. Копии технической документации по функционалу мобильных приложений Оператора. Справку о содержании данных пользователей, обрабатываемых в мобильных приложениях Оператора для операционных систем iOS, Android, Windows, с указанием мест хранения данных, целей обработки, лиц, которым данные передаются, сроках обработки и хранения, порядка и условий уничтожения.

Также, по опыту участия в проверках Роскомнадзора этого года, известно, что представители регулятора запрашивают сведения о сервисах статистики, установленных на приложение (Flurry, Mixpanel, Google Analytics, Yandex Metrika и другие).

Представители регулятора попросят запустить приложение на устройстве и показать, как оно работает, куда и какие персональные данные вводятся. В том числе не обойдут стороной и проверку того, в каком виде отображаются персональные данные пользователей в админ-панели (если такая есть).

Проверка месторасположения баз данных с персональными данными граждан РФ осуществляется Роскомнадзором несколькими способами.

Во-первых, подтверждающие документы по месторасположению запрашиваются у проверяемого оператора. Такими документами могут быть договор с хостингом или ЦОДом с указанием адреса расположения сервера с базой данных, официальное письмо их хостинга или ЦОДа или информационное письмо от руководства, если сервера располагаются в помещениях проверяемой организации.

Во-вторых, Роскомнадзор может запросить IP-адрес сервера и проверить его местонахождение через этот сервис (применяется при проверках).

Занимаются ли представители Роскомнадзора снифингом трафика для определения IP и установления месторасположения сервера, нам пока не известно, но и это не исключено.

Также Роскомнадзор стал требовать подписывать с агентствами, разрабатывающими и поддерживающими мобильные приложения, соглашения об обеспечении безопасности персональных данных, и по опыту, многие агентства не готовы к этому, опасаясь рисков.

Что делать компаниям, у которых имеются свои мобильные приложения?

В зоне риска те компании, сервера мобильных приложений с персональными данными российских пользователей у которых расположены за пределами России.

Чтобы не попасть на штрафы, блокировку и на требование по уничтожению персональных данных со стороны Роскомнадзора, можно воспользоваться следующими способами «локализации»:

  1. Отказаться от вывода на российский рынок мобильного приложения (актуально для международных брендов, имеющих россыпь мобильных предложений, и которые не понесут потерь от такого решения).
  2. Локализовать сервер мобильного приложения с персональными данными на территории России.
  3. Развернуть локализованный в России сервер для первичного сбора персональных данных, после чего направлять данные за рубеж.
  4. Использовать юридические уловки с правильным обоснованием, чтобы не попасть под требование локализации.

Также стоит работать с теми агентствами мобильной разработки, которые готовы подписывать соглашения об обеспечении безопасности персональных данных, чтобы не навлечь на себя немилость регулятора.

Что делать разработчикам мобильных приложений и агентствам, поддерживающим их?

Чтобы не потерять хороших клиентов и привести процесс разработки и поддержки мобильных приложений в соответствие с 152-ФЗ, рекомендуется:

  1. Подать уведомление об обработке персональных данных в Роскомнадзор.
  2. Разработать шаблон соглашения об обеспечении безопасности персональных данных для подписания его с заказчиками и Положение об обеспечении безопасности персональных данных.
  3. По возможности, рекомендовать размещение серверных мощностей мобильного приложения на территории РФ.

Если есть возможность, то и подготовить необходимый комплект документов по персональным данным.

Некоторые, понятное дело, забьют на эти требования и на закон. Но закону 10 лет, и вряд ли он куда-то уже денется.

Читать по теме: Закон «О персональных данных» — что нужно знать агентству

Мнение редакции может не совпадать с мнением автора. Если у вас есть, что дополнить — будем рады вашим комментариям. Если вы хотите написать статью с вашей точкой зрения — прочитайте правила публикации на Cossa.

Источник: cossa.ru

Бытовой вопрос