Блог

Вы здесь

Комментарии к Федеральному закону «О персональных данных» (152-ФЗ)

Office 365 обладает характеристиками, которые позволяют клиентам выполнить требования Федерального закона «О персональных данных» (152-ФЗ). Возможность использования O365 в каждом отдельном случае будет определяться особенностями клиентской информационной системы персональных данных. Задавая вопрос о соответствии 152-ФЗ, как правило, подразумевают 2 блока требований: трансграничная передача персональных данных и защита персональных данных.

Трансграничная передача персональных данных

Российское законодательство не запрещает трансграничную передачу персональных данных и не содержит требование хранить персональные данные только на территории РФ. Трансграничная передача персональных данных может осуществляться (ст. 12 152-ФЗ):

  1. В иностранные государства, являющиеся участниками Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных
  2. В иностранные государства, обеспечивающие адекватную защиту персональных данных, перечень которых определяется Роскомнадзором
  3. В иных случаях, указанных в 152-ФЗ (в том числе, при наличии письменного согласия субъекта персональных данных)

Для клиентов региона EMEA основные дата-центры, используемые для О365, находятся в Нидерландах и Ирландии. Эти страны являются участниками вышеупомянутой Конвенции Совета Европы, соответственно, трансграничная передача ПД в эти страны разрешена российским законодательством. Резервные дата-центры для O365 также находятся в Нидерландах и Ирландии. Более подробная информация о местонахождении клиентских размещена в O365 Trust Center (cм. Data Flow Map).

Защита персональных данных

Защита персональных данных состоит из правовых, организационных и технических мер. Постановлением Правительства РФ № 1119 от 1 ноября 2012 г. установлено несколько уровней защищенности информации, которые определяются исходя из актуальных угроз безопасности, категории персональных данных, количества субъектов, данные которых обрабатываются в конкретной информационной системе персональных данных («ИСПДн»). Применительно к каждому уровню защищенности существует набор требований организационной и технической защиты, установленных ФСТЭК.

Клиент (сам или с привлечением организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации) определяет конкретный перечень организационно-технических мер, которые необходимы для поддержания соответствующего уровня защищенности, соответствующего его ИСПДн.

Возможность использования O365 конкретным клиентом зависит от необходимого состава мер, которые будут выбраны клиентом в качестве достаточного для поддержания соответствующего уровня защищенности. Информацию о характеристиках O365 с точки зрения безопасности можно найти здесь. В целом набор технических и организационных мер защиты в O365 достаточно широк, и он корреспондирует мерам, примерный перечень которых предусмотрен в 152-ФЗ.

Читайте также:

Office 365 против Google Apps

FAQ по Office 365