Как Роскомнадзор стал проверять мобильные приложения

Понравилось? Поделитесь с друзьями!

Сегодня говорим о том, что делать компаниям, у которых имеются свои мобильные приложения, и как быть разработчикам мобильных приложений и агентствам, поддерживающим их?

Почти год назад, 1 сентября 2015 года, вступил в силу Федеральный закон № 242-ФЗ, который в народе прозвали «Законом о локализации персональных данных».

Одним из важных нововведений закона является внесение в ст. 18 закона № 152-ФЗ «О персональных данных» пункта 5, обязывающего осуществлять обработку персональных данных граждан Российской Федерации на территории России, а именно:

«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети „Интернет“, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».

Интернет и СМИ пошумели какое-то время о новых требованиях, после чего тема незаметно ушла на задний план.

Между тем Роскомнадзор, осуществляющий проверки по персональным данным, тему не забыл и взял её на контроль. За прошедшее время он определил методику проверки компаний на выполнение требований по локализации, представил свое «неофициальное» мнение на новые требования и уже начал проводить проверки компаний, у которых наверняка имеет место хранение данных за рубежом и трансграничная передача персональных данных (KupiVip.ru, Microsoft, McDonald's, Oriflame, РОЛЬФ, Samsung и другие).

И в этом году Роскомнадзор стал проверять мобильные приложения компаний.

Смотрите. До проведения плановой или внеплановой проверки, Роскомнадзор направляет перечень запрашиваемых сведений. Если в прошлом году направлялся список из 23 пунктов, то с этого года 7-ми страничный документ, в котором стали запрашиваться информация о мобильных приложениях:

4.3. Справка о функционале используемых интернет-сервисов в части, касающейся сбора данных о посетителях на сайтах и в мобильных приложениях Оператора, отдельно по каждому сервису. 
4.4. Перечень данных о посетителях и зарегистрированных пользователях сайтов и мобильных приложений Оператора, получаемых при помощи указанных сервисов, отдельно по каждому сервису. Приложить подтверждающие документы.
4.5. Сведения о базах данных (их адрес, кому принадлежат) на которых хранятся данные, полученные с помощью интернет-сервисов, когда и как уничтожаются данные. 
4.6. Копии документов и локальных актов, изданных Оператором, по вопросам обработки ПДн пользователей мобильных программных приложений Оператора. Копии технической документации по функционалу мобильных приложений Оператора. Справку о содержании данных пользователей, обрабатываемых в мобильных приложениях Оператора для операционных систем iOS, Android, Windows, с указанием мест хранения данных, целей обработки, лиц, которым данные передаются, сроках обработки и хранения, порядка и условий уничтожения.

Также, по опыту участия в проверках Роскомнадзора этого года, известно, что представители регулятора запрашивают сведения о сервисах статистики, установленных на приложение (Flurry, Mixpanel, Google Analytics, Yandex Metrika и другие).

Представители регулятора попросят запустить приложение на устройстве и показать, как оно работает, куда и какие персональные данные вводятся. В том числе не обойдут стороной и проверку того, в каком виде отображаются персональные данные пользователей в админ-панели (если такая есть).

Об ошибках организаторов конференций на старте внедрения мобильных технологий Event LIVE  рассказывал своим читателям вместе с Софьей Медниковой в статье::

Почему не работают мобильные технологии на мероприятии? 7 ошибок организаторов, 

Проверка месторасположения баз данных с персональными данными граждан РФ осуществляется Роскомнадзором несколькими способами.

Во-первых, подтверждающие документы по месторасположению запрашиваются у проверяемого оператора. Такими документами могут быть договор с хостингом или ЦОДом с указанием адреса расположения сервера с базой данных, официальное письмо их хостинга или ЦОДа или информационное письмо от руководства, если сервера располагаются в помещениях проверяемой организации.

Во-вторых, Роскомнадзор может запросить IP-адрес сервера и проверить его местонахождение через этот сервис (применяется при проверках).

Занимаются ли представители Роскомнадзора снифингом трафика для определения IP и установления месторасположения сервера, нам пока не известно, но и это не исключено.
Также Роскомнадзор стал требовать подписывать с агентствами, разрабатывающими и поддерживающими мобильные приложения, соглашения об обеспечении безопасности персональных данных, и по опыту, многие агентства не готовы к этому, опасаясь рисков.

Что делать компаниям, у которых имеются свои мобильные приложения?

В зоне риска те компании, сервера мобильных приложений с персональными данными российских пользователей у которых расположены за пределами России.

Чтобы не попасть на штрафы, блокировку и на требование по уничтожению персональных данных со стороны Роскомнадзора, можно воспользоваться следующими способами «локализации»:

Отказаться от вывода на российский рынок мобильного приложения (актуально для международных брендов, имеющих россыпь мобильных предложений, и которые не понесут потерь от такого решения).
Локализовать сервер мобильного приложения с персональными данными на территории России.
Развернуть локализованный в России сервер для первичного сбора персональных данных, после чего направлять данные за рубеж.
Использовать юридические уловки с правильным обоснованием, чтобы не попасть под требование локализации.
Также стоит работать с теми агентствами мобильной разработки, которые готовы подписывать соглашения об обеспечении безопасности персональных данных, чтобы не навлечь на себя немилость регулятора.

Какие мобильные технологии участники мероприятий действительно хотят видеть, чем они действительно будут пользоваться? Выясняем в статье:

5 must-have опций мобильных приложений, которые участники хотят видеть на мероприятии


Что делать разработчикам мобильных приложений и агентствам, поддерживающим их?


Чтобы не потерять хороших клиентов и привести процесс разработки и поддержки мобильных приложений в соответствие с 152-ФЗ, рекомендуется:

Подать уведомление об обработке персональных данных в Роскомнадзор.

Разработать шаблон соглашения об обеспечении безопасности персональных данных для подписания его с заказчиками и Положение об обеспечении безопасности персональных данных.

По возможности, рекомендовать размещение серверных мощностей мобильного приложения на территории РФ.
Если есть возможность, то и подготовить необходимый комплект документов по персональным данным.
Некоторые, понятное дело, забьют на эти требования и на закон. Но закону 10 лет, и вряд ли он куда-то уже денется.
Автор: Максим Лагутин
Источник: http://www.cossa.ru/

О том, как используют мобильные приложения для конференции зарубежные коллеги Event LIVE рассказывает Алексей Лукацкий – бизнес-консультант по безопасности, Cisco Systems, делегат RSA Conference - 2016 (США)   :

Мобильное приложение для конференции: взгляд делегата 


26.08.2016

Понравилось? Расскажите друзьям!
AI в ивенте CongressTime Event TALENTS Event-SREDA PR client relationship management digital for event Ивент в законе Ивент-Кухня Организаторы мероприятий УПРАВЛЯЯ ВПЕЧАТЛЕНИЯМИ архив событий бартерное сотрудничество безопасность билетные технологии благотворительность бюджетирование волонтеры выставки выставочная деятельность выставочный менеджмент городские события гранты декор делегат-менеджмент деловой туризм дизайн ивент в онлайне ивент и комьюнити ивент как бизнес интерактив искусство зрелища кейтеринг коммуникации конгресс-бюро конгресс-менеджмент конгрессная деятельность конкурс контент-менеджмент конференц-центр концепции концепция креативная команда креативная экономика молодые специалисты научная конференция нетворкинг обучение отраслевые события переводчики персонал площадки премии продажи продвижение промопродукция профессиональные ассоциации профиль клиента психология в ивенте работа со СМИ режиссура событие для кругозора событие про ивент событийный туризм спикеры и модераторы спонсорские мероприятия спонсорство мероприятий спортивные события среда события стандарты территориальный маркетинг технологии тренды устойчивое развитие экосистема события эффективность мероприятий

ОБЩАЙТЕСЬ С НАМИ

ПРЕДЛОЖИТЬ ЭКСПЕРТА

При заполнении данной формы я соглашаюсь на обработку моих персональных данных, которая ведется в соответствии с принятой Политикой конфиденциальности
ПРИСЛАТЬ ЗАМЕТКУ

При заполнении данной формы я соглашаюсь на обработку моих персональных данных, которая ведется в соответствии с принятой Политикой конфиденциальности

Спасибо!

Редакция Event LIVE свяжется с Вами в ближайшее время для уточнения темы экспертного мнения и формата взаимодействия.

Спасибо!

Редакция Event LIVE свяжется с Вами в ближайшее время для уточнения темы экспертного мнения и формата взаимодействия.

Спасибо!

Для подтверждения подписки перейдите по ссылке, которая придет Вам на указанную электронную почту
При заполнении данной формы я соглашаюсь на обработку моих персональных данных, которая ведется в соответствии с принятой Политикой конфиденциальности