ATLEX
24 августа 2016, 12:25

Как Роскомнадзор стал проверять мобильные приложения

И чем это может грозить агентскому рынку.

Как Роскомнадзор стал проверять мобильные приложения

Почти год назад, 1 сентября 2015 года, вступил в силу Федеральный закон № 242-ФЗ, который в народе прозвали «Законом о локализации персональных данных».

Одним из важных нововведений закона является внесение в ст. 18 закона № 152-ФЗ «О персональных данных» пункта 5, обязывающего осуществлять обработку персональных данных граждан Российской Федерации на территории России, а именно:

«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети „Интернет“, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».

Интернет и СМИ пошумели какое-то время о новых требованиях, после чего тема незаметно ушла на задний план.

Между тем Роскомнадзор, осуществляющий проверки по персональным данным, тему не забыл и взял её на контроль. За прошедшее время он определил методику проверки компаний на выполнение требований по локализации, представил свое «неофициальное» мнение на новые требования и уже начал проводить проверки компаний, у которых наверняка имеет место хранение данных за рубежом и трансграничная передача персональных данных (KupiVip.ru, Microsoft, McDonald's, Oriflame, РОЛЬФ, Samsung и другие).

Распродажа курсов по интернет-маркетингу!

Под занавес года Skillbox проводит распродажу всех своих курсов по интернет-маркетингу и менеджменту: системное обучение маркетингу, управлению проектами, сквозной аналитике, и многому другому.
Скидки до 50%, плюс возможность рассрочки платежа! Предложение действует только до конца декабря!

Узнать больше >>>

Реклама

И в этом году Роскомнадзор стал проверять мобильные приложения компаний.

Смотрите. До проведения плановой или внеплановой проверки, Роскомнадзор направляет перечень запрашиваемых сведений. Если в прошлом году направлялся список из 23 пунктов, то с этого года 7-ми страничный документ, в котором стали запрашиваться информация о мобильных приложениях:

4.3. Справка о функционале используемых интернет-сервисов в части, касающейся сбора данных о посетителях на сайтах и в мобильных приложениях Оператора, отдельно по каждому сервису.
4.4. Перечень данных о посетителях и зарегистрированных пользователях сайтов и мобильных приложений Оператора, получаемых при помощи указанных сервисов, отдельно по каждому сервису. Приложить подтверждающие документы.
4.5. Сведения о базах данных (их адрес, кому принадлежат) на которых хранятся данные, полученные с помощью интернет-сервисов, когда и как уничтожаются данные.
4.6. Копии документов и локальных актов, изданных Оператором, по вопросам обработки ПДн пользователей мобильных программных приложений Оператора. Копии технической документации по функционалу мобильных приложений Оператора. Справку о содержании данных пользователей, обрабатываемых в мобильных приложениях Оператора для операционных систем iOS, Android, Windows, с указанием мест хранения данных, целей обработки, лиц, которым данные передаются, сроках обработки и хранения, порядка и условий уничтожения.

Также, по опыту участия в проверках Роскомнадзора этого года, известно, что представители регулятора запрашивают сведения о сервисах статистики, установленных на приложение (Flurry, Mixpanel, Google Analytics, Yandex Metrika и другие).

Представители регулятора попросят запустить приложение на устройстве и показать, как оно работает, куда и какие персональные данные вводятся. В том числе не обойдут стороной и проверку того, в каком виде отображаются персональные данные пользователей в админ-панели (если такая есть).

Проверка месторасположения баз данных с персональными данными граждан РФ осуществляется Роскомнадзором несколькими способами.

Во-первых, подтверждающие документы по месторасположению запрашиваются у проверяемого оператора. Такими документами могут быть договор с хостингом или ЦОДом с указанием адреса расположения сервера с базой данных, официальное письмо их хостинга или ЦОДа или информационное письмо от руководства, если сервера располагаются в помещениях проверяемой организации.

Во-вторых, Роскомнадзор может запросить IP-адрес сервера и проверить его местонахождение через этот сервис (применяется при проверках).

Занимаются ли представители Роскомнадзора снифингом трафика для определения IP и установления месторасположения сервера, нам пока не известно, но и это не исключено.

Также Роскомнадзор стал требовать подписывать с агентствами, разрабатывающими и поддерживающими мобильные приложения, соглашения об обеспечении безопасности персональных данных, и по опыту, многие агентства не готовы к этому, опасаясь рисков.

Что делать компаниям, у которых имеются свои мобильные приложения?

В зоне риска те компании, сервера мобильных приложений с персональными данными российских пользователей у которых расположены за пределами России.

Чтобы не попасть на штрафы, блокировку и на требование по уничтожению персональных данных со стороны Роскомнадзора, можно воспользоваться следующими способами «локализации»:

  1. Отказаться от вывода на российский рынок мобильного приложения (актуально для международных брендов, имеющих россыпь мобильных предложений, и которые не понесут потерь от такого решения).
  2. Локализовать сервер мобильного приложения с персональными данными на территории России.
  3. Развернуть локализованный в России сервер для первичного сбора персональных данных, после чего направлять данные за рубеж.
  4. Использовать юридические уловки с правильным обоснованием, чтобы не попасть под требование локализации.

Также стоит работать с теми агентствами мобильной разработки, которые готовы подписывать соглашения об обеспечении безопасности персональных данных, чтобы не навлечь на себя немилость регулятора.

Что делать разработчикам мобильных приложений и агентствам, поддерживающим их?

Чтобы не потерять хороших клиентов и привести процесс разработки и поддержки мобильных приложений в соответствие с 152-ФЗ, рекомендуется:

  1. Подать уведомление об обработке персональных данных в Роскомнадзор.
  2. Разработать шаблон соглашения об обеспечении безопасности персональных данных для подписания его с заказчиками и Положение об обеспечении безопасности персональных данных.
  3. По возможности, рекомендовать размещение серверных мощностей мобильного приложения на территории РФ.

Если есть возможность, то и подготовить необходимый комплект документов по персональным данным.

Некоторые, понятное дело, забьют на эти требования и на закон. Но закону 10 лет, и вряд ли он куда-то уже денется.

Читать по теме: Закон «О персональных данных» — что нужно знать агентству

Мнение редакции может не совпадать с мнением автора. Если у вас есть, что дополнить — будем рады вашим комментариям. Если вы хотите написать статью с вашей точкой зрения — прочитайте правила публикации на Cossa.

Не пропустите!

Наш опыт: делаем отчёты в POWER BI для агентства интернет-маркетинга
Простой и понятный отчет для клиента в один клик или по расписанию. Попробуйте бесплатно 14 дней!
«Азбука вкуса» и бесплатные пакеты: разбор репутационного кейса
Кровь, менструация и Каннские львы. Кейс на сложную тему из Украины
«О настоящем и будущем киберспорта»: интервью с Романом Дворянкиным, генеральным менеджером Virtus.p...
«Доброе время суток, Карл!» — Почему нас вдруг стали бесить новомодные словечки и крылатые выражения
5 классических факапов с репутацией
Гид по b2b-рекламе: проблемы, решения, примеры использования
Маркетинг влияния: 10 сценариев работы с лидерами мнений
Клиентские манипуляции и как их нейтрализовать
Почему технарю легче стать хорошим копирайтером, чем гуманитарию. Три факта и личный опыт
6 ошибок в работе со сквозной аналитикой

Комментарии:

Реклама


🤔 Чем живёт digital?
Главное — в рассылке:




Вход на cossa.ru

Уже есть аккаунт?
Выбирай любой вариант входа:
Facebook Vkontakte

Используйте свой аккаунт в социальной сети Facebook или Вконтакте, чтобы пользоваться сайтом

Не забудьте написать email на странице своего профиля для управления рассылкой