Персональные данные и закон: что нужно знать
Если ваш сервис обрабатывает персональные данные российских пользователей, есть юридические требования, которые нельзя игнорировать. Steforge строится с учётом этих требований с самого начала.
Основные требования
Хранение данных в РФ
Федеральный закон 152-ФЗ требует, чтобы первичная запись и систематизация персональных данных российских граждан происходила на серверах, расположенных в России.
Для Steforge это означает:
- PostgreSQL размещается на VPS в российском дата-центре
- Основная база данных пользователей — в РФ
- Бэкапы хранятся на российской инфраструктуре
Уведомление Роскомнадзора
Оператор персональных данных обязан уведомить Роскомнадзор. В уведомлении указываются:
- Цели обработки данных
- Категории обрабатываемых данных
- Меры защиты
- Местонахождение базы данных
- Сроки хранения
Трансграничная передача
Если данные передаются в другую страну (например, при вызове внешнего API), это трансграничная передача. Для неё нужны дополнительные основания.
Как это решается в Steforge
Proxy-контур
API Proxy не просто удобная архитектура — это механизм контроля трансграничной передачи. Перед отправкой данных во внешний API:
- Payload проверяется на наличие персональных данных
- PII маскируются или удаляются
- Факт передачи логируется
Правовые документы
Перед запуском будут подготовлены:
- Политика обработки персональных данных
- Политика конфиденциальности
- Пользовательское соглашение
- Согласие на обработку ПД
Реестр провайдеров
Каждый внешний API-провайдер будет зафиксирован с указанием страны, типа данных и класса риска. Это позволяет принимать обоснованные решения о допустимости передачи.
Итог
Юридические требования — не помеха, а каркас. Если встроить их в архитектуру с самого начала, они не создают накладных расходов позже.