В России вступил в силу закон о персональных данных. Часть компаний уже отчиталась о готовности следовать новым нормам, однако Google, Facebook и Apple пока не делали заявлений по поводу соблюдения этого закона. Выполнение российскими и зарубежными компаниями требований законодательства РФ по локализации персональных данных россиян растянется, вероятно, на годы, несмотря на то, что отведенный на это срок уже истек — новые нормы вступили в силу с 1 сентября.
О ЧЁМ ЗВОНИТ КОЛОКОЛ?
Во вторник вступили в силу поправки к закону «О персональных данных», которые требуют локализации персональных данных на территории России. Любая российская или зарубежная компания, ориентированная на работу с российскими пользователями, должна обеспечивать запись, систематизацию, накопление, хранение, уточнение персональных данных россиян с использованием баз данных, находящихся на территории РФ.
В обновленном законе пересмотрено само понятие персональных данных. Теперь это не только ФИО и, например, адрес и год рождения, а любая информация, относящаяся к определяемому ею физическому лицу.
За соблюдением этих норм будет следить Роскомнадзор, которому поручено создание реестра нарушителей законодательства о персональных данных, а также дано право блокировать сайты тех компаний или организаций, которые включены в этот реестр. Решение о включении компании в реестр нарушителей принимает суд. Помимо этого, суд может оштрафовать компанию-нарушителя на сумму до 300 тыс. рублей.
Разблокирование интернет-ресурса осуществляется Роскомнадзором также по решению суда, по сообщению хостинг-провайдера или владельца ресурса об устранении нарушения.
В ряде случаев обновленный закон разрешает обработку персональных данных россиян на территории других государств: в целях исполнения правосудия, исполнения полномочий органов госвласти и местного самоуправления, а также для достижения целей, предусмотренных международным договором.
Закон не будет распространяться на выдачу виз, продажу авиабилетов, деятельность СМИ и судов, заявлял руководитель Роскомнадзора Александр Жаров. Трансграничная передача данных россиян законом разрешена, однако храниться они должны на территории РФ, говорил он. Вместе с тем возможно временное хранение дубликата данных за рубежом, но только на срок, необходимый для выполнения действий, для которых они передавались за границу. Например, данные гражданина РФ могут быть переданы в заграничный отель или клинику, но после того, как отдых или лечение закончится, данные клиента на зарубежных серверах должны быть аннулированы, объяснял Жаров.
По оценкам экспертов Российской ассоциации электронных коммуникаций (РАЭК), с 1 сентября для российских интернет-пользователей фактически ничего не изменится, в том числе и при работе с зарубежными интернет-магазинами.
«В законодательстве нет никаких оснований распространять на неработающий в РФ интернет-магазин требования российского закона, однако как пойдет правоприменительная практика, покажет время, — говорится в комментарии РАЭК. — Не исключено, что в целом будет соблюдаться принцип территориального действия закона (контролироваться на предмет размещения серверов в России будут только российские юридические лица и иностранцы, имеющие здесь филиалы и представительства), но для каких-то отдельных случаев правоприменитель будет толковать закон шире». Особенно, если об этом будут просить интернет-пользователи.
По действующему закону каждый пользователь может подать жалобу в Роскомнадзор о нарушении его прав на защиту персональных данных. С 1 сентября к жалобам можно будет добавлять заявления о блокировке ресурса, нарушившего права пользователя.
БУДЬ ГОТОВ! ВСЕГДА ГОТОВ!
Интернет-бизнес, прежде всего российский, активно критиковал нововведения в законодательство о персональных данных. Спектр причин, которые ударят по бизнесу компаний, указывался довольно широкий. Здесь и финансовые затраты, и нехватка мощностей центров обработки данных (ЦОД), и малые сроки на подготовку к локализации персональных данных. Но прежде всего — неточность формулировок закона и отсутствие подзаконных актов, которые и должны определять правила применения новых норм.
Однако с появлением первых соответствующих подзаконных актов, с началом регулярных встреч представителей компаний с сотрудниками Роскомнадзора, которые в меру своего понимания пытались разъяснять требования закона о локализации персональных данных, накал страстей снижался, а вопросов становилось все меньше и меньше.
Намного интересней оказалась реакция зарубежных компаний. С критикой закона они не выступали и время от времени встречались с представителями Роскомнадзора. Но результаты встреч, как и работу по подготовке к 1 сентября, они никак не комментировали. При этом в СМИ появлялись сообщения, что к переносу данных в РФ приступили Samsung, Lenovo, Aliexpress, Ebay, PayPal, Uber, Booking.com. В свою очередь источник на рынке рассказывал «Интерфаксу», что некоторые из названных компаний не определились ни со сроками локализации персональных данных, ни с объемом переносимых данных, и даже не выделили соответствующие бюджеты.
«К 1 сентября готовы — соответствуем требованиям регулятора, — заявил “Интерфаксу” глава PayPal в России Владимир Малюгин. — Как и что реализовано — это наше техническое решение, детали которого раскрывать не хотелось бы». Также Малюгин рассказал, что у компании были вопросы к регулятору по поводу трансграничной передачи данных, трактовок и определений различных положений закона.
«Сегодня есть разъясняющие письма Роскомнадзора и Минкомсвязи, которые дают достаточно подробные разъяснения и определения по всем вопросам в области локализации персональных данных, что позволило игрокам рынка начать отстраивать свои соответствующие процессы, — сказал Малюгин. — Конечно, хотелось бы, чтобы такое понимание в подобных сложных вопросах появлялось на более ранних этапах».
О своей готовности исполнять российское законодательство о персональных данных сообщал и китайский онлайн-ритейлер AliExpress.
«Мы тесно сотрудничаем с нашими партнерами для того, чтобы наши корпоративные клиенты имели возможность соответствовать положениям нового закона и продолжали пользоваться облачными услугами, оставаясь уверенными, что такие сервисы отвечают всем требованиям закона, — отметили «Интерфаксу» в пресс-службе Microsoft Russia. — Это включает в себя технические изменения, добавленные в наши продукты и услуги, изменения в договорных обязательствах, вносимые в соглашения с нашими технологическими партнерами в России, и специальное подробное руководство для наших клиентов и партнеров по конфигурации продуктов и услуг с учетом требований закона».
«Не все сервисы компании подпадают под действие нового закона, — отметили в Microsoft. — В тех случаях, где положения закона применимы к услугам компании, мы обеспечиваем их соблюдение».
При этом в компании подчеркнули, что Microsoft продолжит диалог с российскими госорганами для уточнения вопросов применения соответствующего законодательства к ряду корпоративных и пользовательских сервисов Microsoft.
Кстати, партнеры Microsoft также ведут работу, направленную на локализацию персональных данных и не только. «Во многих странах, не только в России, бизнес начинает использовать системы и сервисы резервного хранения данных, в том числе для того, чтобы эти данные были «приземлены» на территории страны, — сказал «Интерфаксу» глава компании Acronis Сергей Белоусов. — Для примера, в октябре–ноябре у нас выйдет продукт, который будет обеспечивать резервное хранение данных из облачного сервиса Microsoft Office 365. При этом Microsoft будет помогать его продвигать, чтобы пользователи могли делать копию своих данных вне облака Microsoft — в своих странах».
В то же время ряд зарубежных компаний как не занимались, так и не занимаются, а возможно, и не планируют заниматься локализацией персональных данных россиян. К их числу, например, можно отнести Google, Facebook и Apple.
Первая из них, несмотря на неоднократные встречи с руководством Роскомнадзора, все еще думает, как будет соблюдать закон. Facebook один раз обсудил с Роскомнадзором этот вопрос в конце августа, однако о результатах встречи ни ведомство, ни компания рассказать не пожелали.
ГОСУДАРЕВО ОКО СМОТРИТ. И ВЕРИТ
Роскомнадзор в настоящее время в своей оценке ситуации с локализацией персональных данных ориентируется на результаты анонимного опроса 40 компаний, проведенного РАЭК в июле.
«Это положение дел (результаты опроса — ИФ) подтверждалось и в ходе наших персональных переговоров со многими крупными участниками рынка, и на основании публичных заявлений различных компаний, — сказал «Интерфаксу» представитель Роскомнадзора Вадим Ампелонский. — Еще до принятия закона представители, например, компании Booking.com (сервис бронирования отелей) заявили в СМИ, что не видят для себя каких-то существенных проблем в связи с этим законом и, конечно, будут соответствовать его требованиям».
По словам Ампелонского, в настоящий момент компания полностью выполнила свое обещание: «Мы знаем даже, в каких дата-центрах они будут хранить персональные данные российских пользователей своего сервиса (Booking.com — клиент российских дата-центров британской компании IXcelerate)».
Также Ампелонский отметил, что ранее свою готовность переносить данные в Россию подтвердили eBay и PayPal, AliExpress, Samsung, Lenovo, Uber, Citybank и многие другие. «У нас нет никаких оснований им не доверять, — сказал он. — Насколько мне известно, 1 сентября компания Samsung открывает собственный дата-центр в нашей стране, необходимый для исполнения требований закона».
Что касается Facebook, Google и Apple, то первым двум была предоставлена исчерпывающая информация о механизмах применения закона. Роскомнадзор рассчитывает, что компании в ближайшее время озвучат свои официальные позиции по этому поводу. «С Apple мы не общались, — отметил Ампелонский. — В любом случае в плане проверок на 2015 год данные компании не числятся».
«В принципе, они (Facebook, Google и Apple — ИФ) могут работать до тех пор, пока не наступит время плановой проверки — или по каким-то причинам не будет принято решение о внеплановой проверке», — отмечал ранее Жаров.
Что касается самих проверок, то до конца текущего года Роскомнадзор намерен проверить 317 компаний (0,012 процента всех компаний, работающих с персональными данными в России) на выполнение требований по локализации персональных данных. Этот список подготовлен Гепрокуратурой РФ. Уже в сентябре ведомство намерено провести около 90 проверок. Впрочем, сами проверки будут носить только документарный характер.
Также Роскомнадзор рассчитывает, что после принятия постановления правительства РФ о порядке контроля по закону о локализации персональных данных он сможет самостоятельно инициировать внеплановые проверки — например, если в ведомство будут поступать многочисленные обращения граждан и организаций о существенных нарушениях. «Внеплановая проверка — это всегда мера оперативного реагирования на возникающие очаги напряженности, — отметил Ампелонский. — Внеплановая проверка может быть назначена, если оператор подаст недостоверные сведения об обработке персональных данных».
Александр ФИЛАТЕНКО