Публикация читателя iBusiness.ru

Локализация персональных данных: избежать нельзя выполнить

01 сентября 2015, в 16:17

1 сентября 2015 г. вступают в силу поправки в ФЗ «О персональных данных», обязывающие компании обеспечить обработку персональных данных россиян в базах данных в России.

Данные поправки вызвали множество вопросов (кто должен исполнять новые требования? каким способом? можно ли вообще обрабатывать данные россиян за границей? каковы будут последствия неисполнения?) и активно обсуждались экспертным сообществом, бизнесом и отдельными представителями государственных органов на протяжении более года.

В связи с отсутствием разъясняющих нормативных актов и официальных разъяснений регуляторов к середине лета градус паники на рынке стал повышаться. Часть компаний, для которых российский рынок, по всей видимости, является принципиально важным, не стали дожидаться прояснения ситуации и приступили к реализации масштабных проектов по перемещению баз данных на территории России (по сообщениям в СМИ, например, это сделали Google, eBay, PayPal, Samsung). Остальные компании, для которых расходы на реструктуризацию IT-систем и аренду или покупку серверов в России являются существенными в общем срезе операционных расходов, продолжают ждать окончательных разъяснений и первой правоприменительной практики.

Разъяснения Минкомсвязи РФ

В начале августа ситуация свою позицию по наиболее острым вопросам применения требования о локализации персональных данных высказало Минкомсвязь России – ведомство, уполномоченное осуществлять функции по выработке и реализации государственной политики в области персональных данных.

На своем официальном сайте Минкомсвязь запустило «горячую линию» по персональным данным с ответами на наиболее часто задаваемые вопросы: http://www.minsvyaz.ru/ru/personaldata/.

В частности, Минкомсвязь прояснило, что:

  • помимо российских компаний и представительств/филиалов иностранных компаний в РФ требование о локализации должны исполнять иностранные компании, не имеющие официального присутствия в РФ, но ведущие бизнес через Интернет, который направлен на территорию РФ (о чем, например, может свидетельствовать использование доменных имен .ru, .рф; наличие русскоязычной версии сайта; возможность осуществлять расчеты в рублях и пр.);
  • «первичная» база данных может быть в любой форме, в том числе бумажной, поэтому требование о локализации будет исполнено, если в России в бумажном виде хранятся персональные данные, которые затем в электронном виде передаются за границу;
  • обработка данных может осуществляться за границей, если база в РФ является наиболее полной и актуальной (недопустимо нахождение за пределами РФ данных, которые одновременно не находятся в РФ)

В целом, разъяснения Минкомсвязи значительно облегчают жизнь компаниям, имеющим в России офисы, поскольку допускают использование в качестве «первичной» базы данных excel файл на офисном компьютере или документы в бумажном виде. А вот иностранным интернет-магазинам и социальным сетям без присутствия в России, ориентированным на российский рынок, видимо, придется готовиться к аренде или покупке серверов в России.

Немаловажный нюанс: несмотря на важность разъяснений Минкомвязи, фактически проверяет соблюдение компаниями требований закона о персональных данных Роскомнадзор. Насколько он разделяет позицию Минкомсвязи и готов будет ей следовать – покажет практика или самостоятельные разъяснения Роскомнадзора.

«Строгость российских законов смягчается необязательностью их исполнения?»

Вторая проблема требования о локализации персональных данных – отсутствие эффективных мер ответственности за несоблюдение этого требования, которые бы оправдали для многих компаний высокие расходы на реструктуризацию IT-систем.

Так, ст. 13.11 КоАП в настоящее время предусматривает максимальный штраф за нарушение правил обработки персональных данных в размере 10 000 рублей. Откровенно говоря, одна только консультация специалиста по информационной безопасности относительно потенциальной реструктуризации IT-системы обойдется компании в десятки раз больше, не говоря уже о самой реализации проекта. Принятые в начале этого года в первом чтении поправки в КоАП, увеличивающие в несколько раз размер ответственности, существенно картину не поменяют.

Вводимая с 1 сентября 2015 г. специальная ответственность в виде внесения сайта нарушителя в «Реестр нарушителей прав субъектов персональных данных» и последующей блокировки этого сайта тоже вызывает массу вопросов. Если обратиться к букве закона (а не к его противоречивым комментариям в СМИ), то мы увидим, что блокировке будут подлежать сайты «содержащие информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных».

Иными словами, речь идет о сайтах, содержащих персональные данные. К таким сайтам могут относиться пресловутые «базы данных граждан России онлайн», «телефонные книги» и прочие сайты, которые незаконно размещают на своих страницах массивы персональных данных. Таким образом, на мой взгляд, термин «содержащий персональные данные» не позволяет блокировать корпоративные сайты (они, как правило, никаких незаконно размещенных данных не содержат), а также сайты, которые собирают персональные данные, но не публикуют их (Интернет-магазины и пр.).

Парадоксально, но в комментариях в СМИ представители регуляторов (Минкомсвязи и Роскомнадзора) выражают точку зрения, что заблокировать можно в том числе и сайт, который собирает персональные данные, но не публикует их. Если Роскомнадзор действительно пойдет по пути инициирования блокировки сайтов в таких случаях, интересно будет увидеть реакцию суда на такой подход к толкованию закона.

Резюмируя изложенное: требование о локализации персональных данных россиян может «заработать» только в том случае, если правила игры будут прозрачны и едины для всех (бизнес будет однозначно понимать, кто и как именно должен исполнять требование о локализации) и будет существовать механизм ответственности, обладающий достаточной «мотивационной» силой для всех компаний. В противном случае рынок будет приспосабливаться, выбирая наиболее экономные для себя пути, которые не всегда означают буквальное исполнение требования закона.

Автор – Наталия Беломестнова, руководитель группы, практика по разрешению споров, Goltsblat BLP

Комментарии

Вы должны зарегистрироваться или войти под своим аккаунтом, чтобы написать комментарий
Без комментариев

Также читайте

На заметку

Компании стали серьезнее относиться к вопросам этики

Дело техники

Для отслеживания интернет-трафика стоит использовать сразу несколько решений

Стоит знать

Как продать спонсорство мероприятия

Есть мнение

Тренды современного общества, которые превращают жизнь в ад
Полезные знания