7 июля 2014 г.

Запрета на размещение персональных данных россиян за рубежом нет, но…

Начну с конца, поскольку он мне кажется если и не самым важным в новом законопроекте (пока одобрения Совета Федерации и подписи президента нет), то крайне важным.
Это я про закон о «запрете россиянам размещать свои данные за рубежом». Об этом самом запрете, точнее, о том, что его нет – чуть ниже. Меня очень удивило, что ни в одном из многочисленных комментариев, которыми просто завален рунет последние три дня, не упоминается о третьей статье нового законопроекта. А там, между прочим, прямо написано, что из-под действия Федерального закона № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» выводится контроль и надзор не только за обработкой персональных данных, но и за соблюдением требований в связи с распространением информации в информационно-телекоммуникационной сети «Интернет». Вы понимаете, что произошло?
За этими двумя сферами деятельности можно теперь надзирать, не согласовывая свои действия с прокуратурой, проводя проверки абсолютно по любому поводу, а не только по короткому и закрытому перечню оснований, предусмотренных ст.10 закона (если вы не знаете, проверки по жалобе субъекта персональных данных в абсолютном своем большинстве незаконны). Можно не вывешивать на сайтах надзорных органов ежегодные планы проверок, не включать такие проверки в сводный план проверок субъектов предпринимательства на сайте Генпрокуратуры. Ну и т.д. – почитайте 294-ФЗ, пока он еще действует в этих двух надзираемых областях. Изменения в 294-ФЗ вступают в силу также с 1 сентября 2015 года.
А теперь о запрете. Поскольку закон так возбудил общественность, что комментировать эту затейливую сферу стали даже на «Слоне» и «Эхе Москвы», в том числе люди, впервые вообще узнавшие о наличии у них каких-то персональных данных, в комментариях появилась масса утверждений, далеких от правды, что породило мифы.
Основных быстро рожденных мифа два:
·         россиянам запретили размещать свои данные за рубежом,
·         иностранным компаниям запретили получать и обрабатывать персональные данные россиян.
Ни того, ни другого запрета в законопроекте нет. Но!
Что там есть, я уже писал, но, поскольку градус и некомпетентность комментариев зашкаливает, кое-что поясню еще раз. Закон обязывает сбор персональных данных россиян, в том числе и в интернете, организовать таким образом, чтобы дальнейшая их обработка осуществлялась с использованием баз данных, находящихся на территории Российской Федерации. Т.е. с веб-формы сайта бронирования Аэрофлота они попадали не в облако компании Sabre, находящееся неизвестно где и в юрисдикции США, а прямо в дата-центр на территории России. Я не стану, как некоторые коллеги и комментаторы, Алексей Волков, например, уповать на то, что перечислены не все указанные в законе способы обработки, и в тексте изменений отсутствуют слова «исключительно» или «только» перед словами «на территории Российской Федерации». Того, что написано, на мой взгляд, вполне достаточно для однозначного понимания. В России, и точка.
Даже ежику, заблудившемуся в тумане, очевидно, что закон в таком виде просто невыполним и изначально предусматривает избирательность его применения. Никогда сервер регистрации российских пассажиров авиарейса Нью-Йорк - Москва не будет переноситься из аэропорта JFK в Москву, а данные с компьютера отеля в альпийской деревушке не будут немедленно реплицироваться в специально созданную суверенную базу данных. Но! Доступ к ресурсу, критерию территориальности не удовлетворяющему, можно будет легко закрыть во всей России. Мне кажется очевидным, что законопроект направлен против соцсетей, ставших мощным инструментом не только формирования общественного мнения, но и организации граждан, однако находящихся вне доступности СОРМа. Все остальные иностранные интернет-ресурсы просто как обычно попали под раздачу, а предусмотренные законом два года станут периодом давления на всякие там Гуглы, Фейсбуки и Твиттеры и торгов с ними. В конечном итоге те из них, кто сервера в России не поставит, вынуждены будут уйти (а перед этим они, конечно, посчитают свои денежки), а закон останется мощным сдерживающими фактором для других желающих поработать в России без сотрудничества со спецслужбами. Ситуация в этом аспекте полностью идентична недавно сложившейся с международными платежными системами.
Есть у этой инициативы и вторая составляющая. Не знаю, держали ли ее в голове авторы законопроекта, но побочным эффектом запрета станет удар по хостингу российских ресурсов за рубежом. Посмотрите на эту забавную картинку. На долю только одного немецкого хостинг-провайдера приходится без малого 15% всех сайтов доменной зоны ru, и это без учета российских сайтов, зарегистрированных в других зонах (com, biz, info, tv и прочие). Я, правда, не уверен, что это приведет к бурному росту ЦОДов в России.
Очень интересно, как на новый закон прореагируют в Совете Европы. Если кто забыл, принятие 152-ФЗ о персональных данных – прямое следствие ратификацией Россией Конвенции ETS №108 «О защите физических лиц при автоматизированной обработке персональных данных», которая в части 2 ст.12 предусматривает, что присоединившиеся к ней страны не будут запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой стороны Конвенции, а ст. 25 запрещает любые оговорки в отношении Конвенции. Последствия могут быть весьма неприятные, особенно на общем фоне «санкционирования» России и ее резидентов.
Про последствия еще одной нормы закона, касающейся реестра нарушителей и блокировки доступа к их ресурсам я подробно писал в недавнем посте, и повторяться не буду. Процедуры доведения судебных решений до Роскомнадзора в проекте не появилось ни ко второму, ни к третьему чтению. Кстати, норма об отмене блокировки без решения суда, а только на основании оценки Роскомнадзором принятых мер по устранению нарушения тоже весьма интересная – решения суда в силе, а Роскомнадзор может его не выполнять и блокировку снять.
Два года – срок большой. Случиться может многое. Но общая тенденция на сегодняшний день понятна.
И да, господа комментаторы. Нет в законе и подзаконных актах персональных данных 4-го класса. Вообще нет. Не надо придумывать и еще больше запутывать и так обеспокоенных темой неподготовленных соотечественников.

16 комментариев:

  1. > А там, между прочим, прямо написано, что из-под действия Федерального закона № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» выводится контроль и надзор не только за обработкой персональных данных, но и за соблюдением требований в связи с распространением информации в информационно-телекоммуникационной сети «Интернет». Вы понимаете, что произошло?

    Да, это реальная "жесть".

    > Я не стану, как некоторые коллеги и комментаторы, Алексей Волков, например, уповать на то, что перечислены не все указанные в законе способы обработки, и в тексте изменений отсутствуют слова «исключительно» или «только» перед словами «на территории Российской Федерации». Того, что написано, на мой взгляд, вполне достаточно для однозначного понимания. В России, и точка.

    Да, это так - и "обходной маневр", предложенный мной, не особо-то эффективен, но что делать. Я об этом честно написал.

    > Закон обязывает сбор персональных данных россиян, в том числе и в интернете, организовать таким образом, чтобы дальнейшая их обработка осуществлялась с использованием баз данных, находящихся на территории Российской Федерации.

    Если быть точным, закон вносит изменения в 152-ФЗ, и, стало быть, обязывает это делать всех, кто подпадает под 152-ФЗ. Внимание, вопрос: подпадают ли сейчас Google, Facebook и иже с ними под 152-ФЗ?

    ОтветитьУдалить
  2. Алексей, по поводу последнего вопроса. По мнению законодателей и регуляторов в части распространения информации на территории России - да. Я понимаю бессмысленность формулировки применительно к инету, поэтому и пишу "по мнению". Но заблокировать Гугл и Книгоморду в России будут все основания.

    ОтветитьУдалить
    Ответы
    1. Михаил, Юрьевич, вот это самый интересный вопрос - на основании чего регуляторы считают, что они могут регулировать зарубежные компании, действующие за рубежом? Информация ведь не распространяется на территории РФ - она сразу уходит, скажем, в США, по воле субъекта. ФЗ ведь действуют на территории РФ или для лиц, зарегистрированных на территории РФ - почему facebook обязан соблюдать его? НА что ссылаются регуляторы, если предъявляют какие-то нарушения или пытаются занести ресурс в перечень запрещенных в случае нарушения правил обработки ПДн? Не могу этого понять, только как самодурство.

      Удалить
    2. Логика проста, как апельсин: доступ к ресурсам, где есть персональные данные россиян, осуществляется на территории России, значит, должны выполняться законы России. А нет - отключим воду (зачеркнуто) отрубим доступ. Ну, и волнуются они очень, что к нашим данным получат доступ нехорошие спецслужбы, АНБ там и МИ всякие, и очень хотят нас, неразумных, от этого защитить (зачеркнуто) дать доступ и нашим службам тоже. А то как-то несправедливо получается.

      Удалить
  3. Михаил Юрьевич, главная мысль моей заметки сводилась к тому, что если иностранные компании, зарегистрированные за рубежом, не имеющие представительств на территории РФ, осуществляющие деятельность по обработке ПДн, но имеющие дата-центры предоставляющие сервис российским гражданам на русском языке, подпадают под 152-ФЗ, то от требований разместить базы данных на территории РФ ничего не изменится: их можно уже сейчас блокировать только за то, что они не подали уведомление в роскомнадзор. Если же не подпадают ( а Роскомнадзор говорит, что нет - по крайне мере здесь http://rkn.gov.ru/treatments/p459/p468/?print=1 пролистайте вниз, там есть ответ) - тогда Роскомнадзор их не сможет заблокировать по причине отсутствия дата-центров в РФ, так как это требование - в 152-ФЗ.

    Я просто не понимаю, почему так резко все привязались к БД в этой части.

    ОтветитьУдалить
  4. Сейчас заблокировать ничего нельзя - нет такой формы пресечения нарушений обработки персданных. Подавать уведомление должны не все - есть исключение. Мы своим клиентам, работающим в инете, активно предлагаем размещение оферты или пользовательского соглашения на сайте, а это договор в терминах ГК и попадание под исключение об уведомлении. Ну, и с юрисдикцией РФ в отношении Гугла спорить невозможно, однако весь закон - про организацию блокировки гуглов, на мой взгляд. Вы же читаете про постоянные вызовы их на ковер по поводу персданных бедных граждан. Правда, они не всегда приходят :-)

    ОтветитьУдалить
  5. То есть, вы считаете, что законодатель внес гарантированную позицию для блокирования таких операторов, и, поскольку они "осуществляют деятельность по сбору ПДн на территории РФ" только потому, что на территории РФ есть Интернет, то вопрос с обязательством применения ими 152-ФЗ автоматически решается положительно в Мосгорсуде?

    ОтветитьУдалить
  6. Зачем Мосрог. Басманного достаточно. Или Нижневерхневольтовского мирового. И считаю я именно так.

    ОтветитьУдалить
  7. Что ж, Ваша позиция кажется мне вполне реальной, к сожалению. Поживем - увидим, что будет дальше.

    ОтветитьУдалить
  8. Мне, к большому сожалению, она тоже кажется реальной :-( Но два года - ну очень большой срок для таких дел. Так что еще поживем и еще увидим

    ОтветитьУдалить
  9. > Сейчас заблокировать ничего нельзя - нет такой формы пресечения нарушений обработки персданных.

    Оказывается, можно :) http://rkn.gov.ru/news/rsoc/news26191.htm

    Основанием для включения указанного сайта в реестр явилось решение Ангарского городского суда Иркутской области по иску Роскомнадзора в защиту прав неопределённого круга лиц в связи с незаконной обработкой их персональных данных.

    И не важно, где у нарушителя база данных и какая у него юрисдикция :)

    ОтветитьУдалить
  10. Приведу пример: Я захожу на сайт газеты NYT, регистрируюсь и пишу комментарий к статье: Вы все не правы, в зимбабве террористов нет, я там был. Кому нужна правда - звоните: Иванов Ибрагим Джонович из города Новоамерикановск, 007000000000. или пишите на email: ______________.
    Я правильно понимаю, что эта обработка подпадает под действие 152-закона и NYT должны иметь в России базу данных для хранения моих данных?

    ОтветитьУдалить
  11. У меня вопрос про международные компании, имеющие представительства в РФ. В таких компаниях обычно есть системы типа SAP = ввод ПДн через web-интерфейс. При этом системы хостятся целиком и для всех в ЦОДах при штаб-квартирах. Вот что в случае принятия закона делать им: делать в РФ полное зеркало, или же поднимать аналогичную систему только для российского сегмента с односторонней репликацией с системой из-за рубежа (то есть получать данные из зарубежной системы, но при этом не иметь возможности данные туда передать)?

    ОтветитьУдалить
  12. Юлия, мне трудно советовать всем международным компаниям :-). Я думаю, наши соответствующие органы хотели бы видеть полную реплику, но для выполнения закона достаточно иметь выгрузку с данными россиян на территории России. Пока, во всяком случае, судя по каментам инициаторов. Но строго говоря, закон моно читать и так: данные россиян должны быть только в России. Я понимаю абсурдность того, что только что написал, но закон вполне допускает и такое прочтение. Кстати, из Думы пришел слушок, что осенью будут думать над поправками к только что принятому :-)

    ОтветитьУдалить