В России вступил в силу закон о персональных данных

Часть компаний уже отчиталась о готовности следовать новым нормам, однако Google, Facebook и Apple пока не делали заявлений по поводу соблюдения этого закона

Фото: YAY/ТАСС

Москва. 1 сентября. INTERFAX.RU - Выполнение российскими и зарубежными компаниями требований законодательства РФ по локализации персональных данных россиян растянется, вероятно, на годы, несмотря на то, что отведенный на это срок уже истек – новые нормы вступили в силу с 1 сентября.

О чем звонит колокол?

Во вторник вступили в силу поправки к закону "О персональных данных", которые требуют локализации персональных данных на территории России. Любая российская или зарубежная компания, ориентированная на работу с российскими пользователями, должна обеспечивать запись, систематизацию, накопление, хранение, уточнение персональных данных россиян с использованием баз данных, находящихся на территории РФ.

В обновленном законе пересмотрено само понятие персональных данных. Теперь это не только ФИО и, например, адрес и год рождения, а любая информация, относящаяся к определяемому ею физлицу.

За соблюдением этих норм будет следить Роскомнадзор, которому поручено создание реестра нарушителей законодательства о персональных данных, а также дано право блокировать сайты тех компаний или организаций, которые включены в этот реестр. Решение о включении компании в реестр нарушителей принимает суд. Помимо этого суд может оштрафовать компанию-нарушителя на сумму до 300 тыс. рублей.

Разблокирование интернет-ресурса осуществляется Роскомнадзором также по решению суда или по сообщению хостинг-провайдера или владельца ресурса об устранении нарушения.

В ряде случаев обновленный закон разрешает обработку персональных данных россиян на территории других государств: в целях исполнения правосудия, исполнения полномочий органов госвласти и местного самоуправления, а также для достижения целей, предусмотренных международным договором.

Закон не будет распространяться на выдачу виз, продажу авиабилетов, деятельность СМИ и судов, заявлял руководитель Роскомнадзора Александр Жаров. Трансграничная передача данных россиян законом разрешена, однако храниться они должны на территории РФ, говорил он. Вместе с тем, возможно временное хранение дубликата данных за рубежом, но только на срок, необходимый для выполнения действий, для которых они передавались за границу. Например, данные гражданина РФ могут быть переданы в заграничный отель или клинику, но после того, как отдых или лечение закончится, данные клиента на зарубежных серверах должны быть аннулированы, объяснял Жаров.

По оценкам экспертов Российской ассоциации электронных коммуникаций (РАЭК), с 1 сентября для российских интернет-пользователей фактически ничего не изменится, в том числе и при работе с зарубежными интернет-магазинами.

"В законодательстве нет никаких оснований распространять на неработающий в РФ интернет-магазин требования российского закона, однако как пойдет правоприменительная практика, покажет время, - говорится в комментарии РАЭК. - Не исключено, что в целом будет соблюдаться принцип территориального действия закона (контролироваться на предмет размещения серверов в России будут только российские юридические лица и иностранцы, имеющие здесь филиалы и представительства), но для каких-то отдельных случаев правоприменитель будет толковать закон шире". Особенно, если об этом будут просить интернет-пользователи.

По действующему закону каждый пользователь может подать жалобу в Роскомнадзор о нарушении его прав на защиту персональных данных. С 1 сентября к жалобам можно будет добавлять заявления о блокировке ресурса, нарушившего права пользователя.

Будь готов! Всегда готов!

Интернет-бизнес, прежде всего российский, активно критиковал нововведения в законодательство о персональных данных. Спектр причин, которые ударят по бизнесу компаний, указывался довольно широкий. Здесь и финансовые затраты, и нехватка мощностей центров обработки данных (ЦОД), и малые сроки на подготовку к локализации персональных данных. Но прежде всего - неточность формулировок закона и отсутствие подзаконных актов, которые и должны определять правила применения новых норм.

Однако с появлением первых соответствующих подзаконных актов, с началом регулярных встреч представителей компаний с сотрудниками Роскомнадзора, которые в меру своего понимания пытались разъяснять требования закона о локализации персональных данных, накал страстей снижался, а вопросов становилось все меньше и меньше.

Более того, в конце июля РАЭК провела анонимный опрос 40 российских и зарубежных интернет-компаний, который показал, что 54% компаний полностью готовы соблюдать требования закона о локализации персональных данны. Еще 27% опрошенных заявили о возможной неполной готовности компаний к указанной дате, а 19% ответили, что вовсе не готовы.

Намного интересней оказалась реакция зарубежных компаний. С критикой закона они не выступали и время от времени встречались с представителями Роскомнадзора. Но результаты встреч, как и работу по подготовке к 1 сентября они никак не комментировали. При этом в СМИ появлялись сообщения, что к переносу данных в РФ приступили Samsung, Lenovo, Aliexpress, Ebay, PayPal, Uber, Booking.com. В свою очередь источник на рынке рассказывали "Интерфаксу", что некоторые из названных компаний не определились ни со сроками локализации персональных данных, ни с объемом переносимых данных и даже не выделили соответствующие бюджеты.

"К 1 сентября готовы - соответствуем требованиям регулятора, - заявил "Интерфаксу" глава PayPal в России Владимир Малюгин. - Как и что реализовано - это наше техническое решение, детали которого раскрывать не хотелось бы". Также Малюгин рассказал, что у компании были вопросы к регулятору по поводу трансграничной передачи данных, трактовок и определений различных положений закона.

"Сегодня есть разъясняющие письма Роскомнадзора и Минкомсвязи, которые дают достаточно подробные разъяснения и определения по всем вопросам в области локализации персональных данных, что позволило игрокам рынка начать отстраивать свои соответствующие процессы, - сказал Малюгин. - Конечно, хотелось бы, чтобы такое понимание в подобных сложных вопросах появлялось на более ранних этапах".

В eBay, частью которой совсем недавно была PayPal, "Интерфакс" также заверили, что с 1 сентября компания соответствует требованиям российского законодательства. О своей готовности исполнять российское законодательство о персональных данных сообщал и китайский онлайн-ритейлер AliExpress.

В свою очередь, американская Oracle заявила, что во всех странах, где компания работает, она соблюдает требования законодательства. Однако подтвердить "Интерфаксу" готовность компании к работе с персональными данными россиян в соответствии с новыми требования сотрудники Oracle не смогли.

IBM и SAP отказались комментировать тему локализации персональных данных. При этом немецкая компания пообещала подробно рассказать журналистам о своей работе в этом направлении в середине сентября.

"Мы тесно сотрудничаем с нашими партнерами для того, чтобы наши корпоративные клиенты имели возможность соответствовать положениям нового закона и продолжали пользоваться облачными услугами, оставаясь уверенными, что такие сервисы отвечают всем требованиям закона, - отметили "Интерфаксу" в пресс-службе Microsoft Russia. - Это включает в себя технические изменения, добавленные в наши продукты и услуги, изменения в договорных обязательствах, вносимые в соглашения с нашими технологическими партнерами в России, и специальное подробное руководство для наших клиентов и партнеров по конфигурации продуктов и услуг с учетом требований закона".

"Не все сервисы компании подпадают под действие нового закона, - отметили в Microsoft. - В тех случаях, где положения закона применимы к услугам компании, мы обеспечиваем их соблюдение".

При этом в компании подчеркнули, что Microsoft продолжит диалог с российскими госорганами для уточнения вопросов применения соответствующего законодательства к ряду корпоративных и пользовательских сервисов Microsoft.

Кстати, партнеры Microsoft также ведут работу, направленную на локализацию персональных данных и не только. "Во многих странах, не только в России, бизнес начинает использовать системы и сервисы резервного хранения данных, в том числе, для того, чтобы эти данные были "приземлены" на территории страны, - сказал "Интерфаксу" глава компании Acronis Сергей Белоусов. - Для примера, в октябре-ноябре у нас выйдет продукт, который будет обеспечивать резервное хранение данных из облачного сервиса Microsoft Office 365. При этом Microsoft будет помогать его продвигать, чтобы пользователи могли делать копию своих данных вне облака Microsoft - в своих странах".

В то же время ряд зарубежных компаний как не занимались, так и не занимаются, а возможно, и не планируют заниматься локализацией персональных данных россиян. К их числу, например, можно отнести Google, Facebook и Apple.

Первая из них, несмотря на неоднократные встречи с руководством Роскомнадзора, все еще думает, как будет соблюдать закон. Facebook один раз обсудил с Роскомнадзором этот вопрос в конце августа, однако о результатах встречи ни ведомство, ни компания рассказать не пожелали.

Взгляд из зазеркалья

К настоящему времени ни регуляторы, ни отраслевые ассоциации не дают четкого понимания и оценки ситуации. Здесь некоторую ясность могут дать российские IT-компании и сервис-провайдеры, занимающиеся локализацией персональных данных. По их данным, ситуация далека от идеальной.

По мнению директора сервисного центра IBS по поддержке бизнес-приложений Дмитрия Ивицкого к 1 сентября перенос успело осуществить не более 20% компаний, потенциально подпадающих под действие закона о локализации персональных данных.

"Кто-то планировал, но просто не успел перенести свои информационные системы до 1 сентября, кто-то занял выжидательную позицию, кто-то пока не считает, что это его касается, - сказал Ивицкий. - Мы ожидаем, что спрос на эту услугу сохранится минимум на ближайшие полгода-год, но во многом дальнейшая ситуация будет зависеть от того, насколько жестким будет контроль соблюдения законодательства со стороны надзорных органов".

"Поскольку технологически задача вполне реализуема, то, думаю, что все, кого спрашивали, могли ответить, что они готовы, - прокомментировал "Интерфаксу" гендиректор "Онланта" (входит в группу компаний "Ланит" и предоставляет различные облачные сервисы - ИФ) Сергей Таран результаты опроса РАЭК. - Но это не значит, что завтра их информационные системы начнут работать в новой архитектуре. Этим надо заниматься, и, пока не началось реальное давление со стороны регуляторов, заказчики не будут спешить".

В то же время представители компаний отмечают интерес заказчиков к услугам по локализации как персональных данных, так и в целом информационных систем. "В последнее время мы фиксируем рост интереса к нашим услугам, связанный с необходимостью локализовать персональные данные, - сказал исполнительный директор "Селектел" (оператор сети ЦОД) Олег Любимов. - Но процент таких запросов в общей массе пока невелик".

"Запросы (на локализацию персональных данных - ИФ) приходят, заказчики оценивают, рассматривают - изучают вопрос без заключения договора, - подтвердил Таран. - По всей видимости, они пока не видят для себя негативных последствий и ждут, когда закон начнет реально применяться".

Примечательно, что к основной проблеме в деле локализации персональных данных эксперты отнесли не технические и не финансовые трудности.

"Основная проблема для заказчика, это, конечно же, выбор надежного локального хостинг-провайдера и подрядчика способного в минимальный срок, с минимальными рисками и с минимальным даунтаймом осуществить перенос систем", - сказал Ивицкий.

"У зарубежных компаний проблемы могут возникнуть при анализе рынка и выборе поставщика услуг, - добавил Любимов. - Дело в том, что большинство брендов российских провайдеров никак не представлены за рубежом, даже на уровне отражения в авторитетных аналитических отчетах, а многие операторы не имеют опыта работы с иностранными заказчиками. Это выливается в элементарное отсутствие базовых документов на английском, персонала, способного поддерживать на должном уровне коммуникацию и т.д.".

Технические проблемы, по мнению Любимова, могут возникнуть только в случаях, требующих одновременной установки большого количества оборудования на одной площадке. То есть, речь может идти, например, не о локализации персональных данных, а о локализации всей информационной системы, в которой обрабатываются персональные данные.

"В информационных системах зарубежных компаний, которые обрабатывают различные взаимосвязанные данные, могут обрабатываться в том числе и персональные данные россиян, - уточнил Таран. - Если переносить персональные данные российских граждан из этих систем на территорию РФ, то нужно переписывать часть этого прикладного ПО, чтобы оно могло работать в новой конфигурации".

Государево око смотрит. И верит

Роскомнадзор в настоящее время в своей оценке ситуации с локализацией персональных данных ориентируется на результаты анонимного опроса 40 компаний, проведенного РАЭК в июле.

"Это положение дел (результаты опроса - ИФ) подтверждалось и в ходе наших персональных переговоров со многими крупными участниками рынка, и на основании публичных заявлений различных компаний, - сказал "Интерфаксу" представитель Роскомнадзора Вадим Ампелонский. - Еще до принятия закона представители, например, компании Booking.com (сервис бронирования отелей) заявили в СМИ, что не видят для себя каких-то существенных проблем в связи с этим законом и, конечно, будут соответствовать его требованиям".

По словам Ампелонского, в настоящий момент компания полностью выполнила свое обещание: "Мы знаем даже, в каких дата-центрах они будут хранить персональные данные российских пользователей своего сервиса (Booking.com - клиент российских дата-центров британской компании IXcelerate)".

Также Ампелонский отметил, что ранее свою готовность переносить данные в Россию подтвердили eBay и PayPal, AliExpress, Samsung, Lenovo, Uber, Citybank и многие другие. "У нас нет никаких оснований им не доверять, - сказал он. - Насколько мне известно, 1 сентября компания Samsung открывает собственный дата-центр в нашей стране, необходимый для исполнения требований закона".

Что касается Facebook, Google и Apple, то первым двум была предоставлена исчерпывающая информация о механизмах применения закона. Роскомнадзор рассчитывает, что компании в ближайшее время озвучат свои официальные позиции по этому поводу. "С Apple мы не общались, - отметил Ампелонский. - В любом случае, в плане проверок на 2015 год данные компании не числятся".

"В принципе, они (Facebook, Google и Apple - ИФ) могут работать до тех пор, пока не наступит время плановой проверки - или по каким-то причинам не будет принято решение о внеплановой проверке", - отмечал ранее Жаров.

Что касается самих проверок, то до конца текущего года Роскомнадзор намерен проверить 317 компаний (0,012% всех компаний, работающих с персональными данными в России) на выполнение требований по локализации персональных данных. Этот список подготовлен Генпрокуратурой РФ. В числе прочих в этот перечень вошли "Скартел", "ЛУКОЙЛ-Информ", петербургское отделение "Ростелекома", российское представительство General Motors. Уже в сентябре ведомство намерено провести около 90 проверок. Впрочем, сами проверки будут носить только документарный характер.

Также Роскомнадзор рассчитывает, что после принятия постановления правительства РФ о порядке контроля по закону о локализации персональных данных он сможет самостоятельно инициировать внеплановые проверки - например, если в ведомство будут поступать многочисленные обращения граждан и организаций о существенных нарушениях. "Внеплановая проверка - это всегда мера оперативного реагирования на возникающие очаги напряженности, - отметил Ампелонский. - Внеплановая проверка может быть назначена, если оператор подаст недостоверные сведения об обработке персональных данных".