Готова ли Россия к "персональным данным"

Накануне вступления в силу изменений в закон "О персональных данных" можно все чаще услышать мнение, что с 1 сентября 2015 года многие зарубежные интернет-компании столкнутся с проблемами в России и даже будут вынуждены рассмотреть вопрос о целесообразности ведения деятельности в стране. "Газета.Ru" выяснила, что действительно ждет зарубежные IT-компании.

На восприятие нового закона очень сильно повлияли новостной фон и громкие скандалы с блокировками интернет-ресурсов из-за нарушений так называемого закона о блогерах и законодательства в области авторского права и нелицензионного контента. Недавно Роскомнадзор также сообщил о создании "реестра нарушителей прав субъектов персональных данных".

Изменения в закон о персональных данных готовились с целью прекращения незаконной обработки данных россиян и бесконтрольного использования информации о них на территории других государств, что позволяло, по сути, игнорировать российское законодательство.

Законопроект прошел длительное обсуждение с привлечением представителей интернет-отрасли и претерпел значительные изменения. В частности, основное требование закона – собирать, хранить и обрабатывать первичную базу данных с информацией россиян на территории России – сделало бы экономически нецелесообразным работу в нашей стране таких компаний, как Facebook, Twitter, Microsoft и Google . Во многом поэтому законодатели разрешили трансграничную обработку и передачу данных.

Единственное требование к хранению и обработке данных за рубежом заключается в том, чтобы стандарты обеспечения информационной безопасности при этом соответствовали требованиям Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Важно, что изменения в законе коснутся только новых данных россиян. Те базы данных, которые были собраны за рубежом до 1 сентября 2015 года, под его действие не попадут, но и обновлять и дополнять их по-старому, без создания первичных баз на территории РФ, будет уже нельзя.

Это позволило всем заинтересованным компаниям, действующим в России, подготовиться к изменениям без ущерба своей деятельности.

Закон установил соответствие "виртуальных границ" России географическим границам РФ, определил, что речь идет о российских гражданах, если используется доменное имя ".рф", есть русскоязычная версия сайта, расчеты производятся в рублях, договор (например, о доставке товара) заключен на территории нашей страны или используется реклама на русском языке.

Закон также ввел необходимые определения и расширил права российских пользователей интернета в плане обработки их персональных данных. Пользователи имеют право подать жалобу в Роскомнадзор, если считают, что назойливый спам в электронной почте или на мобильный телефон – результат неправомерной обработки их персональных данных. То же касается и назойливой персонализированной рекламы. Далее степень вины оператора персональных данных будет устанавливаться в судебном порядке.

С одной стороны, это хорошо, так как граждане цивилизованной страны должны иметь возможность защитить свое право на неприкосновенность информации о себе и личного пространства. С другой стороны, все сильно зависит от практики правоприменения, поскольку любой неадекватный гражданин и недостаточно компетентный в вопросах современных интернет-технологий суд сможет создать большие проблемы для оператора персональных данных.

Персональная ответственность для сотрудников операторов персональных данных за неисполнение закона установлена в Административном, Трудовом и Уголовном кодексах РФ и варьируется от 20 тыс. руб. за игнорирование запросов Роскомнадзора и невыполнение его предписаний до уголовного штрафа в размере 300 тыс. руб., исправительных работ и лишения свободы.

Тем не менее с 1 сентября 2015 года процесс хранения и обработки данных практически не изменится, считает главный аналитик Российской ассоциации электронных коммуникаций Карен Казарян.

"Нарушение условий хранения не является основанием для блокировки, – рассказал он. – Роскомнадзор проверяет соответствующие документы, а не серверы, при этом план проверок доступен на сайте rkn.gov.ru".

В плане проверок на 2015 год крупнейшие зарубежные интернет-компании не значатся. Однако есть внеплановые выездные проверки, о которых оператора персональных данных предупреждают за 24 часа. Все проверки проводятся по инициативе Роскомнадзора и не согласуются с прокуратурой. Исключением являются проверки по обращениям граждан, государственных органов, муниципальных органов власти и средств массовой информации.

"На самом деле, требования закона носят формальный характер, поскольку российские надзорные органы не смогут следить за его реальным исполнением", – рассказал источник, консультировавший ряд западных IT-компаний по вопросу размещения данных в России.

По его словам, надзорные органы не смогут проследить за реальным массивом хранящихся данных, поскольку им неизвестен их изначальный объем. Кроме того, доступ к арендуемым компаниями серверам не будет предоставляться даже владельцам дата-центров, не говоря уже о сотрудниках надзорных ведомств.

"Да и само понятие трансграничности данных исключает хранение всего массива информации о российских пользователях на российских серверах", – заключил источник.

Казарян считает, что интернет-компании в большинстве своем готовы к исполнению закона. О переходе на российские серверы уже объявили интернет-аукцион eBay, поисковик Google, платежный сервис PayPal и сервис по бронированию отелей Booking.com. Проблемы могут возникнуть у компаний, не связанных с интернет-отраслью.

Тем не менее многие компании заняли выжидательную позицию. По словам Казаряна, часть компаний принимают подготовительные меры и собираются смотреть на фактическое правоприменение закона, на основе чего будут определять масштабы размещения в России в зависимости от экономического эффекта.

Сомнения ряда иностранных игроков также могут быть связаны с неспособностью российских дата-центров удовлетворить высоким требованиям западных компаний к уровню сервиса SLA (Service level agreements).

Однако в целом от вступления в силу изменений в закон российские операторы коммерческих дата-центров, несомненно, выиграют, – подытоживает эксперт.

"Места для переноса данных точно хватит всем, – рассказал ведущий аналитик в области промышленных систем IDC Russia Михаил Попов. – Хотя точный объем посчитать сложно, поскольку у нас множество ЦОДов разных типов: коммерческие, государственные, полугосударственные, телекоммуникационные, корпоративные и т.д. Если говорить о компаниях, которые переносят данные в Россию во исполнение закона, то в коммерческих ЦОДах для них достаточно места".

Попов утверждает, что вопрос сравнения цен на услуги дата-центров в России и за рубежом сейчас отходит на второй план из-за курса рубля и спрогнозировать стоимость из-за курсовых колебаний просто невозможно. Цена также во многом зависит от того, какие данные будут храниться, и от алгоритмов сжатия, которые позволяют экономить место.

Безопасность российских ЦОДов определяется законодательством и технической документацией. Есть требования ФСТЕК и ФСБ, которые необходимо соблюдать для получения лицензии. Таким образом, дата-центры любого типа, которые предоставляют услуги хранения данных, сертифицированы, и все они предоставляют более или менее равные по степени защищенности услуги. На сегодня требований указанных выше ведомств достаточно, и сертификаты имеют все крупные, большинство средних и достаточное количество малых ЦОДов.

Однако часть интернет-компаний все же не пойдут на перенос данных. "Это либо слишком мелкие компании, либо слишком крупные, которым все равно, например, Facebook, – говорит Попов. – Эта социальная сеть устроена таким образом, что крайне сложно сказать, на каком именно сервере хранится тот или иной кусок ваших персональных данных. В Европе им уже пришлось переработать свои алгоритмы для соответствия, к примеру, немецкому законодательству".

По мнению эксперта, определенную выгоду от введения закона получает весь рынок дата-центров, в том числе и крупные российские компании, такие как "Ростелеком", которые в последнее время активно скупают операторов дата-центров.

"При этом выиграют и посредники, – добавляет аналитик IDC. – Один из ярких примеров – "Метрекс", предоставляющая для хранения данных как свои, так и арендуемые ЦОДы. У них за последние 12 месяцев обороты увеличились почти в два раза".

Попов считает, что хранить данные в России полезно с точки зрения национальной безопасности, налогообложения и увеличения числа рабочих мест. "Внедрение этого закона в целом поможет развитию отрасли", – подытоживает эксперт.

Авторы статьи: Алексей Короткин, Эрик Хачатрян, Владимир Тодоров

Tweet