Чем нам грозит закон «О персональных данных»

Что будет с персональными данными россиян в 2015 году

Эрик Хачатрян, Юнна Коцар, Дмитрий Бевза 26.12.2014, 14:55
iStockphoto

Совет Федерации одобрил поправки к закону «О персональных данных». Таким образом, 1 сентября 2015 года он вступит в силу.

Новые поправки к закону «О персональных данных», которые одобрила верхняя палата Федерального собрания, вызвали бурю обсуждения в сети. «Газета.Ru» решила разобраться, чем эти изменения в законодательстве обернутся для обычных пользователей.

Ключевые поправки в Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных» вносятся в статью 18. Согласно этим изменениям, оператор, собирающий персональные данные, обязан хранить их на сервере, который располагается на территории России.

При этом предусмотрены исключения для указанных в четырех пунктах данных (2, 3, 4, 8 части 1 статьи 6). Они связаны с международными обязательствами России, осуществлением правосудия, работой органов государственной власти, научной, творческой и журналистской деятельностью. Стоит понимать, что речь в поправках идет только об операторах данных. Оператор данных — это физическое либо юридическое лицо или государственный орган, который осуществляет хранение и обработку персональных данных.

Исходя из системного толкования законодательства (и недопустимости необоснованной экстерриториальности его действия), требования закона о персональных данных распространяются на российские компании и зарегистрированные на территории РФ филиалы и представительства иностранных юридических лиц, подчеркивает руководитель группы практики по разрешению споров международной юридической компании Goltsblat BLP Наталья Беломестнова.

Если у иностранного юридического лица нет на территории России филиала или представительства, то на него не распространяются требования закона «О персональных данных», говорит юрист. Такого толкования всегда придерживался и сам Роскомнадзор.

Важный момент — действующий закон №152-ФЗ трактует понятие персональных данных максимально широко. Согласно закону, персональные данные — это ЛЮБАЯ информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В реестре Роскомнадзора в России сейчас зарегистрировано почти 314 тыс. физических и юридических лиц, а также государственных органов, которые осуществляют подобную деятельность. И закон касается в первую очередь именно тех, кто в этом реестре фигурирует.

Также были внесены и поправки в статью 15 №152-ФЗ «Порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных». Теперь для борьбы с «операторами персональных данных», нарушающих данный закон, будет создан «Реестр нарушителей прав субъектов персональных данных», а доступ к этим операторам будет блокироваться Роскомнадзором.

Поправки в закон касаются только хранения персональных данных на территории РФ. То есть серверы с базами данных должны находиться на территории Российской Федерации, но передачи и обработки этих данных за рубежом поправки не коснулись.

В законе «О персональных данных» уже существует статья 12 под названием «Трансграничная передача персональных данных». И согласно первому пункту статьи, персональные данные граждан могут отправляться в те страны, которые приняли конвенцию Совета Европы о защите этих самых данных, а также в страны, не являющиеся стороной конвенции, но обеспечивающие адекватную защиту прав субъектов персональных данных.

При этом никто не запрещает вам как пользователю интернета отправлять свои персональные данные в условный французский или немецкий интернет-магазин, который торгует вязаными шарфиками. Во всяком случае, в законе таких ограничений нет.

«Гражданин РФ имеет полное право распоряжаться своими персональными данными любым способом, в том числе и передавать свои данные за границу интернет-магазину, — говорит Наталья Беломестнова. — Основной вопрос как раз в другом: какие будут последствия такой передачи для самого интернет-магазина и сможет ли Роскомнадзор предъявлять ему какие-то претензии (в том числе заблокировать доступ к его сайту на территории России)».

В законодательстве нет никаких оснований распространять на не работающий в РФ интернет-магазин требования российского закона, однако как пойдет правоприменительная практика, покажет время. «Не исключено, что в целом будет соблюдаться принцип территориального действия закона (контролироваться на предмет размещения серверов в России будут только российские юридические лица и иностранцы, имеющие здесь филиалы и представительства), но для каких-то отдельных случаев правоприменитель будет толковать закон шире (хотя очевидных оснований для этого нет)», — отмечает Наталья Беломестнова.

Главный аналитик Российской ассоциации электронных коммуникаций (РАЭК) Карен Казарян считает, что оценить, как повлияют новые поправки на интернет-бизнес и российских интернет-пользователей, пока сложно.

«Поправки к закону написаны так, что трактовка закона может быть максимально широкой.

С одной стороны, это дает возможность использовать его избирательно против определенных компаний, с другой, в нем столько «дыр», что и сами операторы персональных данных могут использовать эти лазейки для его обхода.

Так, например, у России есть немало международных обязательств, которые позволяют хранить персональные данные не на территории России. Кроме того, проверить, хранит ли оператор все персональные данные (а они зашифрованы) на российских серверах или только их часть, весьма затруднительно. И таких нюансов много. Мы (РАЭК) ожидаем, что будут приняты подзаконные акты, которые уточнят и дополнят действие закона. Многое станет ясно уже после начала действия закона и первых случаев его применения», — сказал Казарян.