Кого слушает президент

Готова ли Россия к «персональным данным»

Что изменится в интернете с 1 сентября 2015 года

Алексей Короткин, Эрик Хачатрян, Владимир Тодоров 31.08.2015, 18:01
Shutterstock

Накануне вступления в силу изменений в закон «О персональных данных» можно все чаще услышать мнение, что с 1 сентября 2015 года многие зарубежные интернет-компании столкнутся с проблемами в России и даже будут вынуждены рассмотреть вопрос о целесообразности ведения деятельности в стране. «Газета.Ru» выяснила, что действительно ждет зарубежные IT-компании.

На восприятие нового закона очень сильно повлияли новостной фон и громкие скандалы с блокировками интернет-ресурсов из-за нарушений так называемого закона о блогерах и законодательства в области авторского права и нелицензионного контента. Недавно Роскомнадзор также сообщил о создании «реестра нарушителей прав субъектов персональных данных».

Изменения в закон о персональных данных готовились с целью прекращения незаконной обработки данных россиян и бесконтрольного использования информации о них на территории других государств, что позволяло, по сути, игнорировать российское законодательство.

Законопроект прошел длительное обсуждение с привлечением представителей интернет-отрасли и претерпел значительные изменения. В частности, основное требование закона — собирать, хранить и обрабатывать первичную базу данных с информацией россиян на территории России — сделало бы экономически нецелесообразным работу в нашей стране таких компаний, как Facebook, Twitter, Microsoft и Google . Во многом поэтому законодатели разрешили трансграничную обработку и передачу данных.

Единственное требование к хранению и обработке данных за рубежом заключается в том, чтобы стандарты обеспечения информационной безопасности при этом соответствовали требованиям Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Важно, что изменения в законе коснутся только новых данных россиян. Те базы данных, которые были собраны за рубежом до 1 сентября 2015 года, под его действие не попадут, но и обновлять и дополнять их по-старому, без создания первичных баз на территории РФ, будет уже нельзя.

Это позволило всем заинтересованным компаниям, действующим в России, подготовиться к изменениям без ущерба своей деятельности.

Закон установил соответствие «виртуальных границ» России географическим границам РФ, определил, что речь идет о российских гражданах, если используется доменное имя «.рф», есть русскоязычная версия сайта, расчеты производятся в рублях, договор (например, о доставке товара) заключен на территории нашей страны или используется реклама на русском языке.

Закон также ввел необходимые определения и расширил права российских пользователей интернета в плане обработки их персональных данных. Пользователи имеют право подать жалобу в Роскомнадзор, если считают, что назойливый спам в электронной почте или на мобильный телефон — результат неправомерной обработки их персональных данных. То же касается и назойливой персонализированной рекламы. Далее степень вины оператора персональных данных будет устанавливаться в судебном порядке.

С одной стороны, это хорошо, так как граждане цивилизованной страны должны иметь возможность защитить свое право на неприкосновенность информации о себе и личного пространства. С другой стороны, все сильно зависит от практики правоприменения, поскольку любой неадекватный гражданин и недостаточно компетентный в вопросах современных интернет-технологий суд сможет создать большие проблемы для оператора персональных данных.

Персональная ответственность для сотрудников операторов персональных данных за неисполнение закона установлена в Административном, Трудовом и Уголовном кодексах РФ и варьируется от 20 тыс. руб. за игнорирование запросов Роскомнадзора и невыполнение его предписаний до уголовного штрафа в размере 300 тыс. руб., исправительных работ и лишения свободы.

Тем не менее с 1 сентября 2015 года процесс хранения и обработки данных практически не изменится, считает главный аналитик Российской ассоциации электронных коммуникаций Карен Казарян.

«Нарушение условий хранения не является основанием для блокировки, — рассказал он «Газете.Ru». — Роскомнадзор проверяет соответствующие документы, а не серверы, при этом план проверок доступен на сайте rkn.gov.ru».

В плане проверок на 2015 год крупнейшие зарубежные интернет-компании не значатся. Однако есть внеплановые выездные проверки, о которых оператора персональных данных предупреждают за 24 часа. Все проверки проводятся по инициативе Роскомнадзора и не согласуются с прокуратурой. Исключением являются проверки по обращениям граждан, государственных органов, муниципальных органов власти и средств массовой информации.

«На самом деле, требования закона носят формальный характер, поскольку российские надзорные органы не смогут следить за его реальным исполнением», — рассказал «Газете.Ru» источник, консультировавший ряд западных IT-компаний по вопросу размещения данных в России.

По его словам, надзорные органы не смогут проследить за реальным массивом хранящихся данных, поскольку им неизвестен их изначальный объем. Кроме того, доступ к арендуемым компаниями серверам не будет предоставляться даже владельцам дата-центров, не говоря уже о сотрудниках надзорных ведомств.

«Да и само понятие трансграничности данных исключает хранение всего массива информации о российских пользователях на российских серверах», — заключил источник.

Казарян считает, что интернет-компании в большинстве своем готовы к исполнению закона. О переходе на российские серверы уже объявили интернет-аукцион eBay, поисковик Google, платежный сервис PayPal и сервис по бронированию отелей Booking.com. Проблемы могут возникнуть у компаний, не связанных с интернет-отраслью.

Тем не менее многие компании заняли выжидательную позицию. По словам Казаряна, часть компаний принимают подготовительные меры и собираются смотреть на фактическое правоприменение закона, на основе чего будут определять масштабы размещения в России в зависимости от экономического эффекта.

Сомнения ряда иностранных игроков также могут быть связаны с неспособностью российских дата-центров удовлетворить высоким требованиям западных компаний к уровню сервиса SLA (Service level agreements).

Однако в целом от вступления в силу изменений в закон российские операторы коммерческих дата-центров, несомненно, выиграют, — подытоживает эксперт.

«Места для переноса данных точно хватит всем, — рассказал «Газете.Ru» ведущий аналитик в области промышленных систем IDC Russia Михаил Попов. — Хотя точный объем посчитать сложно, поскольку у нас множество ЦОДов разных типов: коммерческие, государственные, полугосударственные, телекоммуникационные, корпоративные и т.д. Если говорить о компаниях, которые переносят данные в Россию во исполнение закона, то в коммерческих ЦОДах для них достаточно места».

Попов утверждает, что вопрос сравнения цен на услуги дата-центров в России и за рубежом сейчас отходит на второй план из-за курса рубля и спрогнозировать стоимость из-за курсовых колебаний просто невозможно. Цена также во многом зависит от того, какие данные будут храниться, и от алгоритмов сжатия, которые позволяют экономить место.

Безопасность российских ЦОДов определяется законодательством и технической документацией. Есть требования ФСТЕК и ФСБ, которые необходимо соблюдать для получения лицензии. Таким образом, дата-центры любого типа, которые предоставляют услуги хранения данных, сертифицированы, и все они предоставляют более или менее равные по степени защищенности услуги. На сегодня требований указанных выше ведомств достаточно, и сертификаты имеют все крупные, большинство средних и достаточное количество малых ЦОДов.

Однако часть интернет-компаний все же не пойдут на перенос данных. «Это либо слишком мелкие компании, либо слишком крупные, которым все равно, например, Facebook, — говорит Попов. — Эта социальная сеть устроена таким образом, что крайне сложно сказать, на каком именно сервере хранится тот или иной кусок ваших персональных данных. В Европе им уже пришлось переработать свои алгоритмы для соответствия, к примеру, немецкому законодательству».

По мнению эксперта, определенную выгоду от введения закона получает весь рынок дата-центров, в том числе и крупные российские компании, такие как «Ростелеком», которые в последнее время активно скупают операторов дата-центров.

«При этом выиграют и посредники, — добавляет аналитик IDC. — Один из ярких примеров — «Метрекс», предоставляющая для хранения данных как свои, так и арендуемые ЦОДы. У них за последние 12 месяцев обороты увеличились почти в два раза».

Попов считает, что хранить данные в России полезно с точки зрения национальной безопасности, налогообложения и увеличения числа рабочих мест. «Внедрение этого закона в целом поможет развитию отрасли», — подытоживает эксперт.