Запрет на хранение персональных данных россиян за рубежом: кого это коснется и как с этим жить
В начале июля с небывалой скоростью (3 чтения за 10 дней) Госдумой были приняты очередные поправки в ФЗ «О персональных данных» (№152-ФЗ) и ФЗ «Об информации, информационных технологиях и о защите информации» (№ 149-ФЗ), которые вступают в силу с 1 сентября 2016 года и обязывают компании обеспечить хранение (а также запись, систематизацию, накопление, уточнение и извлечение) персональных данных граждан РФ с использованием только баз данных, находящихся на территории РФ.
Эти изменения активно уже несколько дней обсуждаются в деловой прессе (см., например, http://www.vedomosti.ru/newspaper/article/711561/printer-protiv-servera), озвучиваются мнения, что теперь Facebook и Google, чтобы продолжать работать с персональными данными россиян, должны будут переместить свои сервера в Россию, а также высказываются серьезные опасения, что после вступления закона в силу может быть фактически опущен железный занавес, так как россияне не смогут пользоваться международными сервисами бронирования гостиниц, не смогут подавать документы на визу и т.д., поскольку маловероятно, что все иностранные компании поспешат исполнять требования российского закона и размещать свои сервера в РФ.
Давайте попробуем безэмоционально (по возможности) разобраться в том, что же все-таки значат эти нововведения, кого они коснутся и как к ним относиться.
На кого распространяется новое требование?
Обязанность обеспечить обработку персональных данных россиян на территории РФ с 1 сентября 2016 г. будет вменена так называемым «операторам персональных данных», под которыми ФЗ «О персональных данных» и сам Роскомнадзор (контролирующий орган в сфере защиты персональных данных) понимают российские компании и представительства/филиалы иностранных компаний, которые совершают любые действия с персональными данными на территории РФ (http://pd.rkn.gov.ru/faq/faq17.htm). Из этого следует важный вывод: ни о каком экстерриториальном действии данного требования закона (то есть, о тотальном «запрете поголовно всем иностранным компаниям собирать персональные данные россиян») речи не может идти, и иностранные компании (в том числе Facebook, Booking.com), если они не имеют представительств в РФ, формально под действия данного закона не подпадают.
А теперь самое интересное. Депутаты, которые внесли законопроект в Госдуму, похоже, добивались как раз обратного. Как указывает в различных интервью один из авторов законопроекта, депутат Вадим Деньгин: «Инициатива заключается в том, чтобы все личные данные граждан Российской Федерации, которые они оставляют в социальные сетях: и паспортные, и личные данные о себе, и фотографии - хранились в серверах, находящихся на территории Российской Федерации»; «попадают под нее [новую норму закона «О персональных данных» – Н.Б.] все сайты, обрабатывающие персональные данные: к примеру, социальные сети, почтовые службы, сервисы по продаже авиабилетов и т.д.».
Амбициозная цель авторов законопроекта понятна, но, очевидно, что внесенных правок недостаточно для того, чтобы обеспечить экстерриториальность действия новых норм и обязать все иностранные интернет-компании, даже не присутствующие на рынке в РФ, размещать сервера в России только потому, что они обрабатывают персональные данные россиян. Таким образом, до внесения каких-либо дополнительных изменений в законодательство таким иностранным компаниям (не имеющим представительств в РФ) теоретически можно спать спокойно.
Что именно должны обеспечить операторы?
Согласно новой редакции закона компании, которые подпадают под действие ФЗ «О персональных данных», должны обеспечить осуществление любых операций с персональными данными граждан РФ только с использованием баз данных, находящихся на территории России. Основной проблемой данного требования является его абсолютная неисполнимость и неработоспособность. Буквально это требование означает запрет любой передачи персональных данных за границу (ведь переданные за границу данные будут обрабатываться уже в базах данных, расположенных за пределами РФ). Но в этом случае возникает множество глобальных вопросов. Почему тогда не была исключена из ФЗ «О персональных данных» статья 12, которая прямо предусматривает возможность трансграничной передачи данных? Как можно передавать данные за границу, не нарушая требования о нахождении этих данных только на серверах в РФ? Как быть компаниям, которые имеют филиалы в разных странах и используют общие для всех офисов системы типа CRM (customer relationship management), позволяющие, например, сотруднику из офиса в Париже парой кликов мышкой получить доступ к персональным данным, занесенным в систему в Москве? Ведь фактически при этом эти данные могут загружаться на сервер, расположенный за пределами РФ. Как турагентствам из России бронировать гостиницы за границей? Как авиакомпаниям продавать билеты на многосегментные перелеты, обслуживаемые в том числе иностранными авиакомпаниями?
Пожалуй, не будет преувеличением сказать, что нет в данный момент ни одного человека в России (включая авторов законопроекта), который бы ответил внятно на все эти вопросы и пояснил что именно означает это требование и как его нужно исполнять.
Что дальше?
Вероятнее всего, в недалеком будущем нас ждет волна новых правок в закон, которые либо достаточным образом конкретизируют требования и создадут какой-то логичный механизм их исполнения, либо окончательно закрутят гайки и будут реализовывать первоначальную цель авторов законопроекта – создать рычаг давления на крупные иностранные интернет-компании, что, к сожалению, в первую очередь ударит не по этим компаниям, а по рядовым гражданам, которые могут быть лишены не только возможности выложить фотографию своего обеда в Instagram (что, честно сказать, было бы скорее плюсом), но и возможности пользоваться любыми услугами иностранных компаний и совершать платежи банковской картой за границей. Очень хочется надеяться, что до этого не дойдет.
Можно ожидать также в недалеком будущем внесения правок в КоАП РФ и существенного увеличения ответственности за нарушение законодательства о персональных данных (сейчас для юридических лиц предусмотрен штраф в размере до 10 000 рублей, что сводит на нет все попытки ужесточить требования в области защиты персональных данных). Соответствующий законопроект обсуждается уже несколько лет и в свете комментируемых правок можно предположить, что и его принятие уже не за горами. В этом случае компаниям нужно будет в срочном порядке убеждаться в том, что и все остальные требования ФЗ «О персональных данных» ими соблюдаются. А это тоже задача не для слабонервных, но это уже совсем другая история.