Что делать зарубежной компании в связи с законом о хранении данных россиян на местных серверах

Добрый день. Есть зарубежный сервис с десятками миллионов зарегистрированных пользователей по всему миру. У этого сервиса есть российская локализация (сайт в зоне .ru) с сотнями тысяч зарегистрированных пользователей из России.

Из данных россиян, которые хранятся на зарубежном сервере — только email и привязка к соцсети (и то не у всех). Какие риски есть у компании, если она совсем не хочет переносить данные на российские сервера? Как с этим ситуация сейчас?

Спасибо.


Отвечает Павел Мищенко, юрист компании Runetlex

В настоящий момент компании ничего не грозит.

Кардинально ситуация поменяется 1 сентября 2015 года.

Именно тогда вступят в силу громкие поправки в законодательство о персональных данных (Федеральный закон от 21.07.2014 N 242-ФЗ).

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. (ч.5 ст. 18 ФЗ «О персональных данных»).

Компании, которые не будут соблюдать вышеуказанное требование, могут на основании судебного акта попасть в специально созданный «Реестр нарушителей прав субъектов персональных данных» с последующей блокировкой.

Однако не всё в этих изменениях очевидно. Существуют правовые неясности, которые должны разъяснить профильные органы, но они пока загадочно молчат или делают интересные заявления.

Например, министр связи указал, что часть персональных данных может по-прежнему храниться зарубежом.

Также остается вопрос, обязаны ли иностранные компании соблюдать российское законодательство в данном случае. Согласно разъяснениям на сайте Роскомнадзора, требования распространяются на представительства юридических лиц иностранных государств. А если представительств нет, то…. Непонятно. Достаточно подробно эта тема была освещена здесь.

В конце концов сама формулировка изменений вызывает некоторые сомнения. Можно предположить, что формулировка «С использованием баз данных» позволяет хранить лишь часть данных на российских серверах или дублировать информацию в двух местах.

Окончательная ясность наступит только после вступления поправок в силу. А может быть и намного позже. Пока зарубежному сервису можно только посоветовать отслеживать информацию по данному направлению и готовиться худшему сценарию. Ведь в таком случае изменения удастся провести оперативно.

Напоследок отмечу, что сама по себе электронная почта вряд ли может быть признана «персональными данными», несмотря на всю всеобъемлемость формулировки в законодательстве. Поэтому хранение только этой информации, скорее всего, не потребует корректив.

0
37 комментариев
Написать комментарий...
Mikhail Evdokimovskiy

И пусть не говорят, что в России нет динамики - "Окончательная ясность наступит только после вступления поправок в силу. А может быть и намного позже." Круто, да? Никто не понимает закон, и что бы его понять нужно что бы он начал карать и работать. knowledge through experience ёпта

Ответить
Развернуть ветку
Sevan Avalyan

Михаил, проблема понимания понятия ПС действительно есть. ФЗ "О защите персональных данных" написан настолько коряво, что к персональным данным можно отнести фразу на заборе рядом с каким-нибудь домом «Игорь нехороший человек», ведь прямо или косвенно мы можем узнать, кто такой Игорь.

Чтобы исправить это и уточнить само понятие придётся ждать практики судов. Там точно встанут вопросы того, что является ПС, а что нет.

Ответить
Развернуть ветку
Mikhail Evdokimovskiy

Ну да. Я пытался разобраться с этим. А по поводу того что нужно дождаться судов, могу лишь сказать что это похоже на "мы придумали новое лекарство обязательное для всех. Нужно дождаться первых смертей от него, что бы понять точно как оно работает."

Это не весело на самом деле и дико злит

Ответить
Развернуть ветку
Артем Толкачев

Электронная почта с привязкой к соцсетям и с некоей дополнительной информацией, которую пользователь оставляет в процессе использования сервиса вполне может признаваться персональными данными.

Гипотетически есть риски блокировки сервиса, а также риски привлечения к ответственности за обработку ПнД с нарушением закона. Реально рисков пока нет. Блокировка, как самый существенный из рисков, применяется в соответствии с данным законом крайне ограниченно.

Иностранные компании закон соблюдать, безусловно обязаны. Для них он и принимался. Определение оператора персональных данных никак не ограничивает действие закона.

Правила проведения проверок исполнения требований закона уже определены. См. http://government.ru/media/files/E6F5cdAYEGN6NSyqBRLRGSARxZfwpOve.pdf

Если сервис действительно крупный и может привлечь внимание контролирующих органов, либо если сервис уже включен в реестр организаторов распространения информации, рекомендую арендовать сервер в РФ и залить туда некую базу данных. Также рекомендую подготовить документы, описывающие порядок работы с персональными данными и функционирование информационной системы (см. пункт 16 "а" Правил).

Ответить
Развернуть ветку
Рунетлекс

Артем, спасибо за дополнения!
То есть логика Наталии Беломестновой по иностранным компаниями не сильно убедила?

Ответить
Развернуть ветку
Артем Толкачев

Павел, не убедили ни логика по иностранным компаниям, ни сама статья, содержащая очевидные ошибки (например "должны обеспечить осуществление ЛЮБЫХ операций с персональными данными граждан РФ только с использованием баз данных, находящихся на территории России").

По иностранным компаниям - логика не соответствует определению, данному в законе, и цели принятия 242-ФЗ (российские компании роскомнадзор мог контролировать и ранее, а вот с иностранными всегда было тяжело работать). Основывать позицию на ФАКах на сайте Роскомнадзора, которые не имеют ни какого-либо обоснования, ни официального статуса, считаю не верным.

Ответить
Развернуть ветку
Алексей Лобанов

Действительно, в большинстве случаев, как работать с новым законом решается далеко после его вступления в силу.

Принтеру на это все равно. Яркий пример был в 2009 году с ООО. Запретили старые формы для регистрации и внесению изменений, а новые появились спустя 2 года.

У меня был бы другой вопрос: как РКН узнает, где я храню данные? Ну есть у меня сервер в России, где все данные хранятся текстом в стиле "кирпич". Обезличенные. А сервер при идентификации обращается к скриптам на ино-серверах. Где я нарушил? Данные есть. Как с ним работать - решать мне. Даже если у меня есть дубликат на других серверах - кто и как об этом узнает?

Ответить
Развернуть ветку
Рунетлекс

Насколько я понял из поиска в сети, депутат от ЛДПР, предложивший данные поправки, ответил в духе: "Ну это технарская часть, я в ней не разбираюсь". Такие дела.

Ответить
Развернуть ветку
Pavel Osadchuk

Да никак не узнает. Этот законе нужен для того чтобы украсть денег на построении "государственной" серверной инфраструктуры, да "нагнуть" facebook и ebay - чтобы те платили деньги "государственной" серверной инфраструктуре

Ответить
Развернуть ветку
Михаил Невский

Короче, они убивают ИТ в России. В Россию проекты будут входить в последнюю очередь или никогда.

Ответить
Развернуть ветку
Олег Феллер

Почему убивают? Наоборот, хочешь грести бабло из России, инвестируй в страну. Нормальное явление. Плюс дополнительная возможность для местных разработчиков копирнуть вовремя идею и развить ее до прихода иностранной компании. Могу вас заверить, что в Европах дела обстоят не лучше с законами о персональных данных. Теоретически могут наказать любого, т.к. мало кто выполняет все требования по сбору данных. Даже большие корпорации с кучей юристов могут попасть под штрафы.

Ответить
Развернуть ветку
Dmitry Sankevich

Так ни кто и не будет с нами торговать - гиганты, вроде амазона, гугла и ибея, конечно, прогнутся, с стопиццот тысяч маленьких магазинов-сервисов-служб - вы в самом деле полагает, каждый из них попрётся открывать своё представительство в стране непуганых воров-чиновников и ставить здесь свои сервера?

Ответить
Развернуть ветку
Олег Феллер

а про стопицот сервисов, если они действительно нужные и востребованные, то попрутся или их копирнет какой-нибудь Коля из Воронежа и поднимет хорошие инвестиции, свято место пусто не бывает.

Ответить
Развернуть ветку
Dmitry Sankevich

Ерунду говорите. Какой коля из воронежа пришлёт мне пару американских джинсов рэнглер за 15 баксов? Тут только "востребованные" спецы по рекламе тёток с голым задом (и пририсованными к ним джинсами) могут продать минимум за сотку, потом закрыться и ещё год учить других рисовать джинсы на заднице, но так и не ответить на простой вопрос, чем именно их джинсы за 100 лучше тех за 15?
Казалось бы, чего проще - торговля электронными книгами. Стопиццот лет ей и всё там просто. Где она? Литрес? - Я вас умоляю! Я куплю на амазоне и никогда не куплю у литреса.
Небольшой производитель вариометров из Австралии - кто в роисси будет его копировать? Вы, что ли? Правильно! Пилотам из роисси не нужны вариометры из Австралии. Так решил Олег Феллер. Спутниковые трекеры spot - вы будете их копировать и выводить на орбиту группировку спутников? Нет, "действительно нужные и востребованные" по вашему мнению только три никому не нужных (но там все туссуются) хипстерских сервиса! И ведь заметьте - они без труда перебьются без нас. Ну, мы так и будем продолжать чистить ружья кирпичом... На самом деле, я бы на месте гугла и ибея тоже наплевал на этот заснеженный гондурас. Жаль, что бабло у них победило здравый смысл.

Ответить
Развернуть ветку
Олег Феллер

Понятно, поехавший либераст со своей терминологией.

Ответить
Развернуть ветку
Dmitry Sankevich

Личные оскорбления - всегда отличный аргумент!

Ответить
Развернуть ветку
Олег Феллер

Ваш комментарий собственно заключается в том, что рашка говно и усе. Так что тут дискутировать не о чем.

Ответить
Развернуть ветку
Dmitry Sankevich

Неа! Мой комментарий заключается в том, что подобная законотворческая деятельность делает из, как вы изволили выразиться, "рашки" вот это самое говно. Ну, а вы там в Ольгино подмахиваете. Вопросы, кстати, были заданы конкретные и справедливые. Ваш ответ вполне соответствует (отсутствию) компентенции платных провокаторов.

Ответить
Развернуть ветку
Олег Феллер

Понятно, значит не засирать страну по любому поводу теперь значит быть проплаченным троллем. Я живу в Европе + работаю в сфере, которая очень тесно затрагивает персональные данне, поэтому и смотрю на это нейтрально, а не пишу, что Путино-Сталин опять концлагеря строит с этим законом. Вы даже не можете представить себе все законы, которые в других странах принимаются. Привыкли кричать по любому поводу, что все, жулики украли у вас жинсы по 15 баксов.

Ответить
Развернуть ветку
Dmitry Sankevich

А какое мне дело до законов, которые у вас принимаются в эуропе? Мне в России жить, а не в эуропе.
Ха, эуропэйцы "жинсы" заметили! Колбасный эмигрант? А службу всемирного трекинга и аварийной сигнализации не заметили? На "жинсы" я заработаю. А вот спутниковую группировку не потяну.

Ответить
Развернуть ветку
Олег Феллер

Хм, значит как в еуропе не хотим, как в сраной рашке не хотим, может вам особую страну надо построить с глобальным трекингом, блекджеком и жинсами по 15 баксов? Закон делается понятно для чего, чтобы всякие фасебуки и твиторы заставить выдавать данные на разных блогеров и чтобы они были более сговорчивыми. Я уверен кровавой гэбне глубоко насрать на ваш трекинг и вы сможете и дальше его юзать.

Ответить
Развернуть ветку
Dmitry Sankevich

Стиль вашего разговора и используемые спецтермены мне малопонятны, но из того, что удалось вычленить из этого потока сознания - вы, стало быть, полагаете, что роскомнадзор ради меня будет нарушать федеральный закон??? По-моему, вы чего-то недопонимаете.
И, нет, я вам уже сказал, - мне не надо другой страны, мне надо, чтобы из моей хорошей страны не делали какое-то угрёбище по типу северной кореи - перечитайте, если забыли.

Ответить
Развернуть ветку
Олег Феллер

Современная интернет индустрия очень сильно дерегулированна, гугел собирает миллиарды по всей европе, а платит налоги только в Ирландии, где это дешевле. Тем самым убивает местную конкуренцию из-за этих махинаций. Амазон такой же байдой занимается. Вы захотите открыть какой-то сервис и вас будут дрючить по всей строгости закона местные суды и налоговые, а какой-то гугел срал на это и делает все что хочет. Так не должно быть имхо. И не понимаю, что раскричались российские стартаперы, или это те, что любят открывать конторку где-нибудь в виртуальной эстонии?

Ответить
Развернуть ветку
Mikhail Evdokimovskiy

Почта [email protected] является персональными данными?

Ответить
Развернуть ветку
Рунетлекс

Михаил, ответ на этот вопрос - в последнем абзаце статьи. Хотя такая характерная может и является :)

Ответить
Развернуть ветку
Иљя Коробов

Если вы по емейлу сможете узнать, кто этот человек, то это персональные данные.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Иљя Коробов

А если параноить, то я могу переплюнуть тебя) Фотаем свой паспорт, загружаем на фейсбук и жалуемся, мол персональные данные хранятся не в россии, т.к. пинг до сервера с картинкой показывает америку) И выйдет, что фейсбук должен будет все сервера перевести в россию) Ибо я в личку могу кому то кинуть персональные данные и они опять должны храниться на сервере в россии) Могу по почте кому то отправить, значит все почтовые сервисы должны быть в россии, вообще все должны быть в россии)

Ответить
Развернуть ветку
Иљя Коробов

Никто не даст вам такой длинны емейл сделать. Так что проблема надумана.

Ответить
Развернуть ветку
Иљя Коробов

К тому же не указано, паспорт какой страны, это китаец. Никаких проблем нет, а раменское это его должность на работе.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Ариго Саки

Жесть )) то есть почта и ник к примеру могут считать ПД?

Ответить
Развернуть ветку
Elkhan

Что будет с приложениями? У меня parse.com в качестве бекенда.

Ответить
Развернуть ветку
Ариго Саки

Павел а есть какое-то четкое понятие, определение что такое личные данные россиянина в сети интернет?
Может где-то роскомнадзоре или где-то еще..
Спасибо :)

Ответить
Развернуть ветку
Рунетлекс

Есть такое определение: "персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (ст. 3 ФЗ "О персональных данных").
Под него можно притянуть практические все и уже сотни тысяч копий сломано в дискуссиях о нем.

Ответить
Развернуть ветку
Дима Венглинский

Логин-пароль являются персональными данными? Если у нас в сервисе пользователь заводит аккаунт, но ничего кроме почты мы у него не спрашиваем - попадаем ли мы под действие закона?

Спасибо.

Ответить
Развернуть ветку
Рунетлекс

Если сервис ничего кроме логина и пароля о пользователе не хранит, то определить по этим данным человека затруднительно, следовательно и закон к Вам отношения иметь не будет. Но надо изучать каждую ситуацию отдельно.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Mikhail Evdokimovskiy

Есть понимание относительно иностранных компаний, чей основной бизнес вне интернет. Например консалтинг, аудит, или даже западные рекрутинговые агенства? Им с их глобальным CRM, где хранить данные о россиянинах если они не в открытом доступе?

Ответить
Развернуть ветку
Ариго Саки

Жаркая дискуссия однако ))

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
34 комментария
Раскрывать всегда