Закон о персональных данных: так ли страшен черт, как его малюют?

1 июля 2017 года в силу вступили поправки к закону “О персональных данных” (152-ФЗ). Теперь операторы (так в законе названы государственные и муниципальные органы, юридические или физические лица, организующие и (или) осуществляющие обработку персональных данных) обязаны хранить и обрабатывать личные данные граждан РФ на территории страны, предварительно получив на это согласие субъектов персональных данных.

Информационный ажиотаж, вызванный вступлением в силу поправок к закону “О персональных данных”, можно сравнить разве что с реакцией на оперативно разработанный и принятый летом 2016 года “пакет Яровой”. С той лишь разницей, что инициативой господина Озерова и госпожи Яровой остались недовольны преимущественно представители ИТ-компаний и операторы связи, вынужденные выделять из бюджета дополнительные средства на реализацию ТЗ. А вот закон “О персональных данных” коснулся огромного количества людей и организаций, взаимодействующих с гражданами России, — компаний, социальных сетей, государственных органов, визовых центров и даже обыкновенных блоггеров. Ведь многие владельцы блогов на том же WordPress даже не догадываются о том, что являются операторами персональных данных. Между тем, получить штрафные санкции за несоблюдение закона они могут уже завтра.

Строгого их перечня в российской действительности не существует. Комментировать значение термина представители Минкомсвязи и Роскомнадзора отказываются в силу отсутствия полномочий. Поэтому всем заинтересованным приходится догадываться. Справедливости ради, Минкомсвязь разработало памятку по основным вопросам обработки персональных данных. Не сказать, что она вносит ясность в ситуацию, зато по ссылке любой желающий может задать экспертам уточняющий вопрос.

В российском законе сказано, что персональными данными является любая информация, с помощью которой можно идентифицировать конкретного человека. Идентично понятие раскрывается и в статье 2 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. (Россия также входит в число стран, подписавших конвенцию).

В “допоправочную” эпоху персональными данными признавались фамилия, имя, отчество, номер телефона, дата рождения, дата регистрации, номер паспорта, ИНН, данные трудового договора — в различных комбинациях, но не по отдельности.

Олег Ефимов, управляющий партнер правового партнерства “Ефимов и партнеры”, который консультировал ATLEX по практической стороне вопроса, уточнил, что достаточно сочетания имени и адреса электронной почты, чтобы Роскомнадзор признал указанные данные персональными.

Помимо прочего, к персональным данным относятся и специфические сведения, вроде информации об отпечатках пальцев, геноме человека или его здоровье.

Новость о том, что теперь наши персональные данные должны храниться и обрабатываться внутри страны вызвала у моих коллег пару панических атак. Не менее взволнованы представители российского бизнеса, которые хостятся за рубежом. Для них размещение серверов за границей — вопрос принципиальный. Ведь иностранные хостинг-услуги зачастую дешевле отечественных, а релокация в ряде случаев может обеспечить непрерывность бизнес-процессов.

Так, перенос серверов за границу избавляет российские компании от возможных административных атак. Например, если на вашу компанию поступила жалоба (в том числе и необоснованная) о том, что на вашем сервере хранится запрещенная в РФ информация, то правоохранители должны и могут изъять оборудование из коммерческого дата-центра на экспертизу. В этой ситуации они могут навестить хостера без предупреждения (постановление суда им не требуется). Внеплановые проверки могут затянуться на несколько месяцев. Если нарушений не будет выявлено, оборудование вернут, но бизнес понесет серьезные финансовые и репутационные убытки.

Европейское (в частности чешское) законодательство более лояльно относится к хостерам и их клиентам. Оборудование провайдер выдаст исключительно по решению чешского суда — в том числе и по запросу российских правоохранительных органов.

Кроме того, многие российские компании арендуют у зарубежных хостинг-провайдеров вычислительные мощности под сервис восстановления данных после сбоев (Disaster Recovery). В случае выхода из строя основной площадки он позволяет восстановить функционирование ИТ-системы за пределами страны.

Если персональные данные россиян должны обрабатываться на родине, значит ли это, что оборудование нужно вернуть в Россию?

Этот вопрос Олег Ефимов прокомментировал так: “Закон “О персональных данных” обязывает размещать на территории страны основную, наиболее полную и актуальную базу персональных данных. За границей же можно держать ее копии или части. Причем разрешено (а точнее — не запрещено) как хранить, так и обрабатывать персональные данные россиян в дочерних базах — с тем лишь условием, что использоваться они будут в тех же целях, что и в основной базе данных”.

Таким образом, нет необходимости возвращать все оборудование в Россию. Достаточно размещения нескольких серверов в коммерческом дата-центре под основную базу персональных данных. В результате клиент получает географически распределенные ИТ-площадки, которые можно синхронизировать.

Отдельно стоит сказать об иностранных компаниях, которые работают на российском рынке. Для соблюдения закона им тоже придется разместить серверы на территории нашей страны. В противном случае их ждет судьба социальной сети LinkedIn.

Вернемся к вопросу о получении согласия субъектов на обработку их персональных данных.

Прежде, чем оператор начнет производить с данными какие-либо действия, он должен получить согласие субъекта. Речь идет о сборе, использовании, обезличивании, блокировании, удалении и уничтожении данных.

Казалось бы, это требование соблюсти гораздо проще, чем перенести базы данных на территорию России. Однако здесь есть другая проблема: не каждый оператор персональных данных (а тем более, если он — физическое лицо) понимает и знает, что он является оператором. Но, как известно, незнание не освобождает от ответственности.

Если у вас есть сайт с формой регистрации или, скажем, обратной связи, — вы являетесь оператором персональных данных. А значит, вам необходимо подготовить документ (пользовательское соглашение, согласие на обработку персональных данных, договор, политику конфиденциальности — название не имеет значения), в котором будут прописаны условия обработки персональных данных пользователей (кто вы, какие данные и зачем собираете, как будете их обрабатывать и т.д.). Этот документ следует опубликовать на сайте в свободном доступе. После этого под каждой формой сбора персональных данных надо разместить поле, в котором посетитель сайта сможет оставить свое согласие.

Если вы — обычный пользователь, ведете в сети личный блог, где читатели могут зарегистрироваться (то есть оставить свои личные данные) и комментировать посты, то, с большой долей вероятности, вы — оператор персональных данных.

Подведем итоги. Поправки в силу вступили. Но трагедии не произошло. Хоть закон и обязывает хранить и обрабатывать основную базу персональных данных наших граждан на территории России, выносить отдельные части и копии за рубеж — можно. А значит, повода для паники нет: российский бизнес, который хостится за границей, может продолжать сотрудничать с иностранными провайдерами.

Для того, чтобы получить согласие на обработку персональных данных, достаточно разового общения с квалифицированными юристами и составления соответствующего документа. На мой взгляд, задача вполне выполнимая.

Не стоит забывать и то, что закон “О персональных данных“ призван в первую очередь защищать права физических лиц, то есть — нас с вами.

Принятие поправок также показало: необходимо повышать общий уровень цифровой грамотности пользователей. Например, с помощью таких ликбезов.

В мае будущего года в силу вступает европейский регламент, регулирующий обработку персональных данных. Документ более четко, нежели российский аналог, прописывает, что такое персональные данные: “имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица”.

Кроме того, в европейском законодательстве прописаны схожие с российскими нормы обработки персональных данных, которые касаются вероисповедания, интимной жизни, политических взглядов и проч. — работать с ними разрешается только с отдельного согласия субъекта.