Законопроект о персональных данных: что изменится в 2016 году

Технический директор ЦП Илья Чекальский написал колонку о новом законопроекте, обязывающем хранить данные россиян на территории страны: какие проекты попадают под новые ограничения и как будут выживать иностранные компании.

Новый законопроект обязывает все компании хранить и обрабатывать персональные данные россиян на серверах, находящихся на территории Российской Федерации. В случае несоблюдения закона сайт компании-нарушителя будет внесён в реестр Роскомнадзора, а доступ к нему на территории РФ будет ограничен.

Я обратился к юристам с просьбой о помощи в трактовке закона 152-ФЗ о персональных данных.

Во-первых, к персональным данным относится как ФИО, так и номер мобильного телефона и адрес электронной почты и даже аккаунты в социальных сетях. Этого достаточно, чтобы под действие закона попали такие крупные зарубежные компании, как Apple, Facebook, Google и Microsoft, а также множество более мелких, таких, как Ebay, PayPal, Booking.com или Reddit, на котором для регистрации нужно оставить электронный адрес, не говоря уже про небольшие сайты по прокату автомобилей или магазинчики, отправляющие товар по всему миру. Такие мессенджеры, как Telegram, хранящие копии всех данных пользователей в нескольких датацентрах по всему миру, могут попасть под блокировку по заявке от любого физического лица, использующего их.

Во-вторых, закон не предусматривает возможности хранения даже резервных копий за пределами РФ:

Компания не может [хранить персональные данные за рубежом], ибо норма императивная, что значит дозволяется только то поведение, что предусмотрено этим законом.

— Севан Авалян, юрист

Буквальное толкование поправок запрещает хранить на зарубежных серверах даже резервные копии данных, хотя это и вступает в противоречие с положениями этого же закона о трансграничной передаче персональных данных.

— Роман Алымов, адвокат

В-третьих, не предусмотрено никаких исключений для таких компаний, даже в случае заключения специального договора с зарубежной компанией о хранении персональных данных за границами РФ.

То есть зарубежным компаниям, если они хотят работать с пользователями из России, придётся хранить их данные (или хотя бы их персональную часть) на серверах в РФ. А теперь давайте представим, как это будет происходить.

Начнём с простого: как определить, что пользователь, регистрирующийся на сайте — гражданин РФ? У сервисов будет только два пути — определять по IP или по указанному гражданству (но тогда пользователь может поставить любую другую страну и тем самым подставить сервис).

Допустим, мы выбрали определение по IP, а что делать, если сервисом воспользуется американец в командировке? Он не обрадуется тому, что его персональные данные «переехали» в Россию. Остаётся единственный вариант — спрашивать гражданство у пользователя, который вполне может прикинуться не россиянином, а мирным австрийцем, проводящим отпуск с семьёй.

Не стоит ещё забывать, насколько сложно настроить трансатлантическое партиционирование данных, как сильно это может повлиять на скорость работы сайтов (ведь за персональными данными придётся обращаться за океан, хранить их у себя нельзя), но лучше я расскажу, как этот закон (возможно) будут обходить иностранные компании.

Способ первый

После вступления в силу решения суда, Роскомнадзор отправляет запрос на удаление персональных данных хостинг-провайдеру, который тот обязан передать владельцу сайта. Так что данные по конкретному запросу можно просто удалить, это выведет весь сайт из-под блокировки.

Способ второй

В этом случае всё-таки придётся хранить и обновлять данные на территории Российской Федерации, но зато можно избежать крайне дорогостоящей смены архитектуры — просто хранить рабочую копию в своём основном дата-центре, власти РФ не смогут это доказать.

Таким образом и волки могут быть сыты, и овцы целы. Зато уполномоченные органы Российской Федерации смогут изъять сервера с персональными данными россиян в любой момент. Так что о защите наших данных от западных спецслужб здесь речи точно не идёт.