Законопроект о персональных данных: что изменится в 2016 году

Технический директор ЦП Илья Чекальский написал колонку о новом законопроекте, обязывающем хранить данные россиян на территории страны: какие проекты попадают под новые ограничения и как будут выживать иностранные компании.

Законопроект о персональных данных: что изменится в 2016 году

Новый законопроект обязывает все компании хранить и обрабатывать персональные данные россиян на серверах, находящихся на территории Российской Федерации. В случае несоблюдения закона сайт компании-нарушителя будет внесён в реестр Роскомнадзора, а доступ к нему на территории РФ будет ограничен.

Я обратился к юристам с просьбой о помощи в трактовке закона 152-ФЗ о персональных данных.

Во-первых, к персональным данным относится как ФИО, так и номер мобильного телефона и адрес электронной почты и даже аккаунты в социальных сетях. Этого достаточно, чтобы под действие закона попали такие крупные зарубежные компании, как Apple, Facebook, Google и Microsoft, а также множество более мелких, таких, как Ebay, PayPal, Booking.com или Reddit, на котором для регистрации нужно оставить электронный адрес, не говоря уже про небольшие сайты по прокату автомобилей или магазинчики, отправляющие товар по всему миру. Такие мессенджеры, как Telegram, хранящие копии всех данных пользователей в нескольких датацентрах по всему миру, могут попасть под блокировку по заявке от любого физического лица, использующего их.

Во-вторых, закон не предусматривает возможности хранения даже резервных копий за пределами РФ:

Компания не может [хранить персональные данные за рубежом], ибо норма императивная, что значит дозволяется только то поведение, что предусмотрено этим законом.

— Севан Авалян, юрист

Буквальное толкование поправок запрещает хранить на зарубежных серверах даже резервные копии данных, хотя это и вступает в противоречие с положениями этого же закона о трансграничной передаче персональных данных.

— Роман Алымов, адвокат

В-третьих, не предусмотрено никаких исключений для таких компаний, даже в случае заключения специального договора с зарубежной компанией о хранении персональных данных за границами РФ.

То есть зарубежным компаниям, если они хотят работать с пользователями из России, придётся хранить их данные (или хотя бы их персональную часть) на серверах в РФ. А теперь давайте представим, как это будет происходить.

Начнём с простого: как определить, что пользователь, регистрирующийся на сайте — гражданин РФ? У сервисов будет только два пути — определять по IP или по указанному гражданству (но тогда пользователь может поставить любую другую страну и тем самым подставить сервис).

Допустим, мы выбрали определение по IP, а что делать, если сервисом воспользуется американец в командировке? Он не обрадуется тому, что его персональные данные «переехали» в Россию. Остаётся единственный вариант — спрашивать гражданство у пользователя, который вполне может прикинуться не россиянином, а мирным австрийцем, проводящим отпуск с семьёй.

Не стоит ещё забывать, насколько сложно настроить трансатлантическое партиционирование данных, как сильно это может повлиять на скорость работы сайтов (ведь за персональными данными придётся обращаться за океан, хранить их у себя нельзя), но лучше я расскажу, как этот закон (возможно) будут обходить иностранные компании.

Способ первый

После вступления в силу решения суда, Роскомнадзор отправляет запрос на удаление персональных данных хостинг-провайдеру, который тот обязан передать владельцу сайта. Так что данные по конкретному запросу можно просто удалить, это выведет весь сайт из-под блокировки.

Способ второй

В этом случае всё-таки придётся хранить и обновлять данные на территории Российской Федерации, но зато можно избежать крайне дорогостоящей смены архитектуры — просто хранить рабочую копию в своём основном дата-центре, власти РФ не смогут это доказать.

Таким образом и волки могут быть сыты, и овцы целы. Зато уполномоченные органы Российской Федерации смогут изъять сервера с персональными данными россиян в любой момент. Так что о защите наших данных от западных спецслужб здесь речи точно не идёт.

25 комментариев

Интересно, какая компания первой покажет россиянским властям большой хер? Даже если это сервис которым я постоянно пользуюсь, и его заблокируют, инициативу я поддержу, ибо всё то дерьмо что льётся из уст наших депутатов начинает просачиваться даже в мою маленькую квартиру юного битарда. Наверное пора собирать средства что бы через пару лет безболезненно свалить куда-нибудь, например в Японию.

5

Комментарий недоступен

3

Дружок, в Японии жить еще сложнее, чем в России.

1

Скорее собирайте средства, наш юный битард, и безболезненно сваливайте куда-нибудь, например в Японию!

1

Вообще забавно. У меня сервера в Германии. Даже если я возьму сервер на территории РФ, на котором буду хранить базы с данными юзеров, во время работы основных серверов на них будут создаваться сессионные куки, которые частично будут хранить данные пользователя во время сеанса. Т.е. избежать хранения данных за рубежом, хотя бы временного, просто нереально.
Еще один веселый момент. Я - россиянин. И, допустим, я живу за пределами РФ. Как меня сможет выкупить тот же ФБ, чтобы положить мои данные на другой сервер? И т.д. и т.п.
Цель всего мероприятия абсолютно прозрачна, но оформлена на столько глупо и непрофессионально...
В итоге придем к тому, что ты своей жене решишь написать смс-ку, а при отправке будет высвечиваться "отправлено на модерацию".

1

Memcached — тоже по сути БД, в ней нельзя хранить данные россиян, если она запущена не в РФ.

1

Странно, что потребовались юристы, чтобы объяснить что копию хранить нельзя, это прямо следует из закона, столько споров было про эти копии. В законах по умолчанию "только", если не указано иное.