Лого vc.ru

Что делать зарубежной компании в связи с законом о хранении данных россиян на местных серверах

Что делать зарубежной компании в связи с законом о хранении данных россиян на местных серверах
Поделиться

Добрый день. Есть зарубежный сервис с десятками миллионов зарегистрированных пользователей по всему миру. У этого сервиса есть российская локализация (сайт в зоне .ru) с сотнями тысяч зарегистрированных пользователей из России.

Из данных россиян, которые хранятся на зарубежном сервере — только email и привязка к соцсети (и то не у всех). Какие риски есть у компании, если она совсем не хочет переносить данные на российские сервера? Как с этим ситуация сейчас?

Спасибо.


Отвечает Павел Мищенко, юрист компании Runetlex

В настоящий момент компании ничего не грозит.

Кардинально ситуация поменяется 1 сентября 2015 года.

Именно тогда вступят в силу громкие поправки в законодательство о персональных данных (Федеральный закон от 21.07.2014 N 242-ФЗ).

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. (ч.5 ст. 18 ФЗ «О персональных данных»).

Компании, которые не будут соблюдать вышеуказанное требование, могут на основании судебного акта попасть в специально созданный «Реестр нарушителей прав субъектов персональных данных» с последующей блокировкой.

Однако не всё в этих изменениях очевидно. Существуют правовые неясности, которые должны разъяснить профильные органы, но они пока загадочно молчат или делают интересные заявления.

Например, министр связи указал, что часть персональных данных может по-прежнему храниться зарубежом.

Также остается вопрос, обязаны ли иностранные компании соблюдать российское законодательство в данном случае. Согласно разъяснениям на сайте Роскомнадзора, требования распространяются на представительства юридических лиц иностранных государств. А если представительств нет, то…. Непонятно. Достаточно подробно эта тема была освещена здесь.

В конце концов сама формулировка изменений вызывает некоторые сомнения. Можно предположить, что формулировка «С использованием баз данных» позволяет хранить лишь часть данных на российских серверах или дублировать информацию в двух местах.

Окончательная ясность наступит только после вступления поправок в силу. А может быть и намного позже. Пока зарубежному сервису можно только посоветовать отслеживать информацию по данному направлению и готовиться худшему сценарию. Ведь в таком случае изменения удастся провести оперативно.

Напоследок отмечу, что сама по себе электронная почта вряд ли может быть признана «персональными данными», несмотря на всю всеобъемлемость формулировки в законодательстве. Поэтому хранение только этой информации, скорее всего, не потребует корректив.

Популярные статьи
Показать еще
Комментарии отсортированы
как обычно по времени по популярности

И пусть не говорят, что в России нет динамики - "Окончательная ясность наступит только после вступления поправок в силу. А может быть и намного позже." Круто, да? Никто не понимает закон, и что бы его понять нужно что бы он начал карать и работать. knowledge through experience ёпта

Михаил, проблема понимания понятия ПС действительно есть. ФЗ "О защите персональных данных" написан настолько коряво, что к персональным данным можно отнести фразу на заборе рядом с каким-нибудь домом «Игорь нехороший человек», ведь прямо или косвенно мы можем узнать, кто такой Игорь.

Чтобы исправить это и уточнить само понятие придётся ждать практики судов. Там точно встанут вопросы того, что является ПС, а что нет.

Ну да. Я пытался разобраться с этим. А по поводу того что нужно дождаться судов, могу лишь сказать что это похоже на "мы придумали новое лекарство обязательное для всех. Нужно дождаться первых смертей от него, что бы понять точно как оно работает."
Это не весело на самом деле и дико злит

Павел а есть какое-то четкое понятие, определение что такое личные данные россиянина в сети интернет?
Может где-то роскомнадзоре или где-то еще..
Спасибо :)

0

Есть такое определение: "персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (ст. 3 ФЗ "О персональных данных").
Под него можно притянуть практические все и уже сотни тысяч копий сломано в дискуссиях о нем.

Логин-пароль являются персональными данными? Если у нас в сервисе пользователь заводит аккаунт, но ничего кроме почты мы у него не спрашиваем - попадаем ли мы под действие закона?

Спасибо.

0

Если сервис ничего кроме логина и пароля о пользователе не хранит, то определить по этим данным человека затруднительно, следовательно и закон к Вам отношения иметь не будет. Но надо изучать каждую ситуацию отдельно.

Жесть )) то есть почта и ник к примеру могут считать ПД?

Что будет с приложениями? У меня parse.com в качестве бекенда.

Действительно, в большинстве случаев, как работать с новым законом решается далеко после его вступления в силу.

Принтеру на это все равно. Яркий пример был в 2009 году с ООО. Запретили старые формы для регистрации и внесению изменений, а новые появились спустя 2 года.

У меня был бы другой вопрос: как РКН узнает, где я храню данные? Ну есть у меня сервер в России, где все данные хранятся текстом в стиле "кирпич". Обезличенные. А сервер при идентификации обращается к скриптам на ино-серверах. Где я нарушил? Данные есть. Как с ним работать - решать мне. Даже если у меня есть дубликат на других серверах - кто и как об этом узнает?

Да никак не узнает. Этот законе нужен для того чтобы украсть денег на построении "государственной" серверной инфраструктуры, да "нагнуть" facebook и ebay - чтобы те платили деньги "государственной" серверной инфраструктуре

Насколько я понял из поиска в сети, депутат от ЛДПР, предложивший данные поправки, ответил в духе: "Ну это технарская часть, я в ней не разбираюсь". Такие дела.

Короче, они убивают ИТ в России. В Россию проекты будут входить в последнюю очередь или никогда.

Почему убивают? Наоборот, хочешь грести бабло из России, инвестируй в страну. Нормальное явление. Плюс дополнительная возможность для местных разработчиков копирнуть вовремя идею и развить ее до прихода иностранной компании. Могу вас заверить, что в Европах дела обстоят не лучше с законами о персональных данных. Теоретически могут наказать любого, т.к. мало кто выполняет все требования по сбору данных. Даже большие корпорации с кучей юристов могут попасть под штрафы.

Так ни кто и не будет с нами торговать - гиганты, вроде амазона, гугла и ибея, конечно, прогнутся, с стопиццот тысяч маленьких магазинов-сервисов-служб - вы в самом деле полагает, каждый из них попрётся открывать своё представительство в стране непуганых воров-чиновников и ставить здесь свои сервера?

Современная интернет индустрия очень сильно дерегулированна, гугел собирает миллиарды по всей европе, а платит налоги только в Ирландии, где это дешевле. Тем самым убивает местную конкуренцию из-за этих махинаций. Амазон такой же байдой занимается. Вы захотите открыть какой-то сервис и вас будут дрючить по всей строгости закона местные суды и налоговые, а какой-то гугел срал на это и делает все что хочет. Так не должно быть имхо. И не понимаю, что раскричались российские стартаперы, или это те, что любят открывать конторку где-нибудь в виртуальной эстонии?

а про стопицот сервисов, если они действительно нужные и востребованные, то попрутся или их копирнет какой-нибудь Коля из Воронежа и поднимет хорошие инвестиции, свято место пусто не бывает.

Ерунду говорите. Какой коля из воронежа пришлёт мне пару американских джинсов рэнглер за 15 баксов? Тут только "востребованные" спецы по рекламе тёток с голым задом (и пририсованными к ним джинсами) могут продать минимум за сотку, потом закрыться и ещё год учить других рисовать джинсы на заднице, но так и не ответить на простой вопрос, чем именно их джинсы за 100 лучше тех за 15?
Казалось бы, чего проще - торговля электронными книгами. Стопиццот лет ей и всё там просто. Где она? Литрес? - Я вас умоляю! Я куплю на амазоне и никогда не куплю у литреса.
Небольшой производитель вариометров из Австралии - кто в роисси будет его копировать? Вы, что ли? Правильно! Пилотам из роисси не нужны вариометры из Австралии. Так решил Олег Феллер. Спутниковые трекеры spot - вы будете их копировать и выводить на орбиту группировку спутников? Нет, "действительно нужные и востребованные" по вашему мнению только три никому не нужных (но там все туссуются) хипстерских сервиса! И ведь заметьте - они без труда перебьются без нас. Ну, мы так и будем продолжать чистить ружья кирпичом... На самом деле, я бы на месте гугла и ибея тоже наплевал на этот заснеженный гондурас. Жаль, что бабло у них победило здравый смысл.

Понятно, поехавший либераст со своей терминологией.

0

Личные оскорбления - всегда отличный аргумент!

0

Ваш комментарий собственно заключается в том, что рашка говно и усе. Так что тут дискутировать не о чем.

0

Неа! Мой комментарий заключается в том, что подобная законотворческая деятельность делает из, как вы изволили выразиться, "рашки" вот это самое говно. Ну, а вы там в Ольгино подмахиваете. Вопросы, кстати, были заданы конкретные и справедливые. Ваш ответ вполне соответствует (отсутствию) компентенции платных провокаторов.

0

Понятно, значит не засирать страну по любому поводу теперь значит быть проплаченным троллем. Я живу в Европе + работаю в сфере, которая очень тесно затрагивает персональные данне, поэтому и смотрю на это нейтрально, а не пишу, что Путино-Сталин опять концлагеря строит с этим законом. Вы даже не можете представить себе все законы, которые в других странах принимаются. Привыкли кричать по любому поводу, что все, жулики украли у вас жинсы по 15 баксов.

0

А какое мне дело до законов, которые у вас принимаются в эуропе? Мне в России жить, а не в эуропе.
Ха, эуропэйцы "жинсы" заметили! Колбасный эмигрант? А службу всемирного трекинга и аварийной сигнализации не заметили? На "жинсы" я заработаю. А вот спутниковую группировку не потяну.

0

Хм, значит как в еуропе не хотим, как в сраной рашке не хотим, может вам особую страну надо построить с глобальным трекингом, блекджеком и жинсами по 15 баксов? Закон делается понятно для чего, чтобы всякие фасебуки и твиторы заставить выдавать данные на разных блогеров и чтобы они были более сговорчивыми. Я уверен кровавой гэбне глубоко насрать на ваш трекинг и вы сможете и дальше его юзать.

0

Стиль вашего разговора и используемые спецтермены мне малопонятны, но из того, что удалось вычленить из этого потока сознания - вы, стало быть, полагаете, что роскомнадзор ради меня будет нарушать федеральный закон??? По-моему, вы чего-то недопонимаете.
И, нет, я вам уже сказал, - мне не надо другой страны, мне надо, чтобы из моей хорошей страны не делали какое-то угрёбище по типу северной кореи - перечитайте, если забыли.

0

Почта BigLordOfKyKyYopta@gmail.com является персональными данными?

Михаил, ответ на этот вопрос - в последнем абзаце статьи. Хотя такая характерная может и является :)

0

Электронная почта с привязкой к соцсетям и с некоей дополнительной информацией, которую пользователь оставляет в процессе использования сервиса вполне может признаваться персональными данными.

Гипотетически есть риски блокировки сервиса, а также риски привлечения к ответственности за обработку ПнД с нарушением закона. Реально рисков пока нет. Блокировка, как самый существенный из рисков, применяется в соответствии с данным законом крайне ограниченно.

Иностранные компании закон соблюдать, безусловно обязаны. Для них он и принимался. Определение оператора персональных данных никак не ограничивает действие закона.

Правила проведения проверок исполнения требований закона уже определены. См. government.ru/media/files/E6F5cdAYEGN6NSyqBRLRGSARxZfwpOve.pdf

Если сервис действительно крупный и может привлечь внимание контролирующих органов, либо если сервис уже включен в реестр организаторов распространения информации, рекомендую арендовать сервер в РФ и залить туда некую базу данных. Также рекомендую подготовить документы, описывающие порядок работы с персональными данными и функционирование информационной системы (см. пункт 16 "а" Правил).

Артем, спасибо за дополнения!
То есть логика Наталии Беломестновой по иностранным компаниями не сильно убедила?

Павел, не убедили ни логика по иностранным компаниям, ни сама статья, содержащая очевидные ошибки (например "должны обеспечить осуществление ЛЮБЫХ операций с персональными данными граждан РФ только с использованием баз данных, находящихся на территории России").

По иностранным компаниям - логика не соответствует определению, данному в законе, и цели принятия 242-ФЗ (российские компании роскомнадзор мог контролировать и ранее, а вот с иностранными всегда было тяжело работать). Основывать позицию на ФАКах на сайте Роскомнадзора, которые не имеют ни какого-либо обоснования, ни официального статуса, считаю не верным.

Есть понимание относительно иностранных компаний, чей основной бизнес вне интернет. Например консалтинг, аудит, или даже западные рекрутинговые агенства? Им с их глобальным CRM, где хранить данные о россиянинах если они не в открытом доступе?

0

Если вы по емейлу сможете узнать, кто этот человек, то это персональные данные.

0

Жаркая дискуссия однако ))

0

Возможность комментирования статьи доступна только в первые две недели после публикации.

Сейчас обсуждают
Ivan Uvarov

Интервью то пройти не сложно, а вот визу получить... Шанс получить H1B визу примерно 20% сейчас.

10 актуальных стажировок для ИТ-специалистов за рубежом
0
Creampie Mozhayskij

Греф в костюме бомжа тестирует службу безопасности Сбербанка.

Видео: Герман Греф в «костюме инвалида» в отделении «Сбербанка»
0
Philipp Sinitsyn

Имея нормальное техническое образование (физтех, мехмат, вшэ) в эти компании устроиться совсем не трудно

10 актуальных стажировок для ИТ-специалистов за рубежом
0
Andrey Petrov

Интересно было прочитать. Спасибо.

Переезд компании в Ирландию: опыт сервиса BikesBooking.com
0
Matvey Kukuy

Не обязательно. Можно год отработать в российском и перевестись.

10 актуальных стажировок для ИТ-специалистов за рубежом
0
Показать еще