Лого vc.ru

Законопроект о персональных данных: что изменится в 2016 году

Законопроект о персональных данных: что изменится в 2016 году

Технический директор ЦП Илья Чекальский написал колонку о новом законопроекте, обязывающем хранить данные россиян на территории страны: какие проекты попадают под новые ограничения и как будут выживать иностранные компании.

Поделиться

Новый законопроект обязывает все компании хранить и обрабатывать персональные данные россиян на серверах, находящихся на территории Российской Федерации. В случае несоблюдения закона сайт компании-нарушителя будет внесён в реестр Роскомнадзора, а доступ к нему на территории РФ будет ограничен.

Я обратился к юристам с просьбой о помощи в трактовке закона 152-ФЗ о персональных данных.

Во-первых, к персональным данным относится как ФИО, так и номер мобильного телефона и адрес электронной почты и даже аккаунты в социальных сетях. Этого достаточно, чтобы под действие закона попали такие крупные зарубежные компании, как Apple, Facebook, Google и Microsoft, а также множество более мелких, таких, как Ebay, PayPal, Booking.com или Reddit, на котором для регистрации нужно оставить электронный адрес, не говоря уже про небольшие сайты по прокату автомобилей или магазинчики, отправляющие товар по всему миру. Такие мессенджеры, как Telegram, хранящие копии всех данных пользователей в нескольких датацентрах по всему миру, могут попасть под блокировку по заявке от любого физического лица, использующего их.

Во-вторых, закон не предусматривает возможности хранения даже резервных копий за пределами РФ:

Компания не может [хранить персональные данные за рубежом], ибо норма императивная, что значит дозволяется только то поведение, что предусмотрено этим законом.

— Севан Авалян, юрист

Буквальное толкование поправок запрещает хранить на зарубежных серверах даже резервные копии данных, хотя это и вступает в противоречие с положениями этого же закона о трансграничной передаче персональных данных.

— Роман Алымов, адвокат

В-третьих, не предусмотрено никаких исключений для таких компаний, даже в случае заключения специального договора с зарубежной компанией о хранении персональных данных за границами РФ.

То есть зарубежным компаниям, если они хотят работать с пользователями из России, придётся хранить их данные (или хотя бы их персональную часть) на серверах в РФ. А теперь давайте представим, как это будет происходить.

Начнём с простого: как определить, что пользователь, регистрирующийся на сайте — гражданин РФ? У сервисов будет только два пути — определять по IP или по указанному гражданству (но тогда пользователь может поставить любую другую страну и тем самым подставить сервис).

Допустим, мы выбрали определение по IP, а что делать, если сервисом воспользуется американец в командировке? Он не обрадуется тому, что его персональные данные «переехали» в Россию. Остаётся единственный вариант — спрашивать гражданство у пользователя, который вполне может прикинуться не россиянином, а мирным австрийцем, проводящим отпуск с семьёй.

Не стоит ещё забывать, насколько сложно настроить трансатлантическое партиционирование данных, как сильно это может повлиять на скорость работы сайтов (ведь за персональными данными придётся обращаться за океан, хранить их у себя нельзя), но лучше я расскажу, как этот закон (возможно) будут обходить иностранные компании.

Способ первый

После вступления в силу решения суда, Роскомнадзор отправляет запрос на удаление персональных данных хостинг-провайдеру, который тот обязан передать владельцу сайта. Так что данные по конкретному запросу можно просто удалить, это выведет весь сайт из-под блокировки.

Способ второй

В этом случае всё-таки придётся хранить и обновлять данные на территории Российской Федерации, но зато можно избежать крайне дорогостоящей смены архитектуры — просто хранить рабочую копию в своём основном дата-центре, власти РФ не смогут это доказать.

Таким образом и волки могут быть сыты, и овцы целы. Зато уполномоченные органы Российской Федерации смогут изъять сервера с персональными данными россиян в любой момент. Так что о защите наших данных от западных спецслужб здесь речи точно не идёт.

Статьи по теме
Что думает рынок о принятом запрете на хранение данных россиян за рубежом04 июля 2014, 18:24
Популярные статьи
Показать еще
Комментарии отсортированы
как обычно по времени по популярности

Странно, что потребовались юристы, чтобы объяснить что копию хранить нельзя, это прямо следует из закона, столько споров было про эти копии. В законах по умолчанию "только", если не указано иное.

0

С чего бы? Что не запрещено, то разрешено. По идее...

Нет. Это не так. Разрешено только то, что указано в законе.

Вы юрист, чтобы такое заявлять?

0

Не совсем верно. В законодательстве РФ практикуется два подхода при выборе метода регулирования возникающих в обществе отношений: диспозитивный и императивный.

Первый подразумевает собой возможность выбора поведения (выбор действий), отличного от указанного в законе. Нормы с подобным методом регулирования можно отличить по фразам, типа «если иное не предусмотрено федеральным законом или договором». Примером может послужить пункт 1 статьи 458 ГК РФ: «Если иное не предусмотрено договором купли-продажи, обязанность продавца передать товар покупателю считается исполненной в момент». Вы можете установить иной момент передачи товара покупателю чем тот, что указано в этой норме.

Второй метод регулирования — императивный — устанавливает единственно возможный вариант поведения. Никакие иные варианты поведения в соответствующих правоотношениях НЕ ДОПУСКАЮТСЯ. Данный метод чаще всего используется в публичном праве (власть → общество). Как пример можно взять статью 309 ГК РФ, устанавливающую, что обязательства должны исполняться ТОЛЬКО ЛИШЬ надлежащим образом. Ненадлежащее исполнение не допускается.

Для новой редакции в части расположения баз данных нельзя утверждать, что применяется императивный подход. Правоприменительной практики сейчас нет, и говорить о том, что запрещено размещение баз данных заграницей в новой редакции, нельзя.

0

Это по сути ровно то, что я написал. "По умолчанию" - это то, что имеется в виду, если не указано каких-то дополнительных условий. "Если иное не предусмотрено блаблабла" - это доволнительное условие. Если этой фразы нет, то используется версия по умолчанию, то есть императивная.

Я где-то приводил пример с сосисками в холодильнике: фразу "сосиски должны храниться в холодильнике" с точки зрения логики языка можно трактовать как "существует хотя бы две сосиски, которые хранятся в холодильнике, а остальные можно хранить где угодно". В законе же всегда надо рассуждать от обратного: что будет, если условие нарушено. Наличие сосиски вне холодильника это нарушение условия "сосиски должны храниться в холодильнике". Именно так будут рассуждать в суде: их интересует не наличие данные в России, а отсутствие данных вне России.

Вообще-то новый закон звучит по другому: "Сосиски при покупке должны храниться в холодильнике". После покупки сосиски можно переложить на стол.

0

Интересно, какая компания первой покажет россиянским властям большой хер? Даже если это сервис которым я постоянно пользуюсь, и его заблокируют, инициативу я поддержу, ибо всё то дерьмо что льётся из уст наших депутатов начинает просачиваться даже в мою маленькую квартиру юного битарда. Наверное пора собирать средства что бы через пару лет безболезненно свалить куда-нибудь, например в Японию.

Скорее собирайте средства, наш юный битард, и безболезненно сваливайте куда-нибудь, например в Японию!

Дружок, в Японии жить еще сложнее, чем в России.

1

Вообще забавно. У меня сервера в Германии. Даже если я возьму сервер на территории РФ, на котором буду хранить базы с данными юзеров, во время работы основных серверов на них будут создаваться сессионные куки, которые частично будут хранить данные пользователя во время сеанса. Т.е. избежать хранения данных за рубежом, хотя бы временного, просто нереально.
Еще один веселый момент. Я - россиянин. И, допустим, я живу за пределами РФ. Как меня сможет выкупить тот же ФБ, чтобы положить мои данные на другой сервер? И т.д. и т.п.
Цель всего мероприятия абсолютно прозрачна, но оформлена на столько глупо и непрофессионально...
В итоге придем к тому, что ты своей жене решишь написать смс-ку, а при отправке будет высвечиваться "отправлено на модерацию".

Memcached — тоже по сути БД, в ней нельзя хранить данные россиян, если она запущена не в РФ.

Удивляют паникеры, которые не читают законы, но делают различные выводы.

О чем говорит новая редакция закона: "При сборе персональных данных, ..., оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных ... в базах данных информации, ... на территории РФ".

Ключевая фраза "при сборе".
Т.е. хранение персональных данных на территории ПДн должно осуществляться только при сборе.

В новой редакции ничего не сказано про обработку или использование ПДн только на территории России.

Таким образом, у операторов ПДн есть возможность реализации новой редакции минимальными усилиями:
собрали ПДн и предупредили о трансграничной передаче -> поместили в базу на территории РФ -> провели экспорт (трансграничную передачу) в свою систему.

Ни о каком переносе баз данных в Россию в законе не говорится. Хватит паниковать.

0

Вы странно трактуете законы, вы юрист?

0

В чем странность? В том, что не соответствует вашей статье? Прочитайте сами ФЗ об изменениях в 152-ФЗ.

Я занимаюсь темой соответствия (в т.ч. по 152-ФЗ). В моей команде 3 юриста, которые занимаются аналитикой по 152-ФЗ.

0

Объясните, пожалуйста, как соотносится ваше заявление, что «хранение персональных данных на территории ПДн должно осуществляться только при сборе» с пунктом 10 части 3 статьи 22 и пунктом 8 части 4 статьи 16? И как это соотносится с заявлениями самих депутатов и пояснительной запиской?

И, кстати, вы цитируете не самую последнюю версию законопроекта.

0

> Объясните, пожалуйста, как соотносится ваше заявление, что «хранение персональных данных на территории ПДн должно осуществляться только при сборе» с пунктом 10 части 3 статьи 22 и пунктом 8 части 4 статьи 16?
п. 10 ч.3 ст. 22 152-ФЗ гласит:
10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
Не вижу противоречий. Что вас смущает в этом пункте? Статья говорит об уведомлении регулятора.

Пункта 8 в части 4 статьи 16 нет. Прочтите закон.
Возможно вы имеете в виду п. 7 ч.4. ст. 16 другого закона, а именно 149-ФЗ?
4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
7) размещение на территории Российской Федерации баз данных информации, в которых осуществляется сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение
персональных данных граждан Российской Федерации.»

Так этот пункт указывает на необходимость размещения баз данных в России только в тех случаях, которые предусмотрены законодательством. 152-ФЗ как раз и говорит только про сбор персональных данных.

> И как это соотносится с заявлениями самих депутатов и пояснительной запиской?
Депутаты нагнетают и могут говорить всё, что угодно. Трепать языком - это их работа. Журналисты подхватывают горячую тему, интерпретируют как им угодно и возбуждают население.
Важно только то, что есть в федеральном законе. А там есть только ограничение на размещение баз данных только при сборе персональных данных.

> И, кстати, вы цитируете не самую последнюю версию законопроекта.
Глупости не говорите. Я цитирую версию с 3 чтения ГД РФ.

0

Насчет "сбора" - хороший пункт, но жаль, что понятие "сбора" не было добавлено в статью 3 (основные понятия). Хотя может и не жаль.
Но меня в этой ситуации интересуюет другой вопрос, который хотелось бы прояснить, пока в дискуссии присутствуют юристы.
А именно, статья 1: "Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами...".
В то же время, по статье 1202 ГК "Личным законом юридического лица считается право страны, где учреждено юридическое лицо".
В связи с этим, правомерно ли применение устанавливаемых 152-ФЗ норм к деятельности иностранных юрлиц вообще, и в частности, к взаимоотношениям между гражданами РФ и иностранными юрлицами?

0

Дмитрий,

вот есть крутые доки на сайте РКН. Выдержка, например:

Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.)

«Статья 12. Передача персональных данных через границы
и национальное право
1. Нижеследующие положения будут применяться к передаче через национальные границы персональных данных, проходящих автоматическую обработку или предназначенных для автоматической обработки, независимо от способа такой передачи.

2. Сторона не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой Стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы.

3. Тем не менее, каждая Сторона вправе отступить от положений пункта 2:

а. в той мере, в какой ее законодательство устанавливает специальные правила в отношении определенных категорий персональных данных или автоматизированных баз персональных данных - кроме случаев, когда правилами другой Стороны предусмотрена равноценная защита;

b. когда передача осуществляется с ее территории на территорию Государства, не являющегося Стороной Конвенции, через территорию другой Стороны - с той целью, чтобы такая передача не совершалась в обход законодательства Стороны, указанной в начале настоящего пункта.»


pd.rkn.gov.ru/law/p131/

0

Чтобы понять новые требования и почему они предъявляются только к сбору персональных данных достаточно сделать предположение о мотивации правительства.
Мотивация у правительства была простая - принудить операторов и различные web-сервисы раскрывать персональные данные своих пользователей. Для этого у органов должны быть возможности прийти к оператору и изъять базу данных. Если изъять не удается, то у Роскомнадзора появляется возможность заблокировать web-сервис в России.
Таким образом операторы должны при получении персональных данных от своих пользователей сохранять их в России, чтобы в дальнейшем при необходимости сообщить их органам.
Закон не накладывает ограничений на использование и хранение после сбора. Т.е. web-сервисы после сбора смогут переносить свои базы данных заграницу, либо осуществлять трансграничную передачу.

0

Депутаты принимающие такие законы совершенно не соображают в информационных технологиях.
А в 2016 году почти ничего не изменится: две-три компании в России подчинятся этому закону (мэил, яндекс, рамблер), остальные все российские сайты и все зарубежные сайты не предпримут никаких действий чтобы что-то менять у себя...
Часть сайтов услышат еще один "звоночек" и переедут на зарубежные сервера...
Надзор забанит пару неугодных сайтов...
и всё... на этом всё и закончится...

0

Статья касающаяся трансграничной передачи данных осталась без изменений, а это значить, что хранить будем тут, а передавать также и передавали.

0

Стажируюсь в междунаодной юридической комапании, поручили разобраться в этом законе и его последствиях. Столкнулся со многими противоречиями и вопросами, которые были озвучены ранее. Чтобы разобраться во всем этом нужны в добавок к юридическим знаниям еще и технические (в добавок закон написан "странно")
У меня возникли следущие вопросы:
1) при передачи пресональных данных будет ли получение этих данных (получающей стороной) сбором?
2) как соотносятся передача данных и извлечение?
3) как соотносится запись и сбор данных?

Буду благодарен тем, кто поможет разобраться в этом.

0

Возможность комментирования статьи доступна только в первые две недели после публикации.

Сейчас обсуждают
Denis Kiselev
oberongroup

Терминалы wifi сильно дешевле абонентских устройств 4g/5g. Для Индии это оч важно

Google представила проект развития бесплатного Wi-Fi по всему миру
0
Yuri Khivrich

А помните, Nokia была премиальным брендом телефонов? С Блэкберри тоже американские президенты ходили. Слишком быстро все меняется, не все могут среагировать. Мы будем свидетелями и заката Apple, и много чего ещё. Такова новая реальность.
А с Блэкберри я только 2 недели назад соскочил после 5 лет и мне очень не хватает простоты и стиля Blackberry10 OS. Но умерла, так умерла

Blackberry официально отказалась от производства смартфонов
0
Николай Поляков

Интересно, что написано спустя 8 лет. Срок давности истек ? ) Но как у этого человека пиво теперь покупать? под видом крафта будет продавать "жигули" прокисшие ?

«Подделки принесли нам 1,5 миллиона рублей за два месяца»
0
Михаил

Да, вернут комиссию, если поездка сорвется. Офигенная ответственность, я считаю, есть, что спрашивать.

Сервис поиска попутчиков BlaBlaCar ввёл комиссию 20% с пассажиров в России
0
Спартак Каграманян

Очень талантливый малый. Безумно понравилась его игра.
Также кому интересно подобное творчество, можете взглянуть на бесплатную store.steampowered.com/app/409160/ тоже его авторства

Как сделать игру смешной: лекция разработчика юмористического проекта Stanley Parable
0
Показать еще