Twitter пожаловалась в Верховный суд на штраф в три тысячи рублей за отказ отвечать о хранении данных россиян Статьи редакции

Вы сначала изучите вопрос а потом уже выносите свой вердикт. Реальность не основана на вашем представлении действительности. Она основана на фактах. А они таковы. Законодательство всех стран основано на соблюдении закона ВСЕМИ резидентами а так же НЕ РЕЗИДЕНТАМИ, которые в той или иной мере осуществляют деятельность как на территории страны так и в отношении ее граждан ( в т. ч. юр.лиц) этой страны.
Так вот в соответствии с Европейским законом о защите персональных данных (General Data Protection Regulation; GDPR). Абсолютно все компании и\или лица занимающиеся обработкой персональных данных обязаны соблюдать этот закон. Вне зависимости от того зарегистрированы
они на территории Евросоюза или нет. Достаточным в этом случае будет оказывать любые услуги на территории Евросоюза. Под оказанием услуг понимаются любые действия связанные с обработкой персональных данных граждан Евросоюза. Соответственно, ничего странного в действиях Российского правосудия нет и быть не может. Эта практика используется повсеместно. Но некоторые особенно продвинутые страны (США) расширили толкования распространения своей юрисдикции. Например в случае если вы в гр. России в расчетах со своим партнером гр. Грузии будете использовать валюту США ($), на вас (при желании и необходимости) будет распространяться нормы действия законов США.

"Вы сначала изучите вопрос". Давайте изучим вместе?

в GDPR:
- ключевые субъекты: юзер и провайдер, права и обязанности которых уточняются этим подзаконным актом, но не ограничиваются
- хранение и обработка ПД не запрещаются в других юрисдикциях, юзер должен только дать свое согласие
- о блокировках там мне ничего не известно. Не подскажете?

Теперь сравните с российским законом:
- ключевые субъекты - Роскомнадзор и условные таганско-басманные суды
- волеизъявление самих граждан РФ при этом вообще не учитывается. Роскомнадзор "защищает" (на самом деле нет, см. примеры ниже) их права без соответствующей на то доверенности
- требование хранить данные граждан РФ в одной юрисдикции противоречат здравому смыслу, экономическим и техническим реалиям (см. примеры ниже)
- блокировки, нарушающие сразу несколько прав юзера и провайдера (см. примеры ниже): ограничение права получать и распространять информацию, лишение тайны переписки, лишение контроля над своими ПД

Для наглядности несколько примеров из практики:
- у юзера есть учетная запись в американской LinkedIn, которую он мог создать при поездке в те же США, по условиям договора с LinkedIn определяется подсудность США. Тут вмешивается Роскомнадзор вопреки воле юзера и блокирует ему сервис. В результате юзер теряет доступ к своим данным, не может производить отписки от отдельных услуг, изменять и удалять свои данные. К этому можно добавить ущерб от потерянных бизнес-контактов и несостоявшихся сделок.
- у человека есть бизнес и недвижимость за рубежом, это отражено в соответствующих национальных реестрах тех стран. Реестры должны хранить данные в РФ?
- человек торгует на фондовых биржах Лондона, Чикаго и Токио. Биржи должны проводить клиринг и процессинг на территории РФ?
- человек в кругосветном путешествии. Авиакомпании, отели, службы такси всего мира должны хранить его паспортные данные на территории РФ?

Ну, и вишенка на торте:
- GDPR регулирует отношения любых провайдеров с любыми людьми, конкретно "should apply to natural persons, whatever their nationality or place of residence", а значит они могут быть и гражданами РФ. Достаточно ввести какие-либо свои данные через европейский сервис.
- GDPR обязывает хранить данные в надежных юрисдикциях, в которых они надежно защищены. Юрисдикция РФ может быть не признана таковой, учитывая масштаб различных сливов, взломов, фишингов и т.д. и т.п.
- храня данные в РФ, в случае их утечки twitter упрощенно говоря стал бы нарушителем GDPR.

как видим практика всё же разная.

1) "Требование хранить данные граждан РФ в одной юрисдикции противоречат здравому смыслу, экономическим и техническим реалиям” - Нет, не противоречит. Во-первых, распределение компьютерной инфраструктуры по миру - очень хорошая практика для повышения надёжности сервисов. Во-вторых, 152-ФЗ требует лишь первоначальный сбор данных в РФ субъектов в РФ. Данные могут переноситься в третьи страны, при соответствии переноса законодательству.

2) "- GDPR регулирует отношения любых провайдеров с любыми людьми, конкретно "should apply to natural persons, whatever their nationality or place of residence", а значит они могут быть и гражданами РФ. Достаточно ввести какие-либо свои данные через европейский сервис."
Это совсем не верно. Это цитата из Recital 14 GDPR. Тем не менее, Recital не имеет той же силы, что и Article. Recital лишь проясняет цели законодателей и служит для разрешения спорных вопросов по применению Статей GDPR.
Реальные ограничения территориального действия надо смотреть в Article 3 GDPR, в которой говорится:
"This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not". Таким образом, GDPR относится лишь к обработке данных в контексте ведения бизнеса в Европейском Союзе. Таким образом, если Twitter ведёт бизнес в ЕС, а вы гражданин РФ И резидент ЕС, то GDPR применим к вашим правоотношениям. Если вы живёте в РФ - GDPR не применим.
Вдобавок, Recital 13 указывает: “…to ensure a consistent level of protection for natural persons THROUGHOUT THE UNION ..., a Regulation is necessary ...". Таким образом, в Recital 14 говорилось лишь о физлицах НА ТЕРРИТОРИИ ЕС.

3) "храня данные в РФ, в случае их утечки twitter упрощенно говоря стал бы нарушителем GDPR". Нет по правовым и практическим соображениям. Во-первых, как мы уже установили, GDPR действует только в отношении бизнес-деятельности в Европе. Во-вторых, см. пункт 1.

4) "у юзера есть учетная запись в американской LinkedIn, которую он мог создать при поездке в США, по условиям договора с LinkedIn определяется подсудность США. Тут вмешивается Роскомнадзор вопреки воле юзера и блокирует ему сервис. В результате юзер теряет доступ к своим данным, не может производить отписки от отдельных услуг, изменять и удалять свои данные.”
Пока упомянутый юзер находится на территории США, правоотношения действительно не подпадают под законодательство РФ. Но как только этот юзер вернулся в РФ, правоотношения начинают подпадать под требования законодательства РФ, поскольку деятельность ЛинкдИн направлена на РФ (т.е. LinkedIn ведёт бизнес в РФ), что доказывается тем, что LinkedIn предоставляет версию на русском (базовый критерий языка), а также предоставлял доступ по адресу ru.linkedin.com и linkedin.ru (критерий географических доменных имён), а также показывал рекламу на русском. Таким образом, LinkedIn вынужден соблюдать законодательство, поскольку фактически ведёт предпринимательскую деятельность в РФ и обрабатывает ПД субъекта в РФ. Советую почитать дела Pammer and Alpenhof Европейского Суда (ЕС), являющиеся первоисточником теста направленности деятельности.

5) "- человек торгует на фондовых биржах Лондона, Чикаго и Токио. Биржи должны проводить клиринг и процессинг на территории РФ?" - Нет, так как биржа не направлена на пользователей в РФ.

6) "у человека есть бизнес и недвижимость за рубежом, это отражено в соответствующих национальных реестрах тех стран. Реестры должны хранить данные в РФ?"
Нет, иностранные госорганы не подпадают под требования законодательства (хотя бы потому, что не направлены на пользователей в РФ, помимо ещё ряда причин). Госорганы РФ также не подпадают под требования GDPR.

7) "GDPR обязывает хранить данные в надежных юрисдикциях, в которых они надежно защищены. Юрисдикция РФ может быть не признана таковой" - забавно, что ЕС не может проверять, являются ли страны-члены ЕС надёжными с этой точки зрения. В перспективе, у Великобритании могут быть проблемы с получением этого статуса после выхода из ЕС, поскольку британское законодательство с правовой точки зрения не вполне соответствует Европейскому (нету кодифицированного Protection of personal data, помимо проблем с развед. деятельностью и прослушкой)

8) "блокировки, нарушающие сразу несколько прав юзера и провайдера: ограничение права получать и распространять информацию, лишение тайны переписки, лишение контроля над своими ПД"
Ограничения прав бывает допустимы. См., например, Европейскую Конвенцию по Правам Человека, которая во многих случаях допускает вынужденные ограничения прав, например в интересах предотвращения преступлений, или защиты прав и свобод других лиц.

То есть, Ваше право переписываться с деловыми партнёрами может быть ограничено, если блокировка предотвратит нарушения прав или свобод других лиц. Другой вопрос - как к такой аргументации отнесётся Европейский Суд по Правам Человека.

Не знаю на линкедин, но про Твиттер прямо в посте указано, что он не имеет регионального представительства в РФ ни в какой форме. Вести предпринимательскую деятельность в РФ, без получения соответствующего статуса, как бы не вполне законно уже по более строгим областям права. Значит ли это, что в отношении твиттера возбуждены дела за эти нарушения, раз ведётся такая аппеляция к тому, что он "ведёт предпринимательскую деятельность на территории РФ", не получив необходимый статус хозяйствующего субъекта?

Иностранные компании зачастую могут вести деятельность в России без представительства, при этом будут иметь место некоторые особенности, например, при налогообложении