Что делать зарубежной компании в связи с законом о хранении данных россиян на местных серверах
Добрый день. Есть зарубежный сервис с десятками миллионов зарегистрированных пользователей по всему миру. У этого сервиса есть российская локализация (сайт в зоне .ru) с сотнями тысяч зарегистрированных пользователей из России.
Из данных россиян, которые хранятся на зарубежном сервере — только email и привязка к соцсети (и то не у всех). Какие риски есть у компании, если она совсем не хочет переносить данные на российские сервера? Как с этим ситуация сейчас?
Спасибо.
Отвечает Павел Мищенко, юрист компании Runetlex
В настоящий момент компании ничего не грозит.
Кардинально ситуация поменяется 1 сентября 2015 года.
Именно тогда вступят в силу громкие поправки в законодательство о персональных данных (Федеральный закон от 21.07.2014 N 242-ФЗ).
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. (ч.5 ст. 18 ФЗ «О персональных данных»).
Компании, которые не будут соблюдать вышеуказанное требование, могут на основании судебного акта попасть в специально созданный «Реестр нарушителей прав субъектов персональных данных» с последующей блокировкой.
Однако не всё в этих изменениях очевидно. Существуют правовые неясности, которые должны разъяснить профильные органы, но они пока загадочно молчат или делают интересные заявления.
Например, министр связи указал, что часть персональных данных может по-прежнему храниться зарубежом.
Также остается вопрос, обязаны ли иностранные компании соблюдать российское законодательство в данном случае. Согласно разъяснениям на сайте Роскомнадзора, требования распространяются на представительства юридических лиц иностранных государств. А если представительств нет, то…. Непонятно. Достаточно подробно эта тема была освещена здесь.
В конце концов сама формулировка изменений вызывает некоторые сомнения. Можно предположить, что формулировка «С использованием баз данных» позволяет хранить лишь часть данных на российских серверах или дублировать информацию в двух местах.
Окончательная ясность наступит только после вступления поправок в силу. А может быть и намного позже. Пока зарубежному сервису можно только посоветовать отслеживать информацию по данному направлению и готовиться худшему сценарию. Ведь в таком случае изменения удастся провести оперативно.
Напоследок отмечу, что сама по себе электронная почта вряд ли может быть признана «персональными данными», несмотря на всю всеобъемлемость формулировки в законодательстве. Поэтому хранение только этой информации, скорее всего, не потребует корректив.
И пусть не говорят, что в России нет динамики - "Окончательная ясность наступит только после вступления поправок в силу. А может быть и намного позже." Круто, да? Никто не понимает закон, и что бы его понять нужно что бы он начал карать и работать. knowledge through experience ёпта
Михаил, проблема понимания понятия ПС действительно есть. ФЗ "О защите персональных данных" написан настолько коряво, что к персональным данным можно отнести фразу на заборе рядом с каким-нибудь домом «Игорь нехороший человек», ведь прямо или косвенно мы можем узнать, кто такой Игорь.
Чтобы исправить это и уточнить само понятие придётся ждать практики судов. Там точно встанут вопросы того, что является ПС, а что нет.
Электронная почта с привязкой к соцсетям и с некоей дополнительной информацией, которую пользователь оставляет в процессе использования сервиса вполне может признаваться персональными данными.
Гипотетически есть риски блокировки сервиса, а также риски привлечения к ответственности за обработку ПнД с нарушением закона. Реально рисков пока нет. Блокировка, как самый существенный из рисков, применяется в соответствии с данным законом крайне ограниченно.
Иностранные компании закон соблюдать, безусловно обязаны. Для них он и принимался. Определение оператора персональных данных никак не ограничивает действие закона.
Правила проведения проверок исполнения требований закона уже определены. См. http://government.ru/media/files/E6F5cdAYEGN6NSyqBRLRGSARxZfwpOve.pdf
Если сервис действительно крупный и может привлечь внимание контролирующих органов, либо если сервис уже включен в реестр организаторов распространения информации, рекомендую арендовать сервер в РФ и залить туда некую базу данных. Также рекомендую подготовить документы, описывающие порядок работы с персональными данными и функционирование информационной системы (см. пункт 16 "а" Правил).
Артем, спасибо за дополнения!
То есть логика Наталии Беломестновой по иностранным компаниями не сильно убедила?
Действительно, в большинстве случаев, как работать с новым законом решается далеко после его вступления в силу.
Принтеру на это все равно. Яркий пример был в 2009 году с ООО. Запретили старые формы для регистрации и внесению изменений, а новые появились спустя 2 года.
У меня был бы другой вопрос: как РКН узнает, где я храню данные? Ну есть у меня сервер в России, где все данные хранятся текстом в стиле "кирпич". Обезличенные. А сервер при идентификации обращается к скриптам на ино-серверах. Где я нарушил? Данные есть. Как с ним работать - решать мне. Даже если у меня есть дубликат на других серверах - кто и как об этом узнает?
Насколько я понял из поиска в сети, депутат от ЛДПР, предложивший данные поправки, ответил в духе: "Ну это технарская часть, я в ней не разбираюсь". Такие дела.
Да никак не узнает. Этот законе нужен для того чтобы украсть денег на построении "государственной" серверной инфраструктуры, да "нагнуть" facebook и ebay - чтобы те платили деньги "государственной" серверной инфраструктуре