Персональные данные: успеть обеспечить защиту! Часть 2
В конце декабря 2014 года был принят закон, в соответствии с которым требование о хранении персональных данных с помощью серверов, расположенных на территории России, распространяется на операторов не с 1 сентября 2016 года, как планировалось первоначально, а уже с 1 сентября 2015 года (Федеральный закон от 31 декабря 2014 г. № 526-ФЗ). Разговоры о досрочном введении этого положения в действие велись с сентября 2014 года, когда в Госдуму был внесен соответствующий законопроект1. Авторы документа предлагали изменить срок вступления в силу нового правила на 1 января 2015 года, но в итоге было принято решение перенести эту дату на восемь месяцев.
МАТЕРИАЛЫ ПО ТЕМЕ
И у юристов, и у программистов возникло немало вопросов, касающихся особенностей хранения персональных данных россиян на серверах, находящихся на территории России (ст. 2 Федерального закона от 21 июля 2014 г. № 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях", далее – Закон № 242-ФЗ). Однако до настоящего времени ни законодатель, ни Роскомнадзор никаких разъяснений не дали. Разберемся, какие пробелы содержит Закон № 242-ФЗ, возможна ли при его реализации трансграничная передача данных и какие предложения по совершенствованию новых норм были выдвинуты.
Неопределенность в реализации новых требований
Можно выделить несколько затруднений, которые могут возникнуть при выполнении требований Закона № 242-ФЗ.
Понятие "персональные данные" сформулировано недостаточно четко. Действующее законодательство понимает под ними любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных", далее – закон о персональных данных). Вместе с тем, такое широкое толкование позволяет распространять новые требования практически на всю информацию о человеке.
Однако некоторые эксперты полагают, что положения закона несколько шире, чем изначальный замысел законодателя, и считают необходимым ограничить действие Закона № 242-ФЗ определенными сферами деятельности и определенной персональной информацией, которую и нужно обязательно дублировать на российские серверы.
Это не пустой вопрос, поскольку от детализации персональных данных, подпадающих под новые требования, напрямую зависят объем информации, который надо локализовать на территории России, и объем требуемых на это издержек. "Наши IT-подразделения находятся в замешательстве, поскольку они не имеют понятия, что конкретно переносить с иностранных серверов на локальные. Например, нужно ли брать в расчет почтовые серверы или достаточно перенести серверы, которые обрабатывают основные персональные данные (заключение договоров, начисление заработной платы и т. д.). В настоящее время "правила игры" нам не известны", – сетует руководитель отдела по взаимодействию с государственными органами власти компании по производству товаров ежедневного спроса ООО "Юнилевер Русь" в России, Украине и Беларуси Александр Дубровский.
А до тех пор, пока не будет уточнен перечень персональных данных, которые подпадают под действие Закона № 242-ФЗ, компаниям стоит руководствоваться разъяснениями Роскомнадзора. В частности, управление ведомства по республике Крым и г. Севастополь в апреле 2014 года на своем официальном сайте пояснило, что персональными данными являются: фамилия, имя, отчество гражданина, его дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии, данные паспорта и т. д., если по этим данным можно прямо или косвенно определить конкретную личность. Правда, перечень этот является открытым – поэтому не исключено, что чиновники Роскомнадзора будут признавать персональными данными и другие сведения о человеке.
Закон не определяет, что такое "базы данных". Закон № 242-ФЗ требует хранить персональные данные с помощью баз данных, расположенных в России, однако не уточняет, что считается базами данных и каков порядок работы с ними. Одни эксперты отмечают, что даже обычный текстовый файл при определенном форматировании может считаться базой данных, тогда как другие склонны понимать под этим отдельный сервер или группу серверов, с помощью которых обеспечивается целостность и сохранность данных. Есть и иные точки зрения.
МНЕНИЕ
Андрей Прозоров, ведущий эксперт по информационной безопасности группы компаний InfoWatch:
"Что такое база данных и как ее вести – не определено, поэтому некоторые операторы считают, что офисные компьютеры – это и есть их локальная база данных. Да, персональные данные впоследствии куда-то направляются, но локальная база данных на территории России есть, следовательно, требованиям закона деятельность организации полностью соответствует. Это значит, что до тех пор, пока требование законодателя не будет детально прописано, формально его можно считать выполненным даже при таких условиях".
Трудно определить принадлежность персональных данных гражданину РФ. Определить гражданство субъекта персональных данных не всегда возможно – подавляющее большинство операторов не используют конкретизирующую информацию (паспортные или иные данные), которая позволяла бы установить этот факт. Не исключено, что Роскомнадзор может проверять IP-адреса на предмет их принадлежности российским операторам либо будет уточнять информацию по зарегистрированному у российского оператора номеру телефона субъекта персональных данных. Но поскольку ни один из этих способов не гарантирует принадлежность персональных данных исключительно россиянам, существует риск того, что ограничить круг лиц гражданами России даже в этих случаях не удастся. Это значит, что, не имея возможности установить российское гражданство субъекта, большинству операторов придется переносить на российские серверы все обрабатываемые им персональные данные, что существенно усложнит процесс.
Отсутствует указание на возможность параллельного хранения и обработки данных как в России, так и за рубежом. Среди специалистов мнения по этому поводу разделились. Одни утверждают, что Закон № 242-ФЗ однозначно обязывает хранить персональные данные россиян исключительно на территории России. Другие же говорят, что раз нет прямого запрета, параллельное хранение информации на российских и заграничных серверах вполне возможно, поскольку в действующем законодательстве разрешена так называемая трансграничная передача персональных данных. Напомним, под ней понимается передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (ст. 3, ст. 12 закона о персональных данных). Главное – обеспечить копирование этой информации на российские серверы.
В замешательстве находятся и иностранные компании, которые так или иначе имеют дело с персональными данными россиян.
МНЕНИЕ
Дмитрий Яковлев, генеральный директор интернет-магазина путешествий OZON.travel:
"Основной вопрос, на который хотелось бы получить ответ, – какую цель ставил перед собой законодатель? Если читать закон буквально и считать, что его действие распространяется в том числе и на зарубежных операторов, которые обязаны строить дополнительные серверы в России и переносить туда персональные данные россиян, то надо отказываться от интернет-технологий вообще. Если же мы говорим, что этому требованию должны соответствовать только российские юридические лица, то тут все гораздо проще. Однако конкретных разъяснений Роскомнадзор пока не дал".
Инициативы и предложения
Одной из наиболее значимых инициатив в свете новых требований является идея Правительства РФ об увеличении штрафа за нарушение законодательства о персональных данных. За рубежом штраф за такое нарушение значительно выше российского. Например, в Испании он составляет от 40 тыс. до 600 тыс. евро, во Франции – 150-300 тыс. евро, в Германии – до 300 тыс. евро с конфискацией незаконно полученной прибыли, в Великобритании – до 500 тыс. фунтов, а в Италии за соответствующее нарушение взыскивается административный штраф в размере до 1,5 млн евро.
Законопроект2 кабмина (на данный момент он готовится к первому чтению) предлагает установить для юридических лиц штраф от 15 тыс. до 300 тыс. руб. в зависимости от состава, тогда как в настоящее время максимальный размер штрафа за подобные нарушения для них составляет всего 10 тыс. руб. (ст. 13.11 КоАП РФ). К слову, законопроект предусматривает несколько составов правонарушения вместо одного, существующего в настоящее время (например, обработка персональных данных с нарушением требований к составу сведений, включаемых в согласие на обработку персональных данных субъекта; обработка персональных данных без согласия субъекта и в отсутствие предусмотренных иных условий обработки персональных данных; невыполнение оператором обязанности по опубликованию или размещению его политики в отношении обработки персональных данных и др.).
Предложение увеличить размер штрафов согласуется с мнениями многих экспертов, считающих, что соблюдение требований Закона № 242-ФЗ напрямую зависит от размера штрафов, установленных за их нарушение. Андрей Прозоров убежден: "До тех пор, пока у нас не повысятся штрафы и не будет формализовано понятие базы данных, крупные операторы, чтобы не тратить денег, будут трактовать закон по-своему".
Однако если Закон № 242-ФЗ еще в законную силу не вступил и поэтому пока реальной угрозы для компаний не представляет, равно как и административная ответственность за нарушение его норм, то не стоит забывать о так называемом "законе о блогерах" (Федеральный закон от 5 мая 2014 г. № 97-ФЗ "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей"). Напомним, его нормы действуют уже с 1 августа 2014 года.
МНЕНИЕ
Андрей Прозоров, ведущий эксперт по информационной безопасности группы компаний InfoWatch:
"Отдельного внимания в свете обязанности оператора обеспечить хранение персональных данных на территории России заслуживает Федеральный закон от 5 мая 2014 г. № 97-ФЗ, или так называемый "закон о блогерах". На самом деле он вообще не о блогерах. Самая главная идея этого документа касается обязанностей организатора распространения информации в Интернете. Дело в том, что положения закона неконкретны, и под них может попасть абсолютно любой сайт, начиная от поисковых сетей, интернет-магазинов и заканчивая сайтом, владельцем которого является простой человек. Закон вступил в силу в августе 2014 года и уже работает, в отличие от Закона № 242-ФЗ. Уже сейчас владельцы сайтов обязаны хранить информацию о пользователях на территории России (ст. 10.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и защите информации"). При этом законодатель установил не только такую обязанность, но и конкретные штрафы за невыполнение этого требования, размер которых достигает 500 тыс. руб. (ст. 13.31 КоАП РФ). Для интернет-гигантов это настоящий "дамоклов меч"!".
Эксперты сходятся во мнении о том, что с учетом нынешних технических возможностей Закон № 242-ФЗ не готов к внедрению в быстрые сроки. По оценкам крупных компаний, им потребуется порядка трех лет для того, чтобы перенести все свои базы данных в Россию. "По опыту могу сказать, что у законодателя уже есть видение, как этот закон будет реализован, как он будет применяться, однако до нас эта информация пока не доведена. Мы придерживаемся мнения, что необходимо исключить из объектов регулирования внутренние корпоративные сети, поскольку они не являются публичными, носят ограниченный характер и недоступны для третьих лиц. Также считаем, что необходимо ограничить действие Закона № 242-ФЗ в отношении работодателей, которые обрабатывают персональные данные для исполнения трудового законодательства в России", – предлагает Александр Дубровский.
Пока же компании вправе сами выбрать для себя наиболее подходящую стратегию поведения: дождаться официальных разъяснений Роскомнадзора по поводу применения нового закона и до тех пор ничего не предпринимать либо подстраховаться и обеспечить хранение персональных данных исключительно на собственном или арендуемом сервере, находящемся на территории России. Первый вариант чреват возможными проверками со стороны Роскомнадзора и штрафами, второй же может потребовать выделения значительной части бюджета компании для реализации этих мероприятий. "Небольшие компании часть задач по обработке персональных данных могут вполне перенести в облачные хранилища (например, Dropbox) бесплатно или с минимальными затратами. Расходы крупных компаний будут зависеть от необходимой мощности, типа серверов и их количества, а также дополнительных условий технической поддержки. Разброс цены при этом будет от нескольких тысяч до нескольких сотен тысяч рублей в месяц", – уточняет Андрей Прозоров. А Дмитрий Яковлев пояснил порталу ГАРАНТ.РУ: "В среднем для небольшой торговой компании на проект по хранению персональных данных потребуется от 150 тыс. руб. до 500 тыс. руб. Сложнее обстоят дела у компаний, работающих в туристическом бизнесе, – для крупного online-агентства стоимость хранения данных обойдется в среднем в 10-15 млн руб., что с учетом амортизации составит в среднем 3-4 млн руб. в год".