В чем суть?
По новому закону при сборе персональных данных оператор (любой сайт или компания, у кого есть данные о россиянах) должен обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных российских граждан с использованием баз данных, находящихся на территории России.
В обновленном законе пересмотрено само понятие персональных данных. Теперь это не только ФИО и, например, адрес и год рождения, а любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Теперь каждый пользователь может подать жалобу в Роскомнадзор о нарушении его прав на защиту персональных данных. Правда, не до конца понятно, как пользователь может понять, в дата-центре какой страны хранятся его персональные данные.
Чем и кому грозит?
За соблюдением новых норм будет следить Роскомнадзор, который будет вносить сайты в реестр нарушителей и блокировать доступ к этим ресурсам на территории РФ. Под удар может попасть любая компания или сайт, которые ведут «направленную на территорию России деятельность» (находятся в доменной зоне .ru и .рф, размещают рекламу российских товаров и услуг и тому подобное) и хранят любые персональные данные россиян.
Решение о том, кого надо внести в реестр, будет принимать суд. Он также может не только закрыть доступ, но и оштрафовать компанию-нарушителя на сумму до 300 тысяч рублей. Разблокировать ресурс тоже можно, после вынесения соответствующего постановления суда об устранении нарушения.
Закон не затрагивает выдачу виз, деятельности СМИ и судов, а также продажу авиабилетов. Трансграничная передача данных россиян тоже не воспрещается законом, однако храниться они должны на территории РФ, ранее пояснял руководитель Роскомнадзора Александр Жаров. Если же необходимо для каких-либо задач хранить информацию за рубежом, например, на момент отдыха россиянина в другой стране, то это можно сделать, но только на время поездки, после чего данные должны быть аннулированы.
Первая реакция
Компании, как российские, так и зарубежные, активно критиковали новые поправки, когда о них только стало известно. Чаще всего акцент делали на том, что данная процедура слишком затратна, да и существующих в России дата-центров просто недостаточно для обеспечения такой инфраструктуры. Наибольшей критике подвергалась неоднозначность формулировок закона.
Сейчас на территории РФ появилось множество новых дата-центров, а сами законы обзавелись группой подзаконных актов и рядом уточнений, что заметно снизило уровень негатива среди представителей бизнеса.
Готовность
Некоторые американские компании уже начали высказывать свое согласие с новыми требованиями. Руководитель Роскомнадзора Александр Жаров в апреле также сообщал о намерении интернет-гиганта Google и онлайн-ритейлера AliExpress — у которого недавно появилось российское представительство — хранить свои данные в России. (Google никак не комментирует эту информацию. Lenovo и Samsung уже приступили к переносу базы пользователей на местную территорию).
Российская ассоциация электронных коммуникаций (РАЭК) провела опрос среди представителей более чем 40 российских и иностранных ИТ-компаний в анонимном формате. Результаты показали, что только 54% процента опрошенных утвердительно ответили на вопрос о готовности соблюдать новые требования с 1 сентября. Еще 27% заявили о возможной неполной готовности компании к указанной дате, а 19% констатировали, что вовсе не готовы. Европейским компаниям необходима отсрочка, хотя бы санкций. Впрочем, они ее не получили.
В PayPal и eBay «Интерфаксу» подтвердили, что с первого сентября компании работают в соответствии с новыми требованиями. IBM, SAP и Oracle в детали не вдаются, но и подтвердить готовность к исполнению поправок в срок не смогли. Microsoft обещает придерживаться закона: «Не все сервисы компании подпадают под действие нового закона. В тех случаях, где положения закона применимы к услугам компании, мы обеспечиваем их соблюдение». Впрочем, в компании подчеркнули, что диалог с российскими госорганами для уточнения вопросов применения соответствующего законодательства к ряду корпоративных и пользовательских сервисов Microsoft продолжится, а это означает, что данные все-таки еще не находятся на территории РФ. Во всяком случае, не в полном объеме.
А вот ряд крупных компаний, похоже, не занимается вопросом переноса данных и не факт, что вообще планирует это делать. К их числу, например, можно отнести Google, Facebook и Apple. Первая все еще не давала официальных комментариев по вопросу исполнения закона, равно как и Apple. А соцсеть, как недавно стало известно, еще не решила, будет ли исполнять требования закона.
Взгляд изнутри
По мнению директора сервисного центра IBS по поддержке бизнес-приложений Дмитрия Ивицкого к 1 сентября перенос успело осуществить не более 20% компаний, потенциально подпадающих под действие закона о локализации персональных данных: «Кто-то планировал, но просто не успел перенести свои информационные системы до 1 сентября, кто-то занял выжидательную позицию, кто-то пока не считает, что это его касается». Он полагает, что ситуация с переносом данных будет тянуться, как минимум, полгода-год: «дальнейшая ситуация будет зависеть от того, насколько жестким будет контроль соблюдения законодательства со стороны надзорных органов».
Гендиректор «Онланта» (предоставляет различные облачные сервисы) Сергей Таран рассказал, что бизнес пока прощупывает почву с отечественными дата-центрами: «Запросы приходят, заказчики оценивают, рассматривают — изучают вопрос без заключения договора. По всей видимости, они пока не видят для себя негативных последствий и ждут, когда закон начнет реально применяться».
Эксперты отмечают, что для компаний может стать куда большей проблемой не финансовая сторона вопроса или технические трудности переноса, а выбор надежного местного хостинг-провайдера и подрядчика, который сможет реализовать поставленную задачу в кратчайшие сроки.
Роскомнадзор
Ведомство говорит, что не будет сильно напирать на компании в первое время. Представитель Роскомнадзора Вадим Ампелонский отметил еще раз, что ранее свою готовность переносить данные в Россию подтвердили eBay и PayPal, AliExpress, Samsung, Lenovo, Uber, Citybank и многие другие. «У нас нет никаких оснований им не доверять. Насколько мне известно, 1 сентября компания Samsung открывает собственный дата-центр в нашей стране, необходимый для исполнения требований закона».
Если говорит о Facebook, Google и Apple, то первым двум была предоставлена исчерпывающая информация о механизмах применения закона. Роскомнадзор рассчитывает, что компании в ближайшее время озвучат свои официальные позиции по этому поводу. «С Apple мы не общались, — отметил Ампелонский. — В любом случае, в плане проверок на 2015 год данные компании не числятся».
Что касается самих проверок, то до конца текущего года Роскомнадзор намерен проверить 317 компаний (0,012% всех компаний, работающих с персональными данными в России) на выполнение требований по локализации персональных данных. Правовые проверки иностранных компаний могут начаться уже со следующего года. Как будет ведомство реагировать на нарушителей в будущем и насколько активно ресурсы начнут пополнять реестр нарушителей, мы узнаем в скором времени.
