Оглавление:
Закон «О персональных данных»
Федеральный закон от 27 июля 2006 г. N 152-ФЗ
«О персональных данных»
С изменениями и дополнениями от:
25 ноября, 27 декабря 2009 г., 28 июня, 27 июля, 29 ноября, 23 декабря 2010 г., 4 июня, 25 июля 2011 г., 5 апреля, 23 июля, 21 декабря 2013 г., 4 июня, 21 июля 2014 г., 3 июля 2016 г., 22 февраля, 1, 29 июля, 31 декабря 2017 г.
Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года
См. комментарии к настоящему Федеральному закону
Президент Российской Федерации
Закон создает правовую основу обращения с персональными данными физических лиц в целях реализации конституционных прав человека, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.
Персональными данными признаются любые сведения о физическом лице, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Определены принципы и условия обработки персональных данных. Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, закон предусматривает случаи, когда такое согласие не требуется. Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; обработка производится в связи с осуществлением правосудия, а также иных обстоятельств.
Важнейшей гарантией прав субъекта персональных данных является обязанность операторов и третьих лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных), а также право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Контроль и надзор за обработкой персональных данных возложен на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, который наделяется соответствующими правами и обязанностями. В частности, уполномоченный орган вправе осуществлять проверку информационной системы обработки персональных данных, предъявлять требования по блокированию, удалению недостоверных или полученных незаконным путем персональных данных, устанавливать постоянный или временный запрет на обработку персональных данных, проводить расследования в порядке административного производства о нарушениях закона.
Устанавливаются принципы трансграничной передачи данных, при которой должна обеспечиваться адекватная защита прав субъектов персональных данных.
Операторы, осуществляющие обработку персональных данных до вступления в силу закона, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление не позднее 1 января 2008 года.
Информационные системы персональных данных, созданные до дня вступления в силу закона, должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 года.
Закон вступает в силу по истечении ста восьмидесяти дней после официального опубликования.
Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»
Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования
Текст Федерального закона опубликован в «Российской газете» от 29 июля 2006 г. N 165, в «Парламентской газете» от 3 августа 2006 г. N 126-127, в Собрании законодательства Российской Федерации от 31 июля 2006 г. N 31 (часть I) ст. 3451
В настоящий документ внесены изменения следующими документами:
Федеральный закон от 31 декабря 2017 г. N 498-ФЗ
Изменения вступают в силу с 30 июня 2018 г.
Федеральный закон от 29 июля 2017 г. N 223-ФЗ
Изменения вступают в силу с 10 августа 2017 г.
Федеральный закон от 1 июля 2017 г. N 148-ФЗ
Федеральный закон от 22 февраля 2017 г. N 16-ФЗ
Изменения вступают в силу с 1 марта 2017 г.
Федеральный закон от 3 июля 2016 г. N 231-ФЗ
Изменения вступают в силу с 1 января 2017 г.
Федеральный закон от 21 июля 2014 г. N 242-ФЗ
Изменения вступают в силу с 1 сентября 2015 г.
Федеральный закон от 21 июля 2014 г. N 216-ФЗ
Изменения вступают в силу с 1 января 2015 г.
Федеральный закон от 4 июня 2014 г. N 142-ФЗ
Изменения вступают в силу по истечении шестидесяти дней после дня официального опубликования названного Федерального закона
Федеральный закон от 21 декабря 2013 г. N 363-ФЗ
Изменения вступают в силу с 1 июля 2014 г.
Федеральный закон от 23 июля 2013 г. N 205-ФЗ
Федеральный закон от 5 апреля 2013 г. N 43-ФЗ
Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона
Федеральный закон от 25 июля 2011 г. N 261-ФЗ
Изменения вступают в силу со дня официального опубликования названного Федерального закона и распространяются на правоотношения, возникшие с 1 июля 2011 г.
Федеральный закон от 4 июня 2011 г. N 123-ФЗ
Изменения вступают в силу по истечении десяти дней после дня официального опубликования названного Федерального закона
Федеральный закон от 23 декабря 2010 г. N 359-ФЗ
Изменения вступают в силу с 1 января 2011 г.
Федеральный закон от 29 ноября 2010 г. N 313-ФЗ
Федеральный закон от 27 июля 2010 г. N 227-ФЗ
Федеральный закон от 27 июля 2010 г. N 204-ФЗ
Изменения вступает в силу со дня официального опубликования названного Федерального закона
Федеральный закон от 28 июня 2010 г. N 123-ФЗ
Изменения вступают в силу с 1 июля 2010 г.
Федеральный закон от 27 декабря 2009 г. N 363-ФЗ
Изменения вступают в силу со дня официального опубликования названного Федерального закона
Федеральный закон от 25 ноября 2009 г. N 266-ФЗ
© ООО «НПП «ГАРАНТ-СЕРВИС», 2018. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.
base.garant.ru
В Евросоюзе вступил в силу новый закон о защите персональных данных
Москва. 25 мая. INTERFAX.RU — Общий регламент ЕС о защите данных (General Data Protection Regulation, GDPR), регулирующий распространение и использование личных данных европейцев, вступает в силу 25 мая, говорится в сообщении, распространенном на официальном сайте, посвященном принятому закону.
В соответствии с нормами регламента, теперь пользователи из ЕС имеют право знать, как именно используются персональные данные, которые они предоставляют о себе в интернете.
Новые правила являются экстерриториальными и распространяются на операторов, обрабатывающих персональные данные европейцев как в 28 странах — членах ЕС, так и за пределами союза. В случае использования данных пользователей в нарушение регламента предусмотрен штраф вплоть до 20 млн евро.
В тексте документа отмечается, что «изменения необходимы для более серьезной и последовательной защиты персональных данных в рамках Евросоюза», что имеет значение как для рядового потребителя, так и для обеспечения конкурентоспособности и прозрачности на внутреннем рынке ЕС.
Общий регламент был принят Европарламентом и Советом ЕС 27 апреля 2016 года и вступил в силу только сейчас. Ранее защита персональных данных регулировалась директивой 95/46/ЕС, а также национальными нормами стран — членов ЕС. Таким образом, регулирование этой сферы отличалось в каждом из государств Евросоюза.
Западные СМИ отмечают, что такие компании, как Facebook и Microsoft использовали существовавший пробел в европейском законодательстве и размещали свои штаб-квартиры в тех странах, которые обеспечивали защиту персональных данных пользователей в ограниченном объеме. Вступление в силу GDPR делает это невозможным.
Изменения в европейском законодательстве получили как позитивную, так и негативную реакцию со стороны общественности, бизнеса и политиков. По сообщению немецкой радиостанции Deutsche Welle, канцлер Германии Ангела Меркель считает некоторые нормы регламента слишком жесткими. По мнению канцлера, закон не должен привести к нарушению обращения с личными данными.
«Работа с большим объемом данных, так называемый Big Data Management, является важным экономическим фактором и играет центральную роль в развитии страны» — приводит радиостанция слова Меркель.
«Граждане ЕС получат определенный контроль над своими данными. Это главное положение норм защиты данных, которое должно быть очень позитивно оценено», — заявил в интервью радиостанции эксперт в области цифровых технологий Ларс Егер.
Между тем, BBC передает, что ряд американских сайтов оказались временно недоступными для пользователей из ЕС из-за вступления в силу нового регламента. Так, это коснулось сайтов изданий Chicago Tribune, New York Daily News, Los Angeles Times. О том, когда сайты станут вновь доступными для европейских пользователей, пока неизвестно.
В марте 2018 года вокруг Facebook разгорелся скандал, когда стало известно, что компания Cambridge Analytica через свое приложение в соцсети собирала данные пользователей. Предполагается, что компания могла получить данные в общей сложности 87 млн пользователей соцсети, 2,7 млн из которых были из Евросоюза.
www.interfax.ru
Когда вступает в силу закон о персональных данных
Проект ПД-Инфо.рф / PD-info.ru посвящен обсуждению вопросов, связанных с особенностями реализации нового Федерального закона № 242-ФЗ от 21.07.2014 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (т.н. «Закон о локализации Персональных данных россиян на территории РФ»).
Закон вступает в силу 1 сентября 2015 года, срок его вступления в силу был изменен на более поздний в результате экспертных обсуждений с отраслью и представителями государства и деятельности ряда профильных ассоциаций, аргументированно предложивших такой перенос.
В процессе обсуждения законопроекта и его принятия, он неоднократно привлекал к себе внимание игроков IT-рынка, СМИ, блогеров и экспертов. Периодически реакция на такое обсуждение выходила за рамки экспертных заключений. Зачастую это происходило из-за того, что отрасль не получала своевременных разъяснений и ответов на волнующие ее вопросы относительно конкретных механизмов реализации закона, контроля его исполнения и т.д.
При этом мы исходим из того, что в интересах всех участников процесса (государство: законодательная и исполнительная власть, отрасль: российские и международные интернет- и IT-игроки, пользователи) необходимо наладить конструктивный диалог сторон и собрать в едином месте все экспертные заключения, рекомендации и разъяснения — с целью максимально упростить доступ к накопленным материалами для всех заинтересованных сторон.
Данный проект — это общественная инициатива, направленная на упрощение работы и тех, кого этот закон касается непосредственно (российские и международные интернет- и IT-игроки, пользователи — субъекты персональных данных).
Проект реализуется силами РАЭК (Ассоциация электронных коммуникаций), РОЦИТ (Региональный общественный Центр интернет-технологий) и Роскомнадзора, при участии партнеров проекта: theRunet, rspectr.com и Журнал «Интернет в цифрах».
Принципиально важна роль Роскомнадзора в данном проекте — как представителя государства и контролирующего органа, готового к диалогу в отраслью, экспертизе закона и возникающих в связи с его исполнением нюансов, а также к постоянному взаимодействию с игроками Рунета и IT-компаниями.
Подзаконные нормативные правовые акты
В рамках реализации 242-ФЗ, были разработаны следующие проекты подзаконных нормативных правовых актов:
Постановление Правительства Российской Федерации от 19 августа 2015 г. № 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных» (вместе с «Правилами создания, формирования и ведения автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных»);
Проект постановления Правительства Российской Федерации «Об утверждении положения о контроле за обработкой персональных данных»;
Проект приказа Минкомсвязи России «О внесении изменений в Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Минкомсвязи России от 21.12.2011 № 346»;
Приказ Роскомнадзора от 22 июля 2015 г. № 84 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи»;
Приказ Роскомнадзора от 22 июля 2015 г. № 85 «Об утверждении формы заявления субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных»
pd-info.ru
Закон о персональных данных: так ли страшен черт, как его малюют?
1 июля 2017 года в силу вступили поправки к закону “О персональных данных” (152-ФЗ). Теперь операторы (так в законе названы государственные и муниципальные органы, юридические или физические лица, организующие и (или) осуществляющие обработку персональных данных) обязаны хранить и обрабатывать личные данные граждан РФ на территории страны, предварительно получив на это согласие субъектов персональных данных.
Информационный ажиотаж, вызванный вступлением в силу поправок к закону “О персональных данных”, можно сравнить разве что с реакцией на оперативно разработанный и принятый летом 2016 года “пакет Яровой”. С той лишь разницей, что инициативой господина Озерова и госпожи Яровой остались недовольны преимущественно представители ИТ-компаний и операторы связи, вынужденные выделять из бюджета дополнительные средства на реализацию ТЗ. А вот закон “О персональных данных” коснулся огромного количества людей и организаций, взаимодействующих с гражданами России, — компаний, социальных сетей, государственных органов, визовых центров и даже обыкновенных блоггеров. Ведь многие владельцы блогов на том же WordPress даже не догадываются о том, что являются операторами персональных данных. Между тем, получить штрафные санкции за несоблюдение закона они могут уже завтра.
Что считать персональными данными?
Строгого их перечня в российской действительности не существует. Комментировать значение термина представители Минкомсвязи и Роскомнадзора отказываются в силу отсутствия полномочий. Поэтому всем заинтересованным приходится догадываться. Справедливости ради, Минкомсвязь разработало памятку по основным вопросам обработки персональных данных. Не сказать, что она вносит ясность в ситуацию, зато по ссылке любой желающий может задать экспертам уточняющий вопрос.
В российском законе сказано, что персональными данными является любая информация, с помощью которой можно идентифицировать конкретного человека. Идентично понятие раскрывается и в статье 2 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. (Россия также входит в число стран, подписавших конвенцию).
В “допоправочную” эпоху персональными данными признавались фамилия, имя, отчество, номер телефона, дата рождения, дата регистрации, номер паспорта, ИНН, данные трудового договора — в различных комбинациях, но не по отдельности.
Олег Ефимов, управляющий партнер правового партнерства “Ефимов и партнеры”, который консультировал ATLEX по практической стороне вопроса, уточнил, что достаточно сочетания имени и адреса электронной почты, чтобы Роскомнадзор признал указанные данные персональными.
Помимо прочего, к персональным данным относятся и специфические сведения, вроде информации об отпечатках пальцев, геноме человека или его здоровье.
Можно ли хранить и обрабатывать персональные данные за границей?
Новость о том, что теперь наши персональные данные должны храниться и обрабатываться внутри страны вызвала у моих коллег пару панических атак. Не менее взволнованы представители российского бизнеса, которые хостятся за рубежом. Для них размещение серверов за границей — вопрос принципиальный. Ведь иностранные хостинг-услуги зачастую дешевле отечественных, а релокация в ряде случаев может обеспечить непрерывность бизнес-процессов.
Так, перенос серверов за границу избавляет российские компании от возможных административных атак. Например, если на вашу компанию поступила жалоба (в том числе и необоснованная) о том, что на вашем сервере хранится запрещенная в РФ информация, то правоохранители должны и могут изъять оборудование из коммерческого дата-центра на экспертизу. В этой ситуации они могут навестить хостера без предупреждения (постановление суда им не требуется). Внеплановые проверки могут затянуться на несколько месяцев. Если нарушений не будет выявлено, оборудование вернут, но бизнес понесет серьезные финансовые и репутационные убытки.
Европейское (в частности чешское) законодательство более лояльно относится к хостерам и их клиентам. Оборудование провайдер выдаст исключительно по решению чешского суда — в том числе и по запросу российских правоохранительных органов.
Кроме того, многие российские компании арендуют у зарубежных хостинг-провайдеров вычислительные мощности под сервис восстановления данных после сбоев (Disaster Recovery). В случае выхода из строя основной площадки он позволяет восстановить функционирование ИТ-системы за пределами страны.
Можно, но осторожно
Если персональные данные россиян должны обрабатываться на родине, значит ли это, что оборудование нужно вернуть в Россию?
Этот вопрос Олег Ефимов прокомментировал так: “Закон “О персональных данных” обязывает размещать на территории страны основную, наиболее полную и актуальную базу персональных данных. За границей же можно держать ее копии или части. Причем разрешено (а точнее — не запрещено) как хранить, так и обрабатывать персональные данные россиян в дочерних базах — с тем лишь условием, что использоваться они будут в тех же целях, что и в основной базе данных”.
Таким образом, нет необходимости возвращать все оборудование в Россию. Достаточно размещения нескольких серверов в коммерческом дата-центре под основную базу персональных данных. В результате клиент получает географически распределенные ИТ-площадки, которые можно синхронизировать.
Отдельно стоит сказать об иностранных компаниях, которые работают на российском рынке. Для соблюдения закона им тоже придется разместить серверы на территории нашей страны. В противном случае их ждет судьба социальной сети LinkedIn.
Самоидентификация: как понять, что вы — оператор персональных данных
Вернемся к вопросу о получении согласия субъектов на обработку их персональных данных.
Прежде, чем оператор начнет производить с данными какие-либо действия, он должен получить согласие субъекта. Речь идет о сборе, использовании, обезличивании, блокировании, удалении и уничтожении данных.
Казалось бы, это требование соблюсти гораздо проще, чем перенести базы данных на территорию России. Однако здесь есть другая проблема: не каждый оператор персональных данных (а тем более, если он — физическое лицо) понимает и знает, что он является оператором. Но, как известно, незнание не освобождает от ответственности.
Если у вас есть сайт с формой регистрации или, скажем, обратной связи, — вы являетесь оператором персональных данных. А значит, вам необходимо подготовить документ (пользовательское соглашение, согласие на обработку персональных данных, договор, политику конфиденциальности — название не имеет значения), в котором будут прописаны условия обработки персональных данных пользователей (кто вы, какие данные и зачем собираете, как будете их обрабатывать и т.д.). Этот документ следует опубликовать на сайте в свободном доступе. После этого под каждой формой сбора персональных данных надо разместить поле, в котором посетитель сайта сможет оставить свое согласие.
Если вы — обычный пользователь, ведете в сети личный блог, где читатели могут зарегистрироваться (то есть оставить свои личные данные) и комментировать посты, то, с большой долей вероятности, вы — оператор персональных данных.
Не умеешь — научим, не хочешь — заставим
Подведем итоги. Поправки в силу вступили. Но трагедии не произошло. Хоть закон и обязывает хранить и обрабатывать основную базу персональных данных наших граждан на территории России, выносить отдельные части и копии за рубеж — можно. А значит, повода для паники нет: российский бизнес, который хостится за границей, может продолжать сотрудничать с иностранными провайдерами.
Для того, чтобы получить согласие на обработку персональных данных, достаточно разового общения с квалифицированными юристами и составления соответствующего документа. На мой взгляд, задача вполне выполнимая.
Не стоит забывать и то, что закон “О персональных данных“ призван в первую очередь защищать права физических лиц, то есть — нас с вами.
Принятие поправок также показало: необходимо повышать общий уровень цифровой грамотности пользователей. Например, с помощью таких ликбезов.
Соседи тоже стараются
В мае будущего года в силу вступает европейский регламент, регулирующий обработку персональных данных. Документ более четко, нежели российский аналог, прописывает, что такое персональные данные: “имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица”.
Кроме того, в европейском законодательстве прописаны схожие с российскими нормы обработки персональных данных, которые касаются вероисповедания, интимной жизни, политических взглядов и проч. — работать с ними разрешается только с отдельного согласия субъекта.
vc.ru
В России вступил в силу закон о персональных данных
Часть компаний уже отчиталась о готовности следовать новым нормам, однако Google, Facebook и Apple пока не делали заявлений по поводу соблюдения этого закона
Москва. 1 сентября. INTERFAX.RU — Выполнение российскими и зарубежными компаниями требований законодательства РФ по локализации персональных данных россиян растянется, вероятно, на годы, несмотря на то, что отведенный на это срок уже истек – новые нормы вступили в силу с 1 сентября.
О чем звонит колокол?
Во вторник вступили в силу поправки к закону «О персональных данных», которые требуют локализации персональных данных на территории России. Любая российская или зарубежная компания, ориентированная на работу с российскими пользователями, должна обеспечивать запись, систематизацию, накопление, хранение, уточнение персональных данных россиян с использованием баз данных, находящихся на территории РФ.
В обновленном законе пересмотрено само понятие персональных данных. Теперь это не только ФИО и, например, адрес и год рождения, а любая информация, относящаяся к определяемому ею физлицу.
За соблюдением этих норм будет следить Роскомнадзор, которому поручено создание реестра нарушителей законодательства о персональных данных, а также дано право блокировать сайты тех компаний или организаций, которые включены в этот реестр. Решение о включении компании в реестр нарушителей принимает суд. Помимо этого суд может оштрафовать компанию-нарушителя на сумму до 300 тыс. рублей.
Разблокирование интернет-ресурса осуществляется Роскомнадзором также по решению суда или по сообщению хостинг-провайдера или владельца ресурса об устранении нарушения.
В ряде случаев обновленный закон разрешает обработку персональных данных россиян на территории других государств: в целях исполнения правосудия, исполнения полномочий органов госвласти и местного самоуправления, а также для достижения целей, предусмотренных международным договором.
Закон не будет распространяться на выдачу виз, продажу авиабилетов, деятельность СМИ и судов, заявлял руководитель Роскомнадзора Александр Жаров. Трансграничная передача данных россиян законом разрешена, однако храниться они должны на территории РФ, говорил он. Вместе с тем, возможно временное хранение дубликата данных за рубежом, но только на срок, необходимый для выполнения действий, для которых они передавались за границу. Например, данные гражданина РФ могут быть переданы в заграничный отель или клинику, но после того, как отдых или лечение закончится, данные клиента на зарубежных серверах должны быть аннулированы, объяснял Жаров.
По оценкам экспертов Российской ассоциации электронных коммуникаций (РАЭК), с 1 сентября для российских интернет-пользователей фактически ничего не изменится, в том числе и при работе с зарубежными интернет-магазинами.
«В законодательстве нет никаких оснований распространять на неработающий в РФ интернет-магазин требования российского закона, однако как пойдет правоприменительная практика, покажет время, — говорится в комментарии РАЭК. — Не исключено, что в целом будет соблюдаться принцип территориального действия закона (контролироваться на предмет размещения серверов в России будут только российские юридические лица и иностранцы, имеющие здесь филиалы и представительства), но для каких-то отдельных случаев правоприменитель будет толковать закон шире». Особенно, если об этом будут просить интернет-пользователи.
По действующему закону каждый пользователь может подать жалобу в Роскомнадзор о нарушении его прав на защиту персональных данных. С 1 сентября к жалобам можно будет добавлять заявления о блокировке ресурса, нарушившего права пользователя.
Будь готов! Всегда готов!
Интернет-бизнес, прежде всего российский, активно критиковал нововведения в законодательство о персональных данных. Спектр причин, которые ударят по бизнесу компаний, указывался довольно широкий. Здесь и финансовые затраты, и нехватка мощностей центров обработки данных (ЦОД), и малые сроки на подготовку к локализации персональных данных. Но прежде всего — неточность формулировок закона и отсутствие подзаконных актов, которые и должны определять правила применения новых норм.
Однако с появлением первых соответствующих подзаконных актов, с началом регулярных встреч представителей компаний с сотрудниками Роскомнадзора, которые в меру своего понимания пытались разъяснять требования закона о локализации персональных данных, накал страстей снижался, а вопросов становилось все меньше и меньше.
Более того, в конце июля РАЭК провела анонимный опрос 40 российских и зарубежных интернет-компаний, который показал, что 54% компаний полностью готовы соблюдать требования закона о локализации персональных данны. Еще 27% опрошенных заявили о возможной неполной готовности компаний к указанной дате, а 19% ответили, что вовсе не готовы.
Намного интересней оказалась реакция зарубежных компаний. С критикой закона они не выступали и время от времени встречались с представителями Роскомнадзора. Но результаты встреч, как и работу по подготовке к 1 сентября они никак не комментировали. При этом в СМИ появлялись сообщения, что к переносу данных в РФ приступили Samsung, Lenovo, Aliexpress, Ebay, PayPal, Uber, Booking.com. В свою очередь источник на рынке рассказывали «Интерфаксу», что некоторые из названных компаний не определились ни со сроками локализации персональных данных, ни с объемом переносимых данных и даже не выделили соответствующие бюджеты.
«К 1 сентября готовы — соответствуем требованиям регулятора, — заявил «Интерфаксу» глава PayPal в России Владимир Малюгин. — Как и что реализовано — это наше техническое решение, детали которого раскрывать не хотелось бы». Также Малюгин рассказал, что у компании были вопросы к регулятору по поводу трансграничной передачи данных, трактовок и определений различных положений закона.
«Сегодня есть разъясняющие письма Роскомнадзора и Минкомсвязи, которые дают достаточно подробные разъяснения и определения по всем вопросам в области локализации персональных данных, что позволило игрокам рынка начать отстраивать свои соответствующие процессы, — сказал Малюгин. — Конечно, хотелось бы, чтобы такое понимание в подобных сложных вопросах появлялось на более ранних этапах».
В eBay, частью которой совсем недавно была PayPal, «Интерфакс» также заверили, что с 1 сентября компания соответствует требованиям российского законодательства. О своей готовности исполнять российское законодательство о персональных данных сообщал и китайский онлайн-ритейлер AliExpress.
В свою очередь, американская Oracle заявила, что во всех странах, где компания работает, она соблюдает требования законодательства. Однако подтвердить «Интерфаксу» готовность компании к работе с персональными данными россиян в соответствии с новыми требования сотрудники Oracle не смогли.
IBM и SAP отказались комментировать тему локализации персональных данных. При этом немецкая компания пообещала подробно рассказать журналистам о своей работе в этом направлении в середине сентября.
«Мы тесно сотрудничаем с нашими партнерами для того, чтобы наши корпоративные клиенты имели возможность соответствовать положениям нового закона и продолжали пользоваться облачными услугами, оставаясь уверенными, что такие сервисы отвечают всем требованиям закона, — отметили «Интерфаксу» в пресс-службе Microsoft Russia. — Это включает в себя технические изменения, добавленные в наши продукты и услуги, изменения в договорных обязательствах, вносимые в соглашения с нашими технологическими партнерами в России, и специальное подробное руководство для наших клиентов и партнеров по конфигурации продуктов и услуг с учетом требований закона».
«Не все сервисы компании подпадают под действие нового закона, — отметили в Microsoft. — В тех случаях, где положения закона применимы к услугам компании, мы обеспечиваем их соблюдение».
При этом в компании подчеркнули, что Microsoft продолжит диалог с российскими госорганами для уточнения вопросов применения соответствующего законодательства к ряду корпоративных и пользовательских сервисов Microsoft.
Кстати, партнеры Microsoft также ведут работу, направленную на локализацию персональных данных и не только. «Во многих странах, не только в России, бизнес начинает использовать системы и сервисы резервного хранения данных, в том числе, для того, чтобы эти данные были «приземлены» на территории страны, — сказал «Интерфаксу» глава компании Acronis Сергей Белоусов. — Для примера, в октябре-ноябре у нас выйдет продукт, который будет обеспечивать резервное хранение данных из облачного сервиса Microsoft Office 365. При этом Microsoft будет помогать его продвигать, чтобы пользователи могли делать копию своих данных вне облака Microsoft — в своих странах».
В то же время ряд зарубежных компаний как не занимались, так и не занимаются, а возможно, и не планируют заниматься локализацией персональных данных россиян. К их числу, например, можно отнести Google, Facebook и Apple.
Первая из них, несмотря на неоднократные встречи с руководством Роскомнадзора, все еще думает, как будет соблюдать закон. Facebook один раз обсудил с Роскомнадзором этот вопрос в конце августа, однако о результатах встречи ни ведомство, ни компания рассказать не пожелали.
Взгляд из зазеркалья
К настоящему времени ни регуляторы, ни отраслевые ассоциации не дают четкого понимания и оценки ситуации. Здесь некоторую ясность могут дать российские IT-компании и сервис-провайдеры, занимающиеся локализацией персональных данных. По их данным, ситуация далека от идеальной.
По мнению директора сервисного центра IBS по поддержке бизнес-приложений Дмитрия Ивицкого к 1 сентября перенос успело осуществить не более 20% компаний, потенциально подпадающих под действие закона о локализации персональных данных.
«Кто-то планировал, но просто не успел перенести свои информационные системы до 1 сентября, кто-то занял выжидательную позицию, кто-то пока не считает, что это его касается, — сказал Ивицкий. — Мы ожидаем, что спрос на эту услугу сохранится минимум на ближайшие полгода-год, но во многом дальнейшая ситуация будет зависеть от того, насколько жестким будет контроль соблюдения законодательства со стороны надзорных органов».
«Поскольку технологически задача вполне реализуема, то, думаю, что все, кого спрашивали, могли ответить, что они готовы, — прокомментировал «Интерфаксу» гендиректор «Онланта» (входит в группу компаний «Ланит» и предоставляет различные облачные сервисы — ИФ) Сергей Таран результаты опроса РАЭК. — Но это не значит, что завтра их информационные системы начнут работать в новой архитектуре. Этим надо заниматься, и, пока не началось реальное давление со стороны регуляторов, заказчики не будут спешить».
В то же время представители компаний отмечают интерес заказчиков к услугам по локализации как персональных данных, так и в целом информационных систем. «В последнее время мы фиксируем рост интереса к нашим услугам, связанный с необходимостью локализовать персональные данные, — сказал исполнительный директор «Селектел» (оператор сети ЦОД) Олег Любимов. — Но процент таких запросов в общей массе пока невелик».
«Запросы (на локализацию персональных данных — ИФ) приходят, заказчики оценивают, рассматривают — изучают вопрос без заключения договора, — подтвердил Таран. — По всей видимости, они пока не видят для себя негативных последствий и ждут, когда закон начнет реально применяться».
Примечательно, что к основной проблеме в деле локализации персональных данных эксперты отнесли не технические и не финансовые трудности.
«Основная проблема для заказчика, это, конечно же, выбор надежного локального хостинг-провайдера и подрядчика способного в минимальный срок, с минимальными рисками и с минимальным даунтаймом осуществить перенос систем», — сказал Ивицкий.
«У зарубежных компаний проблемы могут возникнуть при анализе рынка и выборе поставщика услуг, — добавил Любимов. — Дело в том, что большинство брендов российских провайдеров никак не представлены за рубежом, даже на уровне отражения в авторитетных аналитических отчетах, а многие операторы не имеют опыта работы с иностранными заказчиками. Это выливается в элементарное отсутствие базовых документов на английском, персонала, способного поддерживать на должном уровне коммуникацию и т.д.».
Технические проблемы, по мнению Любимова, могут возникнуть только в случаях, требующих одновременной установки большого количества оборудования на одной площадке. То есть, речь может идти, например, не о локализации персональных данных, а о локализации всей информационной системы, в которой обрабатываются персональные данные.
«В информационных системах зарубежных компаний, которые обрабатывают различные взаимосвязанные данные, могут обрабатываться в том числе и персональные данные россиян, — уточнил Таран. — Если переносить персональные данные российских граждан из этих систем на территорию РФ, то нужно переписывать часть этого прикладного ПО, чтобы оно могло работать в новой конфигурации».
Государево око смотрит. И верит
Роскомнадзор в настоящее время в своей оценке ситуации с локализацией персональных данных ориентируется на результаты анонимного опроса 40 компаний, проведенного РАЭК в июле.
«Это положение дел (результаты опроса — ИФ) подтверждалось и в ходе наших персональных переговоров со многими крупными участниками рынка, и на основании публичных заявлений различных компаний, — сказал «Интерфаксу» представитель Роскомнадзора Вадим Ампелонский. — Еще до принятия закона представители, например, компании Booking.com (сервис бронирования отелей) заявили в СМИ, что не видят для себя каких-то существенных проблем в связи с этим законом и, конечно, будут соответствовать его требованиям».
По словам Ампелонского, в настоящий момент компания полностью выполнила свое обещание: «Мы знаем даже, в каких дата-центрах они будут хранить персональные данные российских пользователей своего сервиса (Booking.com — клиент российских дата-центров британской компании IXcelerate)».
Также Ампелонский отметил, что ранее свою готовность переносить данные в Россию подтвердили eBay и PayPal, AliExpress, Samsung, Lenovo, Uber, Citybank и многие другие. «У нас нет никаких оснований им не доверять, — сказал он. — Насколько мне известно, 1 сентября компания Samsung открывает собственный дата-центр в нашей стране, необходимый для исполнения требований закона».
Что касается Facebook, Google и Apple, то первым двум была предоставлена исчерпывающая информация о механизмах применения закона. Роскомнадзор рассчитывает, что компании в ближайшее время озвучат свои официальные позиции по этому поводу. «С Apple мы не общались, — отметил Ампелонский. — В любом случае, в плане проверок на 2015 год данные компании не числятся».
«В принципе, они (Facebook, Google и Apple — ИФ) могут работать до тех пор, пока не наступит время плановой проверки — или по каким-то причинам не будет принято решение о внеплановой проверке», — отмечал ранее Жаров.
Что касается самих проверок, то до конца текущего года Роскомнадзор намерен проверить 317 компаний (0,012% всех компаний, работающих с персональными данными в России) на выполнение требований по локализации персональных данных. Этот список подготовлен Генпрокуратурой РФ. В числе прочих в этот перечень вошли «Скартел», «ЛУКОЙЛ-Информ», петербургское отделение «Ростелекома», российское представительство General Motors. Уже в сентябре ведомство намерено провести около 90 проверок. Впрочем, сами проверки будут носить только документарный характер.
Также Роскомнадзор рассчитывает, что после принятия постановления правительства РФ о порядке контроля по закону о локализации персональных данных он сможет самостоятельно инициировать внеплановые проверки — например, если в ведомство будут поступать многочисленные обращения граждан и организаций о существенных нарушениях. «Внеплановая проверка — это всегда мера оперативного реагирования на возникающие очаги напряженности, — отметил Ампелонский. — Внеплановая проверка может быть назначена, если оператор подаст недостоверные сведения об обработке персональных данных».