Хранение персональных данных в России: вопросы без ответов

В этом году 1 сентября это не только День Знаний, но и день, начиная с которого Персональные данные (ПД) граждан России должны храниться только в России. Или не должны. Или не только в России. Или не храниться. Давайте попробуем разобраться.

Закон был принят внезапно для многих причастных лиц, да и к тому же не в той редакции, которую согласовывали профильные ведомства и деловое сообщество. Судя по некоторым неофициальным комментариям, целью данного закона были крупные интернет-компании, вроде крупнейшей социальной сети и крупнейшего поисковика, которые владеют огромным массивом информации про граждан. Изначально цель закона была заявлена довольно благородной и нужной – сделать так, чтобы любой гражданин России, предоставивший свои персональные данные, имел бы возможность потребовать их удаления. Для этого у него должна быть возможность обратиться к соответствующему оператору персональных данных, и поэтому такие данные должны быть в России и должен быть адрес, по которому нужно обращаться с такой просьбой.

Сказано-сделано, вот только в силу спешки, видимо, а может быть и преднамеренно, закон о внесении изменений в законы получился несколько не таким, каким виделся в идеале.

Прежде всего закон распространился на все компании, а не только на те, которые работают в интернете. Но наиболее важным отличием от идеального закона явилось то, что он вышел слишком кратким. Один раз дату его вступления в силу уже переносили, и деловое сообщество очень надеялось, что его перенесут снова, но это маловероятно.

На момент написания этой статьи, общераспространённое мнение, подкреплённое неофициальными комментариями чиновников Роскомнадзора (РКН) и Минсвязи, сводится к тому, что с 1 сентября все организации, работающие с персональными данными, должны хранить их и использовать исключительно в России. Если ранее эти данные передавались или сохранялись за рубежом, то нужно их там удалить, сохранить в России, а затем, пользуясь правом на трансграничную передачу данных, снова можно их скопировать на зарубежные ресурсы. Это, повторюсь, самая широко распространённая и полностью неофициальная точка зрения. При этом, конечно, никто пока не может точно сказать, как будет проверяться исполнение этого закона и выполнение указанных действий. Многие компании с иностранным участием сразу начали указывать, что выполнение требований указанного закона потребует слишком больших затрат, перестройки всей модели бизнеса и чревато потенциальным уходом с рынка.

С моей точки зрения, всё это не более чем попытка ничего не делать, прикрываясь страшными прогнозами падения инвестиционной привлекательности и краха российской экономики.

По факту, на сегодня есть только два инструмента проверки исполнения данного закона.

Первый путь относится к законопослушным организациям, которые, соблюдая требования закона, сообщат в Роскомнадзор, что они работают с персональными данными, хранят их в России и дадут адрес сервера, где они их хранят. Вот туда-то к ним и придёт с проверкой Роскомнадзорм, пытаясь найти – нет ли нарушений в том как они это делают. Также могут быть проверки в тех организациях, которые ранее уже сообщали, что они работают с персональными данными, но по какой-то причине не прислали новую информацию, уточнённую, с указанием того, где расположена база данных персональных данных граждан России, которую они используют в работе.

Второй путь – работа с жалобами людей, которые посчитают, что с их данными работают с нарушением закона. Поскольку перечень лиц, работающих с ПД и сообщивших о месте нахождения базы данных будет (как обещают) в свободном доступе, то проверка будет достаточно простой, а затем, при подтверждении факта нарушения, стандартная процедура – предупреждение, суд, блокировка веб-сайта. И административный штраф.

Есть ещё вариант, что РКН сам будет проверять соблюдение закона, но в это верится слабо – слишком уж большие нужны штаты для этого.

Итак, чего же всё-таки требует новый закон? Формулировка его такова:

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

К сожалению, ограничения данной статьи не позволяют подробно остановиться на всех пробелах и недостатках данной нормы, поэтому отмечу кратко причины, по которым данный закон, на мой взгляд, станет более-менее понятным либо после внесения изменений, либо после применения судами.

Первый момент, это то, что данный закон относится к сбору ПД граждан России. Не во всех случаях работы с ПД выясняется гражданство гражданина. Особенно при работы с ПД онлайн, когда какие-либо сведения сообщаются субъектом персональных данных самостоятельно. Роскомнадзор советует всех лиц, предоставляющих ПД по умолчанию считать гражданами России, пока не доказано иное. Смысл в таком предложении есть, но можно также ввести отдельный пункт для подтверждения гражданства России или иного гражданства.

Второй момент – отсутствие в законодательстве России определения «база данных», подходящего для данного случая. Единственное имеющееся определение в 4 части Гражданского кодекса России, говорит о сборниках интеллектуальных произведений (научных работ, статей и т.п.), что в данном случае неприменимо. Всё остальное – это толкование исходя из общепринятого понимания слов «база данных», что очень некорректно для такого важного закона.

Третье, и наиболее важное. Указанная норма закона говорит о том, что перечисленные действия с ПД должны совершаться «с использованием баз данных, находящихся на территории России». То есть, закон не ставит обязательным условием, что действия должны совершаться на территории России, нет слов о том, что база данных должна находиться исключительно на территории России. Нормы закона о персональных данных по-прежнему разрешают трансграничную передачу данных. Таким образом, вопрос сводится к тому, что в том или ином виде на территории России должна находиться база, которая используется в процессе работы с персональными данными. И вот место нахождения этой базы данных и надо сообщить в Роскомнадзор для включения в реестр, который РКН будет вести и публиковать, как обещается, в открытом доступе.

При этом, необходимо помнить, что в принципе, в некоторых случаях, извещение в РКН о работе с персональными данными надо было отправлять и ранее, сейчас только добавилась новая строка – место нахождения базы персональных данных. Если вы ранее не сообщали соответствующие сведения в РКН в силу того, что ваша ситуация не попадает в описанные в законе, то и сейчас ничего не изменится.

Подводя итог, можно сказать, что с нашей точки зрения, требования данного закона вполне исполнимы причём во многих случаях с минимальными затратами, хотя ситуация с облачными сервисами хранения данных требует отдельного разговора.

Если Вам интересно обсудить тему “Хранение персональных данных в России”, зарегистрируйтесь на вэбинар Дениса Васильева.