От поисковиков до банков
Хранить персональные данные россиян в России требует принятый в июле 2014 года закон №242 «О внесении изменений в отдельные законодательные акты РФ в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (известен как закон о персональных данных). Роскомнадзор будет отвечать за «контроль и надзор за обработкой персональных данных», в частности заносить его нарушителей в специальный реестр.
Изначально закон должен был вступить в силу 1 сентября 2016 года. Но депутаты решили ускорить процесс и выступили с двумя новыми редакциями закона: по последней версии, которую 17 декабря Госдума приняла сразу в двух чтениях, данные россиян должны «переехать» в Россию с 1 сентября 2015-го. Бизнес-сообщество выступало против этого переноса, но 31 декабря Владимир Путин все же подписал закон.
Первыми с Роскомнадзором будут встречаться менеджеры российских и зарубежных интернет-компаний, в том числе Google, «Яндекс», Mail.ru Group и Rambler&Co, рассказал РБК директор Российской ассоциации электронных коммуникаций (РАЭК) Сергей Плуготаренко. Представитель Роскомнадзора Вадим Ампелонский подтвердил информацию.
Пресс-служба «Яндекса» и представитель Rambler&Co и также подтвердила свое участие, сотрудники Mail.ru и Google вечером в четверг не смогли прокомментировать возможную встречу.
До середины марта пройдут еще семь собраний – с менеджерами из разных отраслей бизнеса: первыми на очереди – компании из электронной торговли, в том числе PayPal и eBay, уточняет Плуготаренко. «Разъяснительные», по словам Ампелонского, встречи организуют и для страховых компаний, банков, продавцов авиа- и железнодорожных билетов. По итогам этой сессии, возможно, появятся предложения, как уточнить закон, говорит Ампелонский.
«Вопросы все те же»
Роскомнадзор собирается в ходе этих обсуждений «выявить острые углы и дать основные разъяснения», а интернет-отрасль хочет понять, как регулятор собирается реализовывать закон. Компании хотят детализации закона, говорит представитель одного из крупных игроков рынка. В том числе IT-отрасль интересует, возможно ли будет хранить в России копии персональных данных россиян, но не переносить сервера. Ампелонский в разговоре с РБК отметил, что, по мнению Роскомнадзора, дубли данных россиян за рубежом недопустимы.
Точный список тем Плуготаренко пока не смог представить, отметив, что «вопросы все те же». Еще в октябре прошлого года с рядом предложений к президенту Владимиру Путину обращались несколько отраслевых объединений, включая Ассоциацию компаний розничной торговли (АКОРТ), Ассоциацию компаний интернет-торговли (АКИТ) и Ассоциацию предприятий компьютерных и информационных технологий (РАТЭК). Они просили уточнить понятие персональных данных: четко написать, что данные являются персональными, только если они позволяют идентифицировать человека. Сейчас в российском законодательстве существует более широкое определение: «персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Под эту формулировку подпадает даже аккаунт в Facebook, ранее объяснял РБК ведущий аналитик РАЭК Карен Казарян. Накануне встречи с интернет-компаниями представитель Роскомнадзора отметил, что под персональными в ведомстве понимают «совокупность данных, которые позволяют четко идентифицировать человека».
Предприниматели просили также сделать исключения для ситуаций, когда «в явной форме получено согласие субъекта на обработку персональных данных за рубежом», а также исключить «чувствительные» категории персональных данных. Это очень ограниченный круг информации – например, о сексуальной ориентации, группе крови, истории болезни. Также бизнес просил сделать исключение для стран-подписантов конвенции Совета Европы «О защите частных лиц в отношении автоматизированной обработки данных личного характера».
Под действие закона подпадают так называемые операторы персональных данных. К ним относятся компании, организации или физические лица, которые собирают, хранят, обрабатывают или передают персональные данные россиян. Действие закона распространяется на российские компании, а также филиалы и представительства иностранных компаний, зарегистрированные на территории РФ.
Само понятие «персональные данные» в действующей редакции закона размыто и дает почву трактовать его очень широко. Под это определение может подпасть практически любая информация, которая прямо или косвенно относится к субъекту ПД (физическому лицу). Основная идея закона – информация, содержащая персональные данные, принадлежит только владельцу этих данных. Для получения или обработки этой информации необходимо получить разрешение владельца или иметь определенные законом права на подобные действия.
В реестре Роскомнадзора зарегистрировано более 300 тыс. организаций, юридических и физических лиц, которые так или иначе хранят или обрабатывают подобную информацию. Закон устанавливает для операторов ПД ряд требований, в частности обязует их хранить информацию на территории России. Сложности с соблюдением норм закона могут возникнуть в первую очередь у различных IT-компаний, интернет-сервисов, платежных и банковских систем, операторов туристических услуг, интернет-торговли и так далее.
За нарушение норм закона о персональных данных предусмотрена гражданская, административная и уголовная ответственность. Компании, которые не смогут соблюдать его требования, лишатся права осуществлять деятельность, связанную с персональными данными, на территории России.