Персональные данные едут в Россию
Юрист Наталия Беломестнова о том, как заработает требование о локализации данных с 1 сентября
Первого сентября вступают в силу поправки в федеральный закон «О персональных данных», которые обязывают компании обеспечить при сборе персональных данных россиян их обработку с использованием баз данных, расположенных на территории России. Основная проблема этого нового требования о так называемой локализации персональных данных заключается в неоднозначности законодательных формулировок и, как следствие, в абсолютной неясности по ключевым вопросам их применения: кто должен будет соблюдать новое требование и как именно это требование может быть соблюдено.
На протяжении более чем года с момента принятия соответствующего федерального закона № 242-ФЗ, вносящего поправки в ФЗ «О персональных данных», среди экспертов, представителей бизнеса и власти шли бурные обсуждения очевидных проблем с правоприменением. Два основных ведомства, курирующих вопросы персональных данных, – Роскомнадзор и Минкомсвязи – долгое время давали только неофициальные комментарии в частных ответах на запросы экспертов, в прессе, на проводимых конференциях. При этом позиции отдельных лиц, выступающих от ведомств, могли существенно различаться, что вносило еще большую путаницу.
Учитывая, что расходы, связанные с переносом серверов в Россию и необходимой в отдельных случаях реструктуризацией IT-систем, по некоторым оценкам, могут измеряться десятками (а то и сотнями) миллионов рублей, отсутствие официальной позиции правоприменителей не давало бизнесу принять взвешенные решения относительно необходимости соблюдения требования и его способов.
Так, например, ФЗ «О персональных данных» исторически в силу территориального принципа действия законов применялся только в отношении российских компаний и иностранных компаний, имеющих в России филиалы или представительства. Однако в неофициальных выступлениях представители государственных органов неоднократно указывали на то, что иностранные интернет-компании без присутствия в России тоже должны будут соблюдать новые требования по локализации. При такой коллизии между предыдущей практикой применения закона и новыми импульсами законодателя, например, небольшому иностранному интернет-магазину сложно было решиться на кардинальные изменения своих IT-систем.
В начале 2015 г. Роскомнадзор и Минкомсвязи провели ряд разъяснительных встреч с представителями бизнеса, а в начале августа на официальном сайте Минкомсвязи была открыта горячая линия по персональным данным, содержащая позицию ведомства по наиболее острым вопросам. В частности, Минкомсвязи подтвердило, что новые требования будут распространяться на иностранные компании без официального присутствия в России, но только если эти компании ведут через интернет деятельность, направленную на территорию России. Минкомсвязи также расширило способы соблюдения нового требования, указав, что первичная база данных, которая должна находиться в России, может быть в любой форме, включая excel-файл на компьютере или бумажную форму.
Позиция Минкомсвязи, безусловно, вносит больше ясности и может использоваться для выстраивания стратегии соблюдения нового требования. Но и тут есть нюанс: Минкомсвязи уполномочено осуществлять функции по выработке и реализации государственной политики в области персональных данных, а ведомством, фактически проверяющим компании на соблюдение требований закона о персональных данных, является Роскомнадзор. Насколько он разделяет опубликованную позицию Минкомсвязи и готов будет ей следовать – покажет практика или самостоятельные разъяснения Роскомнадзора (которых пока нет).
Что касается прогнозов относительно того, как новые требования начнут работать осенью, то, на мой взгляд, какой-то лавины переноса серверов в Россию ждать не стоит. Часть крупных компаний, для которых бизнес в России является принципиальным (например, Google, eBay, PayPal), по сообщениям в прессе, уже давно инициировали масштабные IT-проекты, не дожидаясь никаких разъяснений. Все же остальные компании, которые, возможно, не могли себе позволить существенное увеличение операционных расходов при отсутствии ясных правил игры, не будут торопиться совершать активные действия даже после 1 сентября. Это связано с тем, что, во-первых, официальные разъяснения появились достаточно поздно и не являются пока еще полными (не все проблемные вопросы были затронуты Минкомсвязи, и официальных разъяснений Роскомнадзора все еще нет), а во-вторых, в настоящее время негативные последствия несоблюдения требования о локализации не являются настолько значительными, чтобы оправдать существенные расходы, связанные с их исполнением. Административная ответственность, предусмотренная за нарушение порядка обработки персональных данных, составляет максимум 10 000 руб. Блокировка сайта как специальная мера ответственности будет работать только в отношении тех сайтов, которые содержат персональные данные (а собирать персональные данные через сайт можно и не размещая непосредственно на нем никаких персональных данных). Ситуация может поменяться, если в осеннюю сессию Государственной думы будут приняты поправки в КоАП, существенно увеличивающие размер административной ответственности за нарушение законодательства о персональных данных.
Автор – руководитель группы практики по разрешению споров Goltsblat BLP