Во вторник вступает в силу новый закон "О персональных данных", один из самых обсуждаемых за последнее время.
Он предписывает хранить персональные данные россиян на серверах в России. Бизнес заявляет о необходимости дополнительных трат на соответствие этому закону, пока не все зарубежные интернет-компании заявили о своей готовности исполнять новые требования. Пользователи опасаются, что лишатся привычных ресурсов и услуг. Власти обещают, что на россиянах вступление в силу нового закона никак не отразится, а проверки на первых порах не будут носить массовый характер.
Персональные данные - это любая информация о физическом лице, в том числе его фамилия, имя, отчество, дата и место рождения, адрес проживания, семейное и социальное положение, данные о доходах, образовании, состоянии здоровья и профессии. В 2014 году в мире произошло 1158 крупных случаев потери, кражи или публикации личной информации. При этом 90% утечек личных данных можно было избежать, если бы заранее были приняты меры организационного и технического плана по их безопасности.
Подробнее о защите персональных данных в мире читайте в досье ТАСС
Новый закон обязывает как российские, так и иностранные компании осуществлять хранение персональных данных россиян на территории России. При этом закон не определяет конкретный перечень данных, которые считаются персональными.
Существуют различные механизмы реализации нового закона. Если Роскомнадзор в ходе плановой или внеплановой проверки выявит нарушения относительно хранения и использования персональных данных, то он вынесет компании предписание, согласно которому она должна будет устранить эти нарушения в срок до 6 месяцев. В случае, если компания этого не сделает, она должна будет заплатить штраф в зависимости от статьи в Кодексе об административных правонарушениях. Его размер может составлять до 20 тыс. рублей для юридических лиц. При этом приостановки деятельности не предусматривается. "В данный момент планируется значительно увеличить штрафы по ст. 13.11 (Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах), максимальный размер которого сейчас составляет 10 тыс. рублей", - сообщил ТАСС директор Российской ассоциации электронных коммуникаций (РАЭК) Сергей Плуготаренко.
Помимо этого, есть и другие способы заставить компании соответствовать закону. Подать иск в суд на компанию-нарушителя, например, может как Роскомнадзор, так и субъект персональных данных, то есть обычный россиянин, заметивший нарушение. Только по решению суда Роскомнадзор может внести доменное имя и сетевой адрес не соответствующей требованиям закона компании в специальный "реестр нарушителей прав субъектов персональных данных". Таким образом, доступ к данному ресурсу на территории России будет ограничен. Однако после устранения нарушений его восстановят.
Если персональные данные российских граждан были правомерно собраны до 1 сентября 2015 года, они могут находиться в неизменном виде за границей.
Стоит отметить, что Россия не первое государство в мире, которое потребовало внутреннее размещение процессинговых центров для обработки персональных данных. Ранее Вьетнам, Китай, Индонезия и Индия приняли похожие законы.
Массовых проверок не будет
Роскомнадзор не собирается первое время проводить массовые проверки компаний на исполнение нового закона. С 1 сентября 2015 года по 1 января 2016 года запланировано 317 плановых проверок, что, по данным ведомства, составляет 0,012% всех компаний, работающих с персональными данными в России. Всего в России порядка 2,6 млн таких компаний. План проверок опубликован на сайте Генпрокуратуры. Поводом для внезапной проверки может стать только указание Генпрокуратуры по обращению граждан или юрлиц. "Мы сознательно пошли на то, чтобы на первом этапе количество проверок уменьшить, - заявлял глава Роскомнадзора Александр Жаров. - Сама плановая проверка будет документарной, то есть наши инспекторы запросят документы, что у данной компании либо существует договор с ЦОДом (центр обработки данных), где локализуются персональные данные, либо у нее есть серверные мощности, где они хранятся. Если у нас возникнут какие-то сомнения относительно договора, тогда это потребует более углубленного изучения."
Среди крупных компаний, которые будут проверены до конца 2015 года, есть санкт-петербургское подразделение "Ростелекома", "Скартел" (бренд Yota), "Лукойл-Информ" и российское представительство General Motors. При этом таких компаний, как Google и Facebook, в этом списке нет.
Расходы и потери от нового закона
По мнению исполнительного директора Ассоциации компаний интернет-торговли (АКИТ) Артема Соколова, новый закон увеличивает затраты компаний на хранение данных, что не слишком хорошо в условиях нефтяного кризиса. "Например, компании часто собирают портреты своих клиентов (по географическому положению, возрасту, истории покупок). Эта услуга в России мало представлена, поэтому компаниям часто приходится обращаться за рубеж. При данных законодательных изменениях компаниям придется дважды платить за хранение персональных данных: один раз за рубежом, а второй раз в России, где осуществляется их первичный сбор ", - отметил он. Однако эксперт затруднился оценить, на сколько в среднем вырастут затраты компаний.
Для выполнения требований закона компаниям необходимо арендовать или построить собственные дата-центры в России, что, по мнению многих экспертов, может значительно осложнить их работу и потребует дополнительных расходов. В частности, Samsung прошлой осенью оценивал в $1,5-3 млн стоимость строительства одного дата-центра в России, на которое может уйти до 3 лет.
Согласно исследованию Европейского центра по международной политической экономии (ECIPE), локализация данных ведет к потерям продуктивности компаний, так как они обязаны размещать свои собственные дата-центры внутри России. ECIPE оценивал потери российской экономики от вступления в силу закона о персональных данных в 286 млрд рублей.
Реакция российского бизнеса
Новый закон касается тех компаний, у которых есть русскоязычная версия сайта, использующих домены в зоне .ru или .рф, проводящих расчеты по сделкам в рублях. В частности, под действие вступающих в силу норм попадают почтовые сервисы, поисковики, социальные сети, а также интернет-магазины.
Российский бизнес не раз заявлял о своей готовности к вступлению в силу нового закона, а также о желании помочь иностранным компаниям в его исполнении. Так, представители российских "Рамблера", LiveJournal, Mail.ru, "ВКонтакте" и "Яндекса" заверяли Роскомнадзор в том, что уже соответствуют новым требованиям. В свою очередь, российская госкорпорация "Росатом" объявляла о готовности предоставить Facebook и Google площадку в Тверской области рядом с Калининской АЭС, где она реализует проект по строительству дата-центра, а госоператор "Ростелеком" утвердил программу строительства в России сети дата-центров.
Реакция иностранных компаний
Иностранные компании восприняли изменения в российском законодательстве неоднозначно. Третья часть опрошенных Gartner представителей зарубежного бизнеса решила передать функции хранения и управления данными местному IT-провайдеру, а 28% предпочли разместить копию соответствующих данных на локальном сервере в России. В то же время почти каждая пятая иностранная компания собирается игнорировать новый закон до тех пор, пока к ней не придет с проверкой Роскомнадзор. Еще 19% планируют уйти с российского рынка.
Глава Роскомнадзора Жаров рассказывал, что к локализации персональных данных в России приступили такие зарубежные игроки, как Samsung, AliЕxpress, eBay, Booking.com. В пресс-службах Booking.com, AliExpress и eBay сообщили ТАСС, что хотят соответствовать российскому законодательству и работают над этим. В Samsung заверили, что в соответствии с требованиями вступающего в силу закона, готовы обеспечить их обработку с использованием баз данных, находящихся на территории России. По данным источников ТАСС, Samsung перенесет все персональные данные россиян в московский ЦОД компании DataPro к 1 сентября.
О своих планах по переносу персональных данных российских пользователей на сервера в России сообщал ТАСС в рамках ПМЭФ-2015 и вице-президент по продажам, руководитель направления индустриальных решений IBM в Центральной и Восточной Европе Кирилл Корнильев.
В пресс-службе российского офиса Microsoft ТАСС заявили, что не все сервисы корпорации подпадают под действие нового закона. "В тех случаях, где положения закона применимы к услугам компании, Microsoft обеспечит их соблюдение, - заверили в корпорации. - Например, мы сотрудничаем с нашими партнерами для того, чтобы наши корпоративные клиенты, к которым могут применяться новые обязательства оператора персональных данных, имели возможность соответствовать положениям нового закона и продолжать пользоваться облачными услугами". При этом Microsoft продолжит диалог с российскими государственными органами для уточнения вопросов применения нового законодательства к ряду корпоративных и пользовательских сервисов компании, добавили в пресс-службе.
"Мы нашли провайдеров услуг дата-центров, которые сдают в аренду соответствующие мощности ", - заявили ТАСС в пресс-службе сервиса такси Uber, добавив, что в настоящее время компания не планирует строить собственные серверы, но по мере развития бизнеса могут рассматривать и такой вариант.
В американской интернет-корпорации Google отказались комментировать вопросы, связанные с подготовкой к вступлению в силу закона о хранении персональных данных. По неофициальным данным ряда СМИ, в апреле 2015 года Google начала переносить серверы в дата-центры, расположенные на территории России.
Представители Facebook отметили, что они регулярно встречаются с российскими властями. Последняя встреча с Роскомнадзором прошла 25 августа, спровоцировав резонанс в СМИ. При этом компания не сообщает о своем окончательном решении по данному вопросу.
Сервис мгновенных сообщений Viber работает над оптимизацией системы для соответствия российскому законодательству. "Издержки, связанные с вопросом о хранении данных, относятся к ряду важных штатных задач для Viber, и мы постоянно оптимизируем наши технологии и затраты для ее решения", - рассказал ТАСС глава Viber Михаил Шмилов.
В пресс-службе оператора интернет-платежей ChronoPay (работает в России с Sony, МТС, re:Store, "Трансаэро") заявили ТАСС, что новый закон оказался выгодным для компании, поскольку перенос обработки персональных данных россиян не потребовал дополнительных затрат. "Мы отказались от части серверов в Европе и США и арендовали ровно такое же количество в России, при этом еще немного сэкономили, порядка 3-4%", - добавили в компании.
Представители компаний Apple и Twitter не ответили на соответствующие запросы ТАСС.
Многие российские пользователи опасались, что из-за нового закона могут потерять доступ к оказываемым через интернет услугам, в частности, к бронированию авиабилетов и номеров в зарубежных отелях. Однако их опасения не подтвердились: требования нового закона не распространяются на деятельность российских и иностранных авиаперевозчиков, разъяснили в Минкомсвязи. Кроме того, международный договор или личное согласие гражданина позволяет передавать данные в любую точку мира, то есть, если клиент сам бронирует отель за рубежом, это его личное решение, не подлежащее регулированию. Если же компания оказывает услуги по бронированию на российском рынке, накапливает данные российских граждан, то она должна хранить их на территории России.
Не усложнится и получение шенгенских виз - процедура их выдачи подпадает под два прямо прописанных в законе исключения: наличие соответствующих международных соглашений и исполнение полномочий органов власти. Это означает, что персональные данные граждан России, собранные для получения визы, свободно могут храниться на территории иностранных государств.
Что касается компаний, которые попадают под действие закона, работа их интернет-страниц может быть заблокирована только по решению суда. Таким образом, по заверению Роскомнадзора, не обещающего массовых проверок, вступление в силу нового закона пока никак не отразится на деятельности привычных для россиян интернет-ресурсов.