Персональные данные: успеть обеспечить защиту! Часть 2
В конце декабря 2014 года был принят закон, в соответствии с которым требование о хранении персональных данных с помощью серверов, расположенных на территории России, распространяется на операторов не с 1 сентября 2016 года, как планировалось первоначально, а уже с 1 сентября 2015 года (
). Разговоры о досрочном введении этого положения в действие велись с сентября 2014 года, когда в Госдуму был внесен соответствующий законопроект
. Авторы документа предлагали изменить срок вступления в силу нового правила на 1 января 2015 года, но в итоге было принято решение перенести эту дату на восемь месяцев.
МАТЕРИАЛЫ ПО ТЕМЕ
О том, какие изменения в локальные нормативные акты следует внести в связи с новыми требованиями и будет ли усилен контроль со стороны Роскомнадзора за соблюдением положений о защите персональных данных, читайте в нашем материале " ".
И у юристов, и у программистов возникло немало вопросов, касающихся особенностей хранения персональных данных россиян на серверах, находящихся на территории России (ст. 2 Федерального закона от 21 июля 2014 г. № 242-ФЗ " ", далее – Закон № 242-ФЗ). Однако до настоящего времени ни законодатель, ни Роскомнадзор никаких разъяснений не дали. Разберемся, какие пробелы содержит Закон № 242-ФЗ, возможна ли при его реализации трансграничная передача данных и какие предложения по совершенствованию новых норм были выдвинуты.
Неопределенность в реализации новых требований
Можно выделить несколько затруднений, которые могут возникнуть при выполнении требований .
1
Понятие "персональные данные" сформулировано недостаточно четко. Действующее законодательство понимает под ними любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ " ", далее – закон о персональных данных). Вместе с тем, такое широкое толкование позволяет распространять новые требования практически на всю информацию о человеке.
Однако некоторые эксперты полагают, что положения закона несколько шире, чем изначальный замысел законодателя, и считают необходимым ограничить действие Закона № 242-ФЗ определенными сферами деятельности и определенной персональной информацией, которую и нужно обязательно дублировать на российские серверы.
Это не пустой вопрос, поскольку от детализации персональных данных, подпадающих под новые требования, напрямую зависят объем информации, который надо локализовать на территории России, и объем требуемых на это издержек. "Наши IT-подразделения находятся в замешательстве, поскольку они не имеют понятия, что конкретно переносить с иностранных серверов на локальные. Например, нужно ли брать в расчет почтовые серверы или достаточно перенести серверы, которые обрабатывают основные персональные данные (заключение договоров, начисление заработной платы и т. д.). В настоящее время "правила игры" нам не известны", – сетует руководитель отдела по взаимодействию с государственными органами власти компании по производству товаров ежедневного спроса ООО "Юнилевер Русь" в России, Украине и Беларуси Александр Дубровский.
А до тех пор, пока не будет уточнен перечень персональных данных, которые подпадают под действие , компаниям стоит руководствоваться разъяснениями Роскомнадзора. В частности, управление ведомства по республике Крым и г. Севастополь в апреле 2014 года на своем официальном сайте пояснило, что персональными данными являются: фамилия, имя, отчество гражданина, его дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии, данные паспорта и т. д., если по этим данным можно прямо или косвенно определить конкретную личность. Правда, перечень этот является открытым – поэтому не исключено, что чиновники Роскомнадзора будут признавать персональными данными и другие сведения о человеке.
2
Закон не определяет, что такое "базы данных". Закон № 242-ФЗ требует хранить персональные данные с помощью баз данных, расположенных в России, однако не уточняет, что считается базами данных и каков порядок работы с ними. Одни эксперты отмечают, что даже обычный текстовый файл при определенном форматировании может считаться базой данных, тогда как другие склонны понимать под этим отдельный сервер или группу серверов, с помощью которых обеспечивается целостность и сохранность данных. Есть и иные точки зрения.
3
Трудно определить принадлежность персональных данных гражданину РФ. Определить гражданство субъекта персональных данных не всегда возможно – подавляющее большинство операторов не используют конкретизирующую информацию (паспортные или иные данные), которая позволяла бы установить этот факт. Не исключено, что Роскомнадзор может проверять IP-адреса на предмет их принадлежности российским операторам либо будет уточнять информацию по зарегистрированному у российского оператора номеру телефона субъекта персональных данных. Но поскольку ни один из этих способов не гарантирует принадлежность персональных данных исключительно россиянам, существует риск того, что ограничить круг лиц гражданами России даже в этих случаях не удастся. Это значит, что, не имея возможности установить российское гражданство субъекта, большинству операторов придется переносить на российские серверы все обрабатываемые им персональные данные, что существенно усложнит процесс.
4
Отсутствует указание на возможность параллельного хранения и обработки данных как в России, так и за рубежом. Среди специалистов мнения по этому поводу разделились. Одни утверждают, что Закон № 242-ФЗ однозначно обязывает хранить персональные данные россиян исключительно на территории России. Другие же говорят, что раз нет прямого запрета, параллельное хранение информации на российских и заграничных серверах вполне возможно, поскольку в действующем законодательстве разрешена так называемая трансграничная передача персональных данных. Напомним, под ней понимается передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу ( , ). Главное – обеспечить копирование этой информации на российские серверы.
В замешательстве находятся и иностранные компании, которые так или иначе имеют дело с персональными данными россиян.
Инициативы и предложения
Одной из наиболее значимых инициатив в свете новых требований является идея Правительства РФ об увеличении штрафа за нарушение законодательства о персональных данных. За рубежом штраф за такое нарушение значительно выше российского. Например, в Испании он составляет от 40 тыс. до 600 тыс. евро, во Франции – 150-300 тыс. евро, в Германии – до 300 тыс. евро с конфискацией незаконно полученной прибыли, в Великобритании – до 500 тыс. фунтов, а в Италии за соответствующее нарушение взыскивается административный штраф в размере до 1,5 млн евро.
Законопроект кабмина (на данный момент он готовится к первому чтению) предлагает установить для юридических лиц штраф от 15 тыс. до 300 тыс. руб. в зависимости от состава, тогда как в настоящее время максимальный размер штрафа за подобные нарушения для них составляет всего 10 тыс. руб. ( ). К слову, законопроект предусматривает несколько составов правонарушения вместо одного, существующего в настоящее время (например, обработка персональных данных с нарушением требований к составу сведений, включаемых в согласие на обработку персональных данных субъекта; обработка персональных данных без согласия субъекта и в отсутствие предусмотренных иных условий обработки персональных данных; невыполнение оператором обязанности по опубликованию или размещению его политики в отношении обработки персональных данных и др.).
Предложение увеличить размер штрафов согласуется с мнениями многих экспертов, считающих, что соблюдение требований Закона № 242-ФЗ напрямую зависит от размера штрафов, установленных за их нарушение. Андрей Прозоров убежден: "До тех пор, пока у нас не повысятся штрафы и не будет формализовано понятие базы данных, крупные операторы, чтобы не тратить денег, будут трактовать закон по-своему".
Однако если Закон № 242-ФЗ еще в законную силу не вступил и поэтому пока реальной угрозы для компаний не представляет, равно как и административная ответственность за нарушение его норм, то не стоит забывать о так называемом "законе о блогерах" (Федеральный закон от 5 мая 2014 г. № 97-ФЗ " "). Напомним, его нормы действуют уже с 1 августа 2014 года.
Эксперты сходятся во мнении о том, что с учетом нынешних технических возможностей не готов к внедрению в быстрые сроки. По оценкам крупных компаний, им потребуется порядка трех лет для того, чтобы перенести все свои базы данных в Россию. "По опыту могу сказать, что у законодателя уже есть видение, как этот закон будет реализован, как он будет применяться, однако до нас эта информация пока не доведена. Мы придерживаемся мнения, что необходимо исключить из объектов регулирования внутренние корпоративные сети, поскольку они не являются публичными, носят ограниченный характер и недоступны для третьих лиц. Также считаем, что необходимо ограничить действие Закона № 242-ФЗ в отношении работодателей, которые обрабатывают персональные данные для исполнения трудового законодательства в России", – предлагает Александр Дубровский.
Пока же компании вправе сами выбрать для себя наиболее подходящую стратегию поведения: дождаться официальных разъяснений Роскомнадзора по поводу применения нового закона и до тех пор ничего не предпринимать либо подстраховаться и обеспечить хранение персональных данных исключительно на собственном или арендуемом сервере, находящемся на территории России. Первый вариант чреват возможными проверками со стороны Роскомнадзора и штрафами, второй же может потребовать выделения значительной части бюджета компании для реализации этих мероприятий. "Небольшие компании часть задач по обработке персональных данных могут вполне перенести в облачные хранилища (например, Dropbox) бесплатно или с минимальными затратами. Расходы крупных компаний будут зависеть от необходимой мощности, типа серверов и их количества, а также дополнительных условий технической поддержки. Разброс цены при этом будет от нескольких тысяч до нескольких сотен тысяч рублей в месяц", – уточняет Андрей Прозоров. А Дмитрий Яковлев пояснил порталу ГАРАНТ.РУ: "В среднем для небольшой торговой компании на проект по хранению персональных данных потребуется от 150 тыс. руб. до 500 тыс. руб. Сложнее обстоят дела у компаний работающих в туристическом бизнесе – для крупного online-агентства стоимость хранения данных обойдется в среднем в 10-15 млн руб., что с учетом амортизации составит в среднем 3-4 млн руб. в год".
МАТЕРИАЛЫ ПО ТЕМЕ
О том, какие изменения в локальные нормативные акты следует внести в связи с новыми требованиями и будет ли усилен контроль со стороны Роскомнадзора за соблюдением положений о защите персональных данных, читайте в нашем материале " ".
И у юристов, и у программистов возникло немало вопросов, касающихся особенностей хранения персональных данных россиян на серверах, находящихся на территории России (ст. 2 Федерального закона от 21 июля 2014 г. № 242-ФЗ " ", далее – Закон № 242-ФЗ). Однако до настоящего времени ни законодатель, ни Роскомнадзор никаких разъяснений не дали. Разберемся, какие пробелы содержит Закон № 242-ФЗ, возможна ли при его реализации трансграничная передача данных и какие предложения по совершенствованию новых норм были выдвинуты.
Неопределенность в реализации новых требований
Можно выделить несколько затруднений, которые могут возникнуть при выполнении требований .
1
Понятие "персональные данные" сформулировано недостаточно четко. Действующее законодательство понимает под ними любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ " ", далее – закон о персональных данных). Вместе с тем, такое широкое толкование позволяет распространять новые требования практически на всю информацию о человеке.
Однако некоторые эксперты полагают, что положения закона несколько шире, чем изначальный замысел законодателя, и считают необходимым ограничить действие Закона № 242-ФЗ определенными сферами деятельности и определенной персональной информацией, которую и нужно обязательно дублировать на российские серверы.
Это не пустой вопрос, поскольку от детализации персональных данных, подпадающих под новые требования, напрямую зависят объем информации, который надо локализовать на территории России, и объем требуемых на это издержек. "Наши IT-подразделения находятся в замешательстве, поскольку они не имеют понятия, что конкретно переносить с иностранных серверов на локальные. Например, нужно ли брать в расчет почтовые серверы или достаточно перенести серверы, которые обрабатывают основные персональные данные (заключение договоров, начисление заработной платы и т. д.). В настоящее время "правила игры" нам не известны", – сетует руководитель отдела по взаимодействию с государственными органами власти компании по производству товаров ежедневного спроса ООО "Юнилевер Русь" в России, Украине и Беларуси Александр Дубровский.
А до тех пор, пока не будет уточнен перечень персональных данных, которые подпадают под действие , компаниям стоит руководствоваться разъяснениями Роскомнадзора. В частности, управление ведомства по республике Крым и г. Севастополь в апреле 2014 года на своем официальном сайте пояснило, что персональными данными являются: фамилия, имя, отчество гражданина, его дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии, данные паспорта и т. д., если по этим данным можно прямо или косвенно определить конкретную личность. Правда, перечень этот является открытым – поэтому не исключено, что чиновники Роскомнадзора будут признавать персональными данными и другие сведения о человеке.
2
Закон не определяет, что такое "базы данных". Закон № 242-ФЗ требует хранить персональные данные с помощью баз данных, расположенных в России, однако не уточняет, что считается базами данных и каков порядок работы с ними. Одни эксперты отмечают, что даже обычный текстовый файл при определенном форматировании может считаться базой данных, тогда как другие склонны понимать под этим отдельный сервер или группу серверов, с помощью которых обеспечивается целостность и сохранность данных. Есть и иные точки зрения.
3
Трудно определить принадлежность персональных данных гражданину РФ. Определить гражданство субъекта персональных данных не всегда возможно – подавляющее большинство операторов не используют конкретизирующую информацию (паспортные или иные данные), которая позволяла бы установить этот факт. Не исключено, что Роскомнадзор может проверять IP-адреса на предмет их принадлежности российским операторам либо будет уточнять информацию по зарегистрированному у российского оператора номеру телефона субъекта персональных данных. Но поскольку ни один из этих способов не гарантирует принадлежность персональных данных исключительно россиянам, существует риск того, что ограничить круг лиц гражданами России даже в этих случаях не удастся. Это значит, что, не имея возможности установить российское гражданство субъекта, большинству операторов придется переносить на российские серверы все обрабатываемые им персональные данные, что существенно усложнит процесс.
4
Отсутствует указание на возможность параллельного хранения и обработки данных как в России, так и за рубежом. Среди специалистов мнения по этому поводу разделились. Одни утверждают, что Закон № 242-ФЗ однозначно обязывает хранить персональные данные россиян исключительно на территории России. Другие же говорят, что раз нет прямого запрета, параллельное хранение информации на российских и заграничных серверах вполне возможно, поскольку в действующем законодательстве разрешена так называемая трансграничная передача персональных данных. Напомним, под ней понимается передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу ( , ). Главное – обеспечить копирование этой информации на российские серверы.
В замешательстве находятся и иностранные компании, которые так или иначе имеют дело с персональными данными россиян.
Инициативы и предложения
Одной из наиболее значимых инициатив в свете новых требований является идея Правительства РФ об увеличении штрафа за нарушение законодательства о персональных данных. За рубежом штраф за такое нарушение значительно выше российского. Например, в Испании он составляет от 40 тыс. до 600 тыс. евро, во Франции – 150-300 тыс. евро, в Германии – до 300 тыс. евро с конфискацией незаконно полученной прибыли, в Великобритании – до 500 тыс. фунтов, а в Италии за соответствующее нарушение взыскивается административный штраф в размере до 1,5 млн евро.
Законопроект кабмина (на данный момент он готовится к первому чтению) предлагает установить для юридических лиц штраф от 15 тыс. до 300 тыс. руб. в зависимости от состава, тогда как в настоящее время максимальный размер штрафа за подобные нарушения для них составляет всего 10 тыс. руб. ( ). К слову, законопроект предусматривает несколько составов правонарушения вместо одного, существующего в настоящее время (например, обработка персональных данных с нарушением требований к составу сведений, включаемых в согласие на обработку персональных данных субъекта; обработка персональных данных без согласия субъекта и в отсутствие предусмотренных иных условий обработки персональных данных; невыполнение оператором обязанности по опубликованию или размещению его политики в отношении обработки персональных данных и др.).
Предложение увеличить размер штрафов согласуется с мнениями многих экспертов, считающих, что соблюдение требований Закона № 242-ФЗ напрямую зависит от размера штрафов, установленных за их нарушение. Андрей Прозоров убежден: "До тех пор, пока у нас не повысятся штрафы и не будет формализовано понятие базы данных, крупные операторы, чтобы не тратить денег, будут трактовать закон по-своему".
Однако если Закон № 242-ФЗ еще в законную силу не вступил и поэтому пока реальной угрозы для компаний не представляет, равно как и административная ответственность за нарушение его норм, то не стоит забывать о так называемом "законе о блогерах" (Федеральный закон от 5 мая 2014 г. № 97-ФЗ " "). Напомним, его нормы действуют уже с 1 августа 2014 года.
Эксперты сходятся во мнении о том, что с учетом нынешних технических возможностей не готов к внедрению в быстрые сроки. По оценкам крупных компаний, им потребуется порядка трех лет для того, чтобы перенести все свои базы данных в Россию. "По опыту могу сказать, что у законодателя уже есть видение, как этот закон будет реализован, как он будет применяться, однако до нас эта информация пока не доведена. Мы придерживаемся мнения, что необходимо исключить из объектов регулирования внутренние корпоративные сети, поскольку они не являются публичными, носят ограниченный характер и недоступны для третьих лиц. Также считаем, что необходимо ограничить действие Закона № 242-ФЗ в отношении работодателей, которые обрабатывают персональные данные для исполнения трудового законодательства в России", – предлагает Александр Дубровский.
Пока же компании вправе сами выбрать для себя наиболее подходящую стратегию поведения: дождаться официальных разъяснений Роскомнадзора по поводу применения нового закона и до тех пор ничего не предпринимать либо подстраховаться и обеспечить хранение персональных данных исключительно на собственном или арендуемом сервере, находящемся на территории России. Первый вариант чреват возможными проверками со стороны Роскомнадзора и штрафами, второй же может потребовать выделения значительной части бюджета компании для реализации этих мероприятий. "Небольшие компании часть задач по обработке персональных данных могут вполне перенести в облачные хранилища (например, Dropbox) бесплатно или с минимальными затратами. Расходы крупных компаний будут зависеть от необходимой мощности, типа серверов и их количества, а также дополнительных условий технической поддержки. Разброс цены при этом будет от нескольких тысяч до нескольких сотен тысяч рублей в месяц", – уточняет Андрей Прозоров. А Дмитрий Яковлев пояснил порталу ГАРАНТ.РУ: "В среднем для небольшой торговой компании на проект по хранению персональных данных потребуется от 150 тыс. руб. до 500 тыс. руб. Сложнее обстоят дела у компаний работающих в туристическом бизнесе – для крупного online-агентства стоимость хранения данных обойдется в среднем в 10-15 млн руб., что с учетом амортизации составит в среднем 3-4 млн руб. в год".
