Возвращение домой: как будет работать закон о персональных данных
1 сентября вступает в силу обновленный закон о персональных данных. Под его действие подпадают как минимум 2,6 млн российских компаний. РБК разобрался, как будет работать новый закон и кто рискует остаться не у дел.
С 1 сентября в России заработает закон «О персональных данных», который обязывает иностранные и местные компании хранить и обрабатывать личную информацию россиян на территории нашей страны. Президент Владимир Путин подписал документ еще 31 декабря 2014 года. За неисполнение закона Роскомнадзор будет вносить сайты компаний в реестр нарушителей прав субъектов персональных данных, а по решению суда любой онлайн-ресурс может быть и заблокирован.
В течение 2015 года Роскомнадзор провел серию публичных и закрытых встреч с представителями бизнеса, органов государственной власти и научного сообщества, на которых разъяснялось, какие требования предъявляет новый закон. Только во второй половине июля прошли два мероприятия, которые посетило несколько десятков представителей делового сообщества. В августе на сайте Минкомсвязи появился специальный раздел, посвященный ФЗ №242 «О персональных данных», где описаны основные принципы работы вступающего в силу закона. Там же, например, есть специальная форма, с помощью которой любой желающий может отправить вопрос о действии закона.
«1 сентября дети идут в школу, это не хорошо и не плохо, это просто факт. Вот точно так же 1 сентября вступает в силу закон о персональных данных, и пока не ясно, хорошо это или плохо, но точно также факт», — сказал в интервью РБК ТВ интернет-омбудсмен Дмитрий Мариничев. РБК попытался разобраться, как будет работать закон о персональных данных и какие из него есть исключения, как будут проходить проверки компаний и кто рискует оказаться заблокированным в ближайшее время.
Специфика исполнения
Персональными данными по закону считается вся информация российских граждан, которую они используют при регистрации на сайтах, совершении покупок и т.д. Закон описывает персональные данные как «любую информацию, относящуюся прямо или косвенно к определенному или определяемому физическому лицу».
Формулировка этого определения вызывает много вопросов у компаний, занимающихся обработкой личной информации. По мнению Дмитрия Мариничева, в законе «О персональных данных» не разъясняется, что именно попадает в эту категорию: под определение персональных данных в нынешней редакции закона подпадает абсолютно все, говорит интернет-омбудсмен. Из этой размытой формулировки следует, что с завтрашнего дня под действие закона подпадают сотни миллионов компаний в мире, так или иначе работающих с личной информацией, говорит Мариничев. В июле глава Роскомнадзора Александр Жаров говорил, что в России под закон о персональных данных подпадают более 2,6 млн компаний.
В законе «О персональных данных» четко не описано и то, на кого именно он распространяется и на какой территории действует: многие организации до сих пор не понимают, нужно ли и как именно нужно изменить IT-инфраструктуру и бизнес-процессы, чтобы соответствовать закону. Из материалов на сайте Минкомсвязи следует, что закон касается как российских, так и иностранных сайтов, осуществляющих «направленную на территорию России деятельность» (находятся в доменной зоне.ru,.рф, размещают рекламу российских товаров и услуг и др.), но эта формулировка вызывает у рынка много дополнительных вопросов.
Персональные данные, которые попали к оператору случайно, например если владелец сайта отправил их в электронном письме, оператор локализовывать не должен, говорится в разъясняющем документе Минкомсвязи. Вопрос о гражданстве того человека, чьи персональные данные собирает оператор, остается на усмотрение владельца сайта, поясняется в письме. Если оператор самостоятельно не ответил на этот вопрос, закон можно применить ко всей личной информации, собранной на территории России.
Один из самых часто задаваемых представителями интернет-бизнеса вопросов — о трансграничной передаче данных. В Минкомсвязи считают, например, что работодатель имеет право на трансграничную передачу данных своего сотрудника, если тот дал на это письменное согласие. В июле Жаров заверял, что компания имеет право хранить данные на серверах в России и отправлять их за границу. На конкретный вопрос о том, могут ли данные храниться одновременно и за границей, и в России, Жаров сообщил, что это будет зависеть от целей использования личной информации за рубежом.
«Если человек с помощью Booking.com [компания уже арендует серверы в России] поедет в Египет, то его персональные данные перекочуют с российских серверов на египетские. А потом россиянин вернется. Зачем продолжать хранить его личные данные в Египте?» — приводил пример глава ведомства. Как сказано в пояснениях Минкомсвязи, если организация соблюдает требования трансграничной передачи данных, которые она собрала в России в так называемую первичную базу данных, она может передавать их за границу во вторичную базу, а затем использовать ее для резервного копирования данных и прочих услуг.
Некоторые базовые исключения описаны в самом законе. Например, от необходимости хранить персональные данные в России освобождены иностранные посольства и авиаперевозчики (их деятельность регулируется международным законодательством), системы бронирования, средства массовой информации.
Не подпадает под действие закона и часть самых популярных интернет-сервисов, например Twitter: в Роскомнадзоре считают, что он не обрабатывает персональные данные. «По тому набору вопросов, которые компания задает пользователю при регистрации, мы делаем вывод, что компания не собирает личные данные», — говорил Жаров. Если компания хранит персональные данные россиян в российской базе, то может пользоваться копией этой базы за рубежом, говорится в разъяснениях министерства.
Кто заработает
Сегодня в России работает более 200 коммерческих дата-центров, которые предоставляют в аренду от 30 стоек (металлическая конструкция для размещения серверного и телеком-оборудования), говорится в исследовании агентства iKS-Consulting. В 2014 году объем рынка услуг хранения данных вырос на 28%, до 11,9 млрд руб. в денежном выражении. По итогам текущего года темпы роста останутся двузначными, рассказывала ранее РБК консультант iKS-Сonsulting Татьяна Темкина: объем рынка увеличится на 23%, до 14,6 млрд руб.
Будущий год благодаря вступающему в силу закону, появлению новых игроков и новых клиентов не станет исключением. Уже сейчас, по информации старшего аналитика IDC Михаила Попова, в России насчитывается более 30 тыс. стоек, хотя еще в конце 2013-го их было около 26,5 тыс.
В пятерку крупнейших дата-центров по числу стоек в России входят компании DataLine, Linxdatacenter, Safedata, «Селектел» и DataSpace (данные РБК.research). Кроме того, в последние годы на рынок дата-центров вышло несколько непрофильных игроков. В 2011 году свой первый дата-центр «Южный порт» открыл Сбербанк, вложивший в него 11,72 млрд руб.
Дата-центрами занялся и «Ростелеком», который стал вторым по размеру участником этого рынка, купив в конце февраля 2015 года 50,1% дата-центра SafeData (ООО «Центр хранения данных») за 1,8 млрд руб. Общая емкость всех дата-центров «Ростелекома» сегодня превышает 3 тыс. стоек: они расположены в Москве, Новосибирске, Краснодаре и других городах.
В июле стало известно о том, что «Московская городская телефонная сеть» (дочерняя компания сотового оператора МТС) начала превращать собственные автоматические телефонные станции (АТС) в коммерческие телехаусы — аналоги дата-центров, созданные по индивидуальному проекту под конкретного заказчика. Пока переоборудовано только одно здание из 66. Первые инвестиции в строительство дата-центров составят 100 млн руб. (с 2014 по 2016 год), окупить которые в МГТС планируют за четыре года. Стоимость аренды одной стойки в телехаусе МГТС для клиентов составляет около 18 тыс. руб. в месяц, в то время как средняя по рынку цена — около 60 тыс. руб. в месяц, рассказывала представитель компании Татьяна Мартьянова.
Выйти на рынок хранения данных планирует и группа компаний En+ Group Олега Дерипаски. Совместно с китайской корпорацией Huawei En+ Group в январе 2016 года рассчитывает запустить первую очередь центра обработки данных в Иркутске на 64 стойках, сообщало ранее агентство ТАСС со ссылкой на директора по развитию ООО «Иркутскэнергосвязь» (дочернее предприятие «Иркутскэнерго») Александра Сгребного.
По оценке управляющего директора IXcellerate Дмитрия Фокина, которую он называл газете «Коммерсантъ», данные в России сейчас хранят лишь 30% отечественных операторов персональных данных, остальным 70% игроков придется переносить базы из-за границы.
Пока не все
54% компаний полностью готовы к 1 сентября — они либо уже перевели, либо находятся в процессе перевода персональных данных своих российских клиентов на серверы, расположенные на территории России. Такая статистика приводится в релизе Российской ассоциации электронных компаний (РАЭК; объединяет более 100 организаций). РАЭК около месяца назад провел анонимный опрос представителей 40 компаний, которые участвовали в мероприятии Роскомнадзора.
Из полученных данных следует, например, что 27% респондентов на тот момент были не полностью готовы переносить личную информацию, а оставшиеся 19% и вовсе не собираются это делать. При этом большинство опрошенных представителей бизнеса не видят трудностей в переносе данных, говорится в сообщении РАЭК. Из тех, кто все-таки испытывает затруднения, 35% опрошенных обозначили финансовые сложности, 24% — недостаток технических мощностей для переноса информации.
Кто готов
Соответствовать российскому законодательству уже согласились торговая интернет-компания eBay и сервис бронирования отелей Booking.com, платежная система PayPal и процессинговая компания Chronopay, банки Citibank и «Русфинанс» (входит в группу Societe Generale), производители электроники Lenovo и Samsung, сервис онлайн-заказа такси Uber. Исполнять требования вступающего в силу закона готовы и крупнейшие российские интернет-компании «ВКонтакте», «Яндекс», Mail.Ru Group и Rambler & Co.
Китайская интернет-площадка AliExpress, как ранее заявляли ее представители, также готова следовать российскому законодательству: как сообщил РБК источник, знакомый с планами компании, AliExpress ведет переговоры с несколькими крупнейшими дата-центрами об аренде около 200 серверных стоек. В компании эту информацию не комментируют.
Южнокорейская Samsung 1 сентября перенесет все персональные данные россиян в дата-центра DataPro, принадлежащей членам семьи бывшего президента «Роснефти» Сергея Богданчикова: речь идет о переносе личной информации клиентов из их учетных записей и приложений для смартфонов. По словам источника, знакомого с планами Samsung, производитель арендовал семь-восемь стоек. В тот же DataPro персональные данные своих российских клиентов перенесла и Chronopay, процессинговыми услугами которой пользуются около 1500 российских компаний (например, МТС и «Трансаэро») и которые, в свою очередь, обрабатывают банковские транзакции своих пользователей. Chronopay потребовалось около 5 серверных стоек.
Lenovo перевела на собственные серверы в Россию кадровую базу данных — для этого корпорации не понадобилось даже арендовать места в дата-центре. Перенос обошелся компании в примерно $50 тыс., рассказывал «Ведомостям» руководитель Lenovo в России, СНГ и Восточной Европе Глеб Мишин. Другой производитель — Acer — тоже готов соответствовать российскому законодательству, рассказал гендиректор компании в России Денис Кутников, однако пока нет понимания, какой объем данных требует переноса.
Есть и такие компании, которые не собираются исполнять закон «О персональных данных» — например, по данным «Ведомостей», американская Salesforce, предоставляющая облачные IT-услуги для бизнеса, не намерена хранить личную информацию данных россиян на территории страны. Об этом изданию на прошлой неделе сообщил представитель Юниаструм Банка, пользовавшегося продуктами компании и вынужденного искать им замену, чтобы локализовать данные россиян в России.
Трудная ситуация возникла на прошлой неделе с крупнейшей в мире социальной сетью Facebook. 25 августа представитель компании приезжал на встречу в Роскомнадзор, после чего несколько источников сообщили газете «Ведомости», что американская корпорация не собирается переносить в Россию персональные данные местных пользователей. В пресс-службе Facebook сообщили РБК, что компания «регулярно встречается с представителями государственной власти и на данный момент нет каких-либо новостей или заявлений».
После сообщения о том, что Facebook может проигнорировать российский закон, пользователи в социальных сетях начали активно обсуждать, заблокирует ли Роскомнадзор социальную сеть. Пресс-секретарь надзорного ведомства Вадим Ампелонский заверил, что как минимум в этом году подобного не произойдет. «Чисто законодательно Facebook могут заблокировать в России, как и любой другой сайт. Законодательный инструментарий для этого есть. Вопрос не ставится так, что если они не перенесут хранение данных в Россию, то мы его закроем, и в 2015 году точно не будет поставлен», — заявил Ампелонский в прошедшие выходные в интервью «Коммерсантъ FM».
Плановые проверки
До 1 января 2016 года Роскомнадзор запланировал 317 проверок, что составляет 0,012% от общего числа компаний, работающих с персональными данными в стране. Среди крупных компаний, которые будет проверять Роскомнадзор в первые четыре месяца после вступления в силу закона, — санкт-петербургское подразделение «Ростелекома», оператор «Скартел» (бренд Yota), «ЛУКОЙЛ-Информ» (IT-«дочка» ЛУКОЙЛА) и российское представительство автомобильного концерна General Motors.
Проверки, которые собирается проводить Роскомнадзор, будут документарными, сообщил глава Роскомнадзора Александр Жаров. Это означает, что инспекторы ведомства будут запрашивать у компании, которая обрабатывает персональную информацию россиян, документы, подтверждающие наличие договора с российским дата-центром или собственный дата-центр, где хранятся те самые личные данные граждан. В большинстве случаев этим проверяющие и ограничатся, подчеркнул глава регулятора.
Однако если у Роскомнадзора возникнут подозрения, что компания нарушает представленные договоры, ведомство проведет «более глубокую проверку». В чем конкретно она будет заключаться, Жаров не уточнил. Если компания не сможет предоставить документы о том, что персональные данные хранятся на территории России, в отношении ее будет возбуждено административное дело, отметил Жаров. Далее состоится суд, который решит, какие меры применить к компании в качестве наказания: могут оштрафовать или же заблокировать сайт компании, отметил глава Роскомнадзора.
Внезапных проверок Роскомнадзор не планирует. Однако, по словам Жарова, поводом для внеплановой проверки может стать указание Генпрокуратуры. «В Генпрокуратуру может поступить жалоба гражданина или юридического лица о том, что его право в отношении персональных данных нарушается. Генпрокуратура, побеседовав с этим человеком и изучив соответствующие документы, примет решение о необходимости проверки», — объяснил механизм работы Жаров. По его словам, сейчас сотни россиян пишут жалобы по различным темам в Роскомнадзор, Генпрокуратуру и другие органы, и в своих жалобах они указывают конкретные статьи законодательства, которые, по их мнению, были нарушены.