13 октября 2015, 13:20
Количество просмотров 73

Что принесут изменения в Федеральный закон «О персональных данных»?

        <p> В связи со вступлением в силу 1 сентября 2015 года на территории РФ изменений в Федеральный закон «О персональных данных»,...
Что принесут изменения в Федеральный закон «О персональных данных»?

В связи со вступлением в силу 1 сентября 2015 года на территории РФ изменений в Федеральный закон «О персональных данных», согласно которым все персональные данные граждан страны в период их сбора должны находиться в базах данных на серверах, размещенных на территории России, информационный портал PLUSworld.ru обратился за комментариями к внешним экспертам. В своих ответах редакции они суммировали свое видение текущих, без преувеличения, очень значимых изменений в жизни отрасли.

М. Ю. Емельянников, управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры»:
«С 1 сентября вступили в силу изменения законодательства о персональных данных, которые коротко сводятся к трем основным нововведениям:

• базы персональных данных, в которых происходит первичная регистрация и актуализация персональных данных российских граждан, должны находиться на территории России, но слова «только» в законе нет;
• контроль и надзор будет осуществляться не в соответствии с Федеральным законом 294-ФЗ о защите прав юридических лиц и индивидуальных предпринимателей, а на основании отдельного постановления правительства;
• появится реестр нарушителей законодательства о персональных данных и механизм блокирования доступа к любому сайту в сети интернет вне зависимости от того, в чьей юрисдикции и на чьей территории он находится, если российский суд любой инстанции, включая мировой и районный, посчитает, что работа с персональными данными, например, их сбор или размещение, не соответствует российскому законодательству.

Несмотря на то, что поправки к законам активно обсуждались в течение последнего времени на всех уровнях, а озабоченность бизнеса их последствиями была донесена и до президента России, ясности того, что следует делать и как новые нормы будут применяться, к моменту вступления их в силу так и не появилось.

Единственное исключение – ведение реестра нарушителей законодательства о персональных данных. Механизм включения сайтов в реестр достаточно подробно прописан в законе, по этому поводу принято специальное постановление правительства и два приказа Роскомнадзора. Насколько механизм окажется действенным, можно будет судить только после появления первых решений судов о блокировке. Отмечу лишь один казус, создаваемый новшеством. Роскомнадзор получил право снимать блокировку по своему усмотрению, при наличии действующего судебного решения об ограничении доступа к ресурсу.

В отношении системы контроля и надзора пока полная неопределенность. Закон 294-ФЗ проверки обработки персональных данных теперь не регулирует, постановление правительства по этому поводу подготовить к установленному сроку не успели (проект при обсуждении вызвал массовую и обоснованную критику), действующим остается только административный регламент Роскомнадзора, из которого совсем недавно были исключены наиболее важные основания для внеплановых проверок – жалобы субъектов, обращения органов власти и СМИ.


Ясности того, что следует делать и как новые нормы будут применяться, к моменту вступления их в силу так и не появилось

И самая большая проблема, конечно, с организацией переноса обработки персональных данных на территорию России. Необходимо отметить, что в законе, устанавливающем требование об обязанности оператора при сборе персональных данных, в том числе посредством сети интернет, обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, слова «только» нет.

Не вносятся изменения и в порядок трансграничной передачи данных. Многочисленные и противоречивые комментарии законодателей, регуляторов (Минкомсвязи) и органов надзора (Роскомнадзор) говорят о том, что нет ясности и у них. О степени растерянности говорит и комментарий Минкомсвязи, в котором обосновывается допустимость прямого использования зарубежных систем бронирования авиабилетов без их локализации, со ссылками на конвенции 1929, 1944 и 1961 годов, в которых нет ни слова о бронировании, интернете и персональных данных. Допустимость бронирования билета Москва–Новосибирск на зарубежном ресурсе выглядит более чем странно, но вполне объяснима – иначе придется останавливать все перелеты, глобальной российской системы бронирования попросту нет.

У меня четкое впечатление от общения с нашими заказчиками – все затаились и ждут первых последствий правоприменения. В зависимости от того, как будет развиваться ситуация, будут приниматься решения, в том числе и о локализации обработки персональных данных или закрытии бизнеса в России. Отмечу лишь, что, несмотря на все громкие заявления, проверить находящиеся вне российской юрисдикции Facebook и Twitter невозможно. А вот заблокировать доступ к ним на территории России можно. Но это будет уже совсем другая история».

Роман Прохоров, председатель правления Ассоциации
«Финансовые инновации»:

«Вступление в силу с 1 сентября новых положений законодательства о персональных данных, несомненно, оказало существенное влияние на деятельность как ряда социальных сетей, платежных систем, так и отдельных кредитных организаций, осуществлявших обработку персональных данных клиентов, в целях оптимизации ее стоимости или в рамках политики зарубежной материнской структуры, вне пределов территории РФ.

Следует отметить, что в принятой редакции требования законодательства о персональных данных существенно смягчены по сравнению с первоначальной версией. Сохранена возможность трансграничной передачи персональных данных, при этом их сбор и хранение должны осуществляться на территории РФ.

Однако ряд положений закона допускает различные их трактовки, например, в части субъектного состава – распространение требований на зарубежные организации, не имеющие в РФ филиалов/представительств, в части собственно состава персональных данных. Таким образом, важную роль будет иметь именно практика применения законодательства. И здесь можно провести аналогию с законодательством о национальной платежной системе, в котором требование к операторам платежных систем о размещении на территории РФ платежного клирингового центра было в конечном итоге реализовано через дополнительное изменение закона и формирование Национальной системы платежных карт. Полагаю, что субъектами, поднадзорными Банку России (в первую очередь кредитными организациями и операторами платежных систем), будет однозначно обеспечено надлежащее исполнение требований законодательства о персональных данных».

Сергей Левашов, отраслевой консультант, направление Транспорт, компании Teradata:

«Формально пункт 4 статьи 12 Закона № 152-ФЗ «О персональных данных» разрешает трансграничную передачу персональных данных, а пункт 7 статьи 5 определяет условия хранения персональных данных у оператора. «Исходя из системного толкования законодательства (и недопустимости необоснованной экстерриториальности его действия), требования закона о персональных данных распространяются на российские компании и зарегистрированные на территории РФ филиалы и представительства иностранных юридических лиц».

Что принесут изменения в Федеральный закон «О персональных данных»? - рис.1

Негативные/позитивные моменты:
• Для граждан ничего не изменится;
• Российским юрлицам придется переехать в отечественные дата-центры, что в условиях отсутствия альтернативы может привести к повышению цены на услуги хостинга;
• Российские дата-центры получат клиентов и загрузку».

Николай Бутвина, отраслевой консультант, направление «Финансы», компания Teradata:

«В моем понимании основное следствие этого закона для международных клиентов заключается в следующем: необходимость децентрализации части систем, что ведет к увеличению сложности ИТ-архитектуры, и, соответственно, росту операционных и капитальных затрат. Дополнительно для всех клиентов – это невозможность использования глобальных облачных сервисов при работе с персональными данными, и как следствие, затраты на миграцию на локальные решения, возможно, менее привлекательные по соотношению цена/ возможности. Для поставщиков ПО, «железа», ИТ-инфраструктуры и ИТ-услуг это возможность заработать на миграции и увеличении стоимости владения ИТ для компаний».

Алексей Майоров, ведущий аналитик по защите информации Bell Integrator:

«Прежде всего изменения закона коснулись далеко не всех высокотехнологичных компаний, работающих в России. Например, операторы связи, с которыми мы работаем, – ВымпелКом, МТC, МегаФон – всегда строго следили за должной защитой персональных данных и уже давно используют свои собственные ЦОДы, расположенные в России. Более того, многие операторы персональных данных и из других отраслей прежде не активно использовали возможности зарубежных коммерческих ЦОДов, поскольку российское законодательство в сфере персональных данных достаточно слабо регулирует эти процессы.

Что принесут изменения в Федеральный закон «О персональных данных»? - рис.2

Для крупных банков, которые уже располагают своими ЦОДами в России, либо кредитных организаций, арендующих их в нашей стране, ситуация после 1 сентября никоим образом не изменится. А вот российские банки, арендующие ЦОДы за рубежом, или кредитные организации с иностранным участием, чья ИТ-инфраструктура не была локализована в России, конечно, вынуждены в оперативном порядке переходить на использование российских ЦОДов.

Следует также отметить, что не только обновленная редакция Закона «О запрете хранения персональных данных россиян за пределами РФ» регламентирует политику банков в отношении месторасположения ЦОДов. Как известно, и Центральный банк в августе со своей стороны также обязал кредитные организации обеспечивать размещение электронных баз данных в России.

Так или иначе, непреодолимым препятствием для коммерческих структур закон стать не должен, хотя тем, кто использовал зарубежные ЦОДы, определенные логистические сложности и дополнительные затраты, безусловно, создал».

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube