Новая норма
Как изменится наша жизнь с законом «О персональных данных»
1 сентября вступит в силу закон «О персональных данных», обязывающих интернет-компании хранить информацию о пользователях на территории России. Вчера стало известно, что Facebook не собирается их переносить сюда — «Афиша» объясняет, чем это грозит и фейсбуку, и нам с вами.
Что такое персональные данные (ПД)
Трудности начинаются сразу. Как прошлая, так и нынешняя редакция закона «О персональных данных» №152-ФЗ трактуют ПД как «...любую информацию, относящуюся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)». То есть, помимо стандартных ФИО, серии и номера паспорта, персональными данными является информация о политических взглядах, здоровье, интимной жизни, о судимости, национальности, расовой принадлежности, религиозных или философских убеждениях и других сведениях о личной жизни гражданина РФ».
После принятия Закона №242-ФЗ некоторые эксперты — например интернет-омбудсмен Дмитрий Мариничев — подчеркнули, что отечественное и западное толкование сильно отличаются. К примеру, в США данные пользователя, необходимые для проведения какой-либо транзакции (вроде заказа такси) не являются персональными, а значит, не подпадают под юрисдикцию аналогичного закона. У нас же ПД считается любая информация, по которой реально «однозначно идентифицировать конкретного пользователя».
Во время недавнего выступления на заседании коллегии Роскомнадзора помощник президента Игорь Щеголев заявил о том, что существующее понятие «персональные данные» было актуально во время его закрепления в 2006 году. Сегодня же понятие должно быть расширено; Щеголев предложил включить в него информацию о поисковых запросах, историю посещений сайтов и геолокацию. Как он объяснил, эти данные напрямую не идентифицируют человека, но характеризуют его привычки, поведение и мировоззрение, а значит, могут считаться персональными.
Суть его инициативы, надо думать, в борьбе с черным рынком баз ПД, но она сильно ударит и по Google, Facebook, Twitter, «ВКонтакте» и «Яндексу», которые давно собирают подобную информацию, чтобы показывать людям рекламу кроссовок, которые они точно купят. На самом деле последствия тотальной государственной защиты всех возможных категорий персональных данных, которые Щеглов окрестил «нефтью современной экономики», трудно прогнозировать. Смысл нового закона покажет в первую очередь его применительная практика. Но уже сейчас можно утверждать, что сформулированная в законе необходимость оператора бережно хранить ПД может войти в противоречие с грядущим законом №264-ФЗ. Он призван обеспечить любому желающему «право на забвение» и вступит в силу 1 января 2016 года.
Кого закон коснется в первую очередь
Согласно тексту №242-ФЗ, с 1 сентября 2015 года предприятия будут обязаны хранить ПД россиян в базах данных, расположенных исключительно на территории России. Любое хранение за рубежом или на облачном сервере без географической привязки исключено и административно наказуемо. Роскомнадзор будет контролировать исполнение закона и владеть информацией о конкретном адресе хранения каждой базы, которая, в свою очередь, будет занесена в «Реестр операторов, осуществляющих обработку персональных данных».
Такими операторами может быть кто угодно: как сказано в законе, «государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных...» (абзац целиком читайте в законе). Операторами ПД являются Facebook, который вчера отказался переносить данные о россиянах, «ВКонтакте», Aliexpress, Booking.com, все сайты госуслуг, любой интернет-магазин рукодельных шарфов и какой-нибудь двухзвездочный отель в Берлине. Кстати, на этот условный отель закон не распространяется — он не действует «на зарубежных операторов персональных данных, не имеющих филиала или официального представительства на территории Российской Федерации». Но будет ли Роскомнадзор, заработавший репутацию проказника, который может играючи закрыть «Википедию», предъявлять претензии компаниям без представительств, пока неясно.
До 1 января организация проверит 317 крупнейших российских компаний на соответствие новому закону и факт существования договора с российским дата-центром или наличие своего собственного. Провинившихся будут штрафовать, а доступ к их сайтам ограничат до устранения нарушений. При этом подать судебный иск против компании может не только пользователь, но и Роскомнадзор — «в целях защиты прав субъекта».
Что будет с интернет-бизнесом
Многие опасаются действий монополистов, направленных на конкурентов; опять же, Роскомнадзор может позволить себе блокировать сайты иностранных компаний без представительств в России. В этом случае любая жалоба поставит бизнес любого мелкого и среднего зарубежного игрока под угрозу. Дмитрий Мариничев прокомментировал ситуацию так: «Вместо тысячи сайтов отелей, на которых вы можете зарегистрироваться за рубежом, придется пользоваться единственным — Booking.com».
Высказался на эту тему и руководитель Роскомнадзора Александр Жаров: «Такие заявления не подкрепляются аргументированными доводами и не имеют отношения к реальности». Кроме того, Жаров сослался на то, что трансграничные потоки персональных данных не могут быть запрещены государствами согласно принятой в 1981 году Конвенции Совета Европы №108 о защите персональных данных, которую ратифицировала Россия. «Мы неукоснительно соблюдаем требования данной конвенции и намерены их соблюдать и впредь», — подчеркнул он.
Что будет с самими пользователями: 6 примеров из жизни
Вы покупаете билет на каникулы в Будапешт или бронируете номер в Ace Hotel в Нью-Йорке
Как и иностранные посольства, авиаперевозчики освобождены от исполнения закона в связи с тем, что их действия регулируются международными договорами. В случае с отелями и хостелами ситуация не так однозначна: при бронировании гостиницы персональные данные гражданина неизбежно оказываются одновременно за границей и в России. По этому поводу Жаров не совсем ясно сообщил, что последствия таких действий будут зависеть от целей использования личной информации. РБК писал, что во время совещания в Роскомнадзоре 16 июля Жаров заявил: «Если человек с помощью Booking.com поедет в Египет, то его персональные данные перекочуют с российских серверов на египетские серверы. А потом россиянин вернется. Зачем продолжать хранить его личные данные в Египте?»
Вы регистрируетесь на получение американской визы
Еще на этапах принятия нового закона в МИДе было много опасений по поводу иностранных посольств, которые работают с загранпаспортами. Паника оказалась преждевременной — порядок получения визы останется прежним. Жаров сказал, что в формате исключения из закона от необходимости хранить ПД в России освобождены посольства. Один из авторов инициативы по переносу, элдэпэровец Деньгин, окончательно прояснил картину: «Не понимаю, кто сеет панику. Вообще никаких проблем не вижу — закон не касается посольств. Визовые центры полностью принадлежат посольствам. Хоть они являются отдельными компаниями, но их деятельность регламентируется посольствами. Посольства не обязаны хранить данные на территории России, на них распространяется дипломатическая неприкосновенность. Даже если они отдают данные на аутсорсинг совершенно независимым компаниям, я уверен, посольства контролируют сохранность личных данных российских граждан».
Заказываете Uber в Сан-Франциско
Uber почтительно отнесся к российской мании все запретить. Уже на ранних этапах решения технических вопросов, связанных с переносом ПД, пиарщики Uber сделали несколько успокаивающих заявлений. Они сказали, что закон никак не повлияет на отношения компании с партнерами и клиентами на территории России и за рубежом. Перенос данных на самом деле прошел безболезненно — Uber понадобилось не больше 30 стоек для размешения серверного и телеком-оборудованиия. Очевидно, что пользоваться Uber и другими крупными такси-сервисами с представительствами в России мы сможем.
Записываетесь к стоматологу в Израиле
Во время предварительных встреч представителей Роскомнадзора с предпринимателями последние неоднократно просили сделать исключение для некоторых ситуаций. В частности — просили не учитывать моменты, когда «в явной форме получено согласие субъекта на обработку персональных данных за рубежом», а также, что имеет особое значение в связи с последними событиями в России, исключить, как они выразились, «чувствительные» категории персональных данных. Под «чувствительными» имели в виду сведения о сексуальной ориентации, группе крови, истории болезни. Помимо этого, бизнесмены просили сделать исключение для стран — подписантов Конвенции Совета Европы «О защите частных лиц в отношении автоматизированной обработки данных личного характера». Никаких комментариев по этому поводу от Роскомнадзора не поступало. Так что сможете ли вы, сидя в Москве, оставить заявку на прием к иностранному врачу на русскоязычном сайте клиники, пока неясно.
Публикуете котиков в соцсетях
«ВКонтакте», по заявлению гендиректора Бориса Добродеева, «в полной мере готова соответствовать новому закону». Представители Facebook обещали явиться на запланированную встречу с представителями Роскомнадзора 25 августа 2015 года для обсуждения закона. Уже на следующий день выяснилось, что Facebook отказывается переносить данные в Россию, объясняя свой отказ экономическими и техническими причинами. До конца 2015 года проверять локализацию компании Роскомнадзор не будет. Что касается Twitter, то они не подпадают под закон, поскольку вопросы для заполнения регистрационной формы пользователя не позволяют классифицировать их как персональные. Сервисы LiveJournal тоже, скорее всего, оставят в покое — информацию, которую можно отнести к персональным данным, пользователь вводит в профиль исключительно по своему желанию.
Рубитесь в игры на Steam, Battle.net или Xbox Live
Новый закон касается в том числе игровых компаний, считает Олег Самбикин, совладелец и президент издателя игр Syncopate. К 1 сентября они перенесли ПД российских игроков в московские дата-центры. У Steam, крупнейшего сервиса цифрового распространения компьютерных игр и программ, до сих пор нет официального российского представительства на территории Российской Федерации. Но в силу развлекательной специфики сервиса, вряд ли он — как и его аналоги — привлекут внимание Роскомнадзора.
Что по поводу закона говорит интернет-профсоюз
«Защищать нужно не персональные данные, а права самих людей. Приведет ли перенос процесса первичного сбора и хранения или отказ части компаний осуществлять такие операции к тому, что права людей будут лучше защищаться? Существуют некоторые сомнения. Реестр нарушителей потенциально может стать действенным инструментом в защите гражданином своих прав, но подождем реальной практики применения. В любом случае издержки по переносу придется кому-то оплачивать — они перейдут к конечному покупателю. Возможно, мы увидим ухудшение качества сервиса.
По данным РАЭК, из тех компаний, что шли на контакт с Роскомназдором, 54% готовы к вступлению закона, 27% не вполне успевают. По оценкам Gartner, среди крупных западных компаний 18% пока не готовы к вступлению закона в силу, 19% — уйдут из РФ. На наш взгляд, проблемы могут возникнуть у предприятий, далеких от индустрии интернета, однако на которые распространяется закон о переносе ПД».