На восприятие нового закона очень сильно повлияли новостной фон и громкие скандалы с блокировками интернет-ресурсов из-за нарушений так называемого закона о блогерах и законодательства в области авторского права и нелицензионного контента. Недавно Роскомнадзор также сообщил о создании «реестра нарушителей прав субъектов персональных данных».
Изменения в закон о персональных данных готовились с целью прекращения незаконной обработки данных россиян и бесконтрольного использования информации о них на территории других государств, что позволяло, по сути, игнорировать российское законодательство.
Законопроект прошел длительное обсуждение с привлечением представителей интернет-отрасли и претерпел значительные изменения. В частности, основное требование закона — собирать, хранить и обрабатывать первичную базу данных с информацией россиян на территории России — сделало бы экономически нецелесообразным работу в нашей стране таких компаний, как Facebook (владелец компания Meta признана в России экстремистской и запрещена), Twitter, Microsoft и Google . Во многом поэтому законодатели разрешили трансграничную обработку и передачу данных.
Единственное требование к хранению и обработке данных за рубежом заключается в том, чтобы стандарты обеспечения информационной безопасности при этом соответствовали требованиям Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
Важно, что изменения в законе коснутся только новых данных россиян. Те базы данных, которые были собраны за рубежом до 1 сентября 2015 года, под его действие не попадут, но и обновлять и дополнять их по-старому, без создания первичных баз на территории РФ, будет уже нельзя.
Это позволило всем заинтересованным компаниям, действующим в России, подготовиться к изменениям без ущерба своей деятельности.
Закон установил соответствие «виртуальных границ» России географическим границам РФ, определил, что речь идет о российских гражданах, если используется доменное имя «.рф», есть русскоязычная версия сайта, расчеты производятся в рублях, договор (например, о доставке товара) заключен на территории нашей страны или используется реклама на русском языке.
Закон также ввел необходимые определения и расширил права российских пользователей интернета в плане обработки их персональных данных. Пользователи имеют право подать жалобу в Роскомнадзор, если считают, что назойливый спам в электронной почте или на мобильный телефон — результат неправомерной обработки их персональных данных. То же касается и назойливой персонализированной рекламы. Далее степень вины оператора персональных данных будет устанавливаться в судебном порядке.
С одной стороны, это хорошо, так как граждане цивилизованной страны должны иметь возможность защитить свое право на неприкосновенность информации о себе и личного пространства. С другой стороны, все сильно зависит от практики правоприменения, поскольку любой неадекватный гражданин и недостаточно компетентный в вопросах современных интернет-технологий суд сможет создать большие проблемы для оператора персональных данных.
Персональная ответственность для сотрудников операторов персональных данных за неисполнение закона установлена в Административном, Трудовом и Уголовном кодексах РФ и варьируется от 20 тыс. руб. за игнорирование запросов Роскомнадзора и невыполнение его предписаний до уголовного штрафа в размере 300 тыс. руб., исправительных работ и лишения свободы.
Тем не менее с 1 сентября 2015 года процесс хранения и обработки данных практически не изменится, считает главный аналитик Российской ассоциации электронных коммуникаций Карен Казарян.
«Нарушение условий хранения не является основанием для блокировки, — рассказал он «Газете.Ru». — Роскомнадзор проверяет соответствующие документы, а не серверы, при этом план проверок доступен на сайте rkn.gov.ru».
В плане проверок на 2015 год крупнейшие зарубежные интернет-компании не значатся. Однако есть внеплановые выездные проверки, о которых оператора персональных данных предупреждают за 24 часа. Все проверки проводятся по инициативе Роскомнадзора и не согласуются с прокуратурой. Исключением являются проверки по обращениям граждан, государственных органов, муниципальных органов власти и средств массовой информации.
«На самом деле, требования закона носят формальный характер, поскольку российские надзорные органы не смогут следить за его реальным исполнением», — рассказал «Газете.Ru» источник, консультировавший ряд западных IT-компаний по вопросу размещения данных в России.
По его словам, надзорные органы не смогут проследить за реальным массивом хранящихся данных, поскольку им неизвестен их изначальный объем. Кроме того, доступ к арендуемым компаниями серверам не будет предоставляться даже владельцам дата-центров, не говоря уже о сотрудниках надзорных ведомств.
«Да и само понятие трансграничности данных исключает хранение всего массива информации о российских пользователях на российских серверах», — заключил источник.
Казарян считает, что интернет-компании в большинстве своем готовы к исполнению закона. О переходе на российские серверы уже объявили интернет-аукцион eBay, поисковик Google, платежный сервис PayPal и сервис по бронированию отелей Booking.com. Проблемы могут возникнуть у компаний, не связанных с интернет-отраслью.
Тем не менее многие компании заняли выжидательную позицию. По словам Казаряна, часть компаний принимают подготовительные меры и собираются смотреть на фактическое правоприменение закона, на основе чего будут определять масштабы размещения в России в зависимости от экономического эффекта.
Сомнения ряда иностранных игроков также могут быть связаны с неспособностью российских дата-центров удовлетворить высоким требованиям западных компаний к уровню сервиса SLA (Service level agreements).
Однако в целом от вступления в силу изменений в закон российские операторы коммерческих дата-центров, несомненно, выиграют, — подытоживает эксперт.
«Места для переноса данных точно хватит всем, — рассказал «Газете.Ru» ведущий аналитик в области промышленных систем IDC Russia Михаил Попов. — Хотя точный объем посчитать сложно, поскольку у нас множество ЦОДов разных типов: коммерческие, государственные, полугосударственные, телекоммуникационные, корпоративные и т.д. Если говорить о компаниях, которые переносят данные в Россию во исполнение закона, то в коммерческих ЦОДах для них достаточно места».
Попов утверждает, что вопрос сравнения цен на услуги дата-центров в России и за рубежом сейчас отходит на второй план из-за курса рубля и спрогнозировать стоимость из-за курсовых колебаний просто невозможно. Цена также во многом зависит от того, какие данные будут храниться, и от алгоритмов сжатия, которые позволяют экономить место.
Безопасность российских ЦОДов определяется законодательством и технической документацией. Есть требования ФСТЕК и ФСБ, которые необходимо соблюдать для получения лицензии. Таким образом, дата-центры любого типа, которые предоставляют услуги хранения данных, сертифицированы, и все они предоставляют более или менее равные по степени защищенности услуги. На сегодня требований указанных выше ведомств достаточно, и сертификаты имеют все крупные, большинство средних и достаточное количество малых ЦОДов.
Однако часть интернет-компаний все же не пойдут на перенос данных. «Это либо слишком мелкие компании, либо слишком крупные, которым все равно, например, Facebook, — говорит Попов. — Эта социальная сеть устроена таким образом, что крайне сложно сказать, на каком именно сервере хранится тот или иной кусок ваших персональных данных. В Европе им уже пришлось переработать свои алгоритмы для соответствия, к примеру, немецкому законодательству».
По мнению эксперта, определенную выгоду от введения закона получает весь рынок дата-центров, в том числе и крупные российские компании, такие как «Ростелеком», которые в последнее время активно скупают операторов дата-центров.
«При этом выиграют и посредники, — добавляет аналитик IDC. — Один из ярких примеров — «Метрекс», предоставляющая для хранения данных как свои, так и арендуемые ЦОДы. У них за последние 12 месяцев обороты увеличились почти в два раза».
Попов считает, что хранить данные в России полезно с точки зрения национальной безопасности, налогообложения и увеличения числа рабочих мест. «Внедрение этого закона в целом поможет развитию отрасли», — подытоживает эксперт.