Закон о хранении персональных данных в России

Сегодня законы 242-ФЗ и 152-ФЗ на слуху у многих. За последние несколько месяцев они стали острыми болевыми зонами в дискуссиях бизнесменов, айтишников и простых смертных. Принятый в июле этого года федеральный закон 242-ФЗ установил для всех участников, вовлеченных в процесс обработки и хранения персональных данных, новые правила игры. Одно из главных нововведений затронуло текст закона 152-ФЗ «О персональных данных», положения которого дополнились требованием с 1 января 2016 года хранить персональные данные россиян на серверах, находящихся в РФ:

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.

При этом под запрет могут попасть любые действия с данными – вплоть до выведения на экран компьютера, если физически базы данных «лежат» за рубежом. Правда, до сих пор ни парламентарии, ни Роскомнадзор не дали однозначных ответов на вопрос о том, что же конкретно следует понимать под извлечением данных, их систематизацией и самой базой данных.

Еще более расплывчатым остается содержание нового термина «лицо, обеспечивающее обработку информации в информационно-телекоммуникационной сети, в том числе в сети «Интернет», внесенное в закон 149-ФЗ «Об информации, информационных технологиях и о защите информации». Кто вправе получить этот статус и каковы правовые признаки такого лица? Не исключено, что разбор законодательных полетов будет происходить уже по факту предполагаемого нарушения. В этом случае прояснить букву закона поможет судебная практика. Но опять же непонятно, на каком основании будет начинаться судебное разбирательство – по обращению Роскомнадзора или любого другого лица.

Блокировка сайта нарушителя, внесение его в «черный список» Роскомнадзора и право пользователей на удаление своих персональных данных по решению суда – все это едва ли можно считать новеллами закона. По сути это небольшой «апгрейд» положений законов «О персональных данных» и «Об информации», в которых достаточно полно изложены и карательные процедуры (включая формирование реестра нарушителей), и механизмы судебной защиты граждан.

О персональных данных

Стоить отдать должное тому широкому общественному резонансу, который развернулся синхронно с официальными обсуждениями закона. Пользователи, которые прежде считали, что персональные данные – это Ф.И.О., сведения паспорта и номер телефона, наконец-то получили глоток трезвости и здравомыслия. Оказалось, что за аббревиатурой ПД скрывается «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (п. 1 ст. 3 152-ФЗ). Это могут быть и данные о здоровье, и информация по проведенным транзакциям, и переписка в соцсетях, и зарегистрированные аккаунты в онлайн-магазинах.

Для бизнеса персональные данные – вездесущий информационный «материал». Например, для клиентов «Глобал Офис», работающих на выделенном сервере «1С: Предприятие. Зарплата и Управление Персоналом», вопрос о персональных данных встает всякий раз при подготовке отчетности, начислении заработной платы и отпускных, расчете больничных и изыскании налогов. Более того, безобидные на первый взгляд документы, созданные с помощью программных продуктов Microsoft Word , Excel, Power Point и др., могут попасть под статью нового закона, даже если их основное содержание не имеет никакого отношения к отправителю или получателю. Как такое возможно? Благодаря метаданным, которые могут храниться не только в самом документе, но и в описании его свойств: например, имя автора, имя пользователя, почтовый адрес, сохранившего документ последним, заголовки сообщений электронной почты и т.д. Такую же скрытую опасность представляет регистрация профиля и пересылка писем через Microsoft Outlook.

Наряду с персональными данными сотрудников компаниям приходится иметь дело и с другими видами конфиденциальной информации, к которой относятся реквизиты компании, информация о контрагентах и др. По закону персональные данные – один из шести видов сведений конфиденциального характера (см. Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера»). Для удобства между нами и нашими клиентами существует договоренность о том, что все сведения, хранящиеся в предоставляемых нами программных продуктах 1С, являются персональными, а, следовательно, к ним применяются процедуры шифрования, обезличивания и др. механизмы зашиты данных.

Что делать бизнесу?

Построить собственный дата-центр и спать спокойно – технологическая роскошь, которая по зубам только крупным компаниям. У компании «Яндекс» на строительство первой фазы дата-центра ушло порядка двух лет и еще большая куча денег. Самое вероятное решения для большинства российских середнячков – это звонок в уже действующий дата-центр, где предлагают услуги по размещению серверов (colocation).

Другой законный способ установить с новым законом дружественный контакт – обезличивание данных. Некоторые эксперты возлагают на него большие надежды. Персональные данные будут отделены от субъекта таким образом, чтобы их невозможно было соотнести с конкретным человеком. В таком «аморфном» виде с ними можно делать все, что угодно. Предполагается, что обратная привязка к человеку будет осуществляться по возвращению обезличенных данных на территорию РФ. Сегодня такая технология успешно применяется в медицине. Обезличить данные можно при помощи популярных решений ERP и CRM производства Microsoft, SAP или Oracle.

На еще одну лазейку в принятом законе указали юристы. Ныне действующее законодательство не запрещает пересылку данных за границу и дублирование информации. Теоретически персональные данные могут храниться на территории России и далее свободно уходить в продублированном виде на иностранные серверы.

Формально выполнить требование о хранении данных на российских серверах также позволяют специальные программы (в компании «Глобал Офис» это SecurityIP). Они скрывают конечный IP-адрес рабочего сервера, для того чтобы нельзя было определить точное местоположение сервера.

Безусловно, изменения в главном законе о персональных данных создают трудности не только для бизнес-сообщества, но и для пользователей. И при настойчивом молчании Роскомнадзора ответы на возникающие вопросы пока остаются открытыми. Поправки о перенесении сроков вступления закона в силу на 1 января 2015 года все еще обсуждаются в правительственных кабинетах. Бизнес по-прежнему требует от парламентариев больше конкретных формулировок и меньше туманных фраз. Первое в списке – замена определения персональных данных. Без четкого понимания того, какие виды сведений могут быть классифицированы как ПД, едва ли возможна защита прав граждан, громко заявленная в новом законе.