На восприятие нового закона очень сильно повлияли новостной фон и громкие скандалы с блокировками интернет-ресурсов из-за нарушений так называемого закона «о блогерах» и законодательства в области авторского права и нелицензионного контента. Недавно Роскомнадзор также сообщил о создании «реестра нарушителей прав субъектов персональных данных».
Изменения в закон о персональных данных готовились с целью прекращения незаконной обработки данных россиян и бесконтрольного использования информации о них на территории других государств, что позволяло, по сути, игнорировать российское законодательство.
Левичев просил Роскомнадзор проверить Microsoft из-за Windows 10
Законопроект прошел длительное обсуждение с привлечением представителей интернет-отрасли и претерпел значительные изменения. В частности, основное требование закона - собирать и хранить и обрабатывать первичную базу данных с информацией россиян на территории России сделало бы экономически нецелесообразным работу в нашей стране таких компаний, как Facebook, Twitter, Microsoft и Google. Во многом поэтому законодатели разрешили трансграничную обработку и передачу данных.
Единственное требование к хранению и обработке данных за рубежом заключается в том, чтобы стандарты обеспечения информационной безопасности при этом соответствовали требованиям Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
Важно, что изменения в законе коснутся только новых данных россиян. Те базы данных, которые были собраны за рубежом до 1 сентября 2015 года, под его действие не попадут, но и обновлять и дополнять их по-старому, без создания первичных баз на территории РФ, будет уже нельзя.
Это позволило всем заинтересованным компаниям, действующим в России, подготовиться к изменениям без ущерба своей деятельности.
Закон установил соответствие «виртуальных границ» России по географическим границам РФ определил, что речь идет о российских гражданах, если используется доменное имя «.рф», есть русскоязычная версия сайта, расчеты производятся в рублях, договор (например, о доставке товара) заключен на территории нашей страны или используется реклама на русском языке.
Закон также ввел необходимые определения и расширил права российских пользователей интернета в плане обработки их персональных данных. Пользователи имеют право подать жалобу в Роскомнадзор, если считают, что назойливый спам в электронной почте или на мобильный телефон стали результатом неправомерной обработки их персональных данных. То же касается и назойливой персонализированной рекламы. Далее степень вины оператора персональных данных будет устанавливаться в судебном порядке.
С одной стороны, это хорошо, так как граждане цивилизованной страны должны иметь возможность защитить свое право на неприкосновенность информации о себе и личного пространства. С другой стороны, все сильно зависит от практики правоприменения, поскольку любой неадекватный гражданин и недостаточно компетентный в вопросах современных интернет-технологий суд сможет создать большие проблемы для оператора персональных данных.
Представитель Роскомназдора: законы РФ позволяют блокировать Facebook
Персональная ответственность для сотрудников операторов персональных данных за неисполнение закона установлена в административном, трудовом и уголовных кодексах РФ и варьируется от 20 тыс. руб. за игнорирование запросов Роскомнадзора и невыполнение его предписаний до уголовного штрафа в размере 300 тыс. руб., исправительных работ и лишения свободы.
Тем не менее, с 1 сентября 2015 года процесс хранения и обработки данных практически не изменится, считает главный аналитик Российской ассоциации электронных коммуникаций Карен Казарян.
«Нарушение условий хранения не является основанием для блокировки, - рассказал он. - Роскомназдор проверяет соответствующие документы.
В плане проверок на 2015 году крупнейшие зарубежные интернет-компании не значатся. Однако есть внеплановые выездные проверки, о которых оператора персональных данных предупреждают за 24 часа. Все проверки проводятся по инициативе Роскомнадзора и не согласуются с прокуратурой. Исключением являются проверки по обращениям граждан, государственных органов, муниципальных органов власти и средств массовой информации.
«На самом деле, требования закона носят формальный характер, поскольку российские надзорные органы не смогут следить за его реальным исполнением», - рассказал источник, консультировавший ряд западных IT-компаний по вопросу размещения данных в России.
По его словам, надзорные органы не смогут проследить за реальным массивом хранящихся данных, поскольку им неизвестен их изначальный объем. Кроме того, доступ к арендуемым компаниями серверам не будет предоставляться даже владельцам дата-центров, не говоря уже о сотрудниках надзорных ведомств.
«Да и само понятие трансграничности данных исключает хранение всего массива информации о российских пользователях на российских серверах», - заключил источник.
Казарян считает, что интернет-компании в большинстве своем готовы к исполнению закона. О переходе на российские серверы уже объявили интернет-аукцион eBay, поисковик Google, платежный сервис PayPal и сервис по бронированию отелей Booking.com. Проблемы могут возникнуть у компаний, не связанных с интернет-отраслью.
Тем не менее, многие компании заняли выжидательную позицию. По словам Казаряна, часть компаний принимают подготовительные меры и собираются смотреть на фактическое правомприменение закона, на основе чего будут определять масштабы размещения в России в зависимости от экономического эффекта.
Сомнения ряда иностранных игроков также могут быть связаны с неспособностью российских дата-центров удовлетворить высоким требованиям западных компаний к уровню сервиса SLA (Service level agreements).
Кремль и Белый дом продолжили пользоваться WhatsApp после отказа от Gmail
Однако в целом от вступления в силу изменений в закон российские операторы коммерческих дата-центров, несомненно, выиграют, - подытоживает эксперт.
«Места для переноса данных точно хватит всем, - рассказал ведущий аналитик в области промышленных систем IDC Russia Михаил Попов. - Хотя точный объем посчитать сложно, поскольку у нас множество ЦОДов разных типов: коммерческие, государственные, полугосударственные, телекоммуникационные, корпоративные и т. д. Если говорить о компаниях, которые переносят данные в Россию во исполнение закона, то в коммерческих ЦОДах для них достаточно места».
Попов утверждает, что вопрос сравнения цен на услуги дата-центров в России и за рубежом сейчас отходит на второй план из-за курса рубля, и спрогнозировать стоимость из-за курсовых колебаний просто невозможно. Цена также во многом зависит от того, какие данные будут храниться, и от алгоритмов сжатия, которые позволяют экономить место.
Безопасность российских ЦОДов определяется законодательством и технической документацией. Есть требования ФСТЕКа и ФСБ, которые необходимо соблюдать для получения лицензии. Таким образом, дата-центры любого типа, которые предоставляют услуги хранения данных, сертифицированы, и все они предоставляют более или менее равные по степени защищенности услуги. На сегодня требований указанных выше ведомств достаточно, и сертификаты имеют все крупные, большинство средних, и достаточное количество малых ЦОДов.
Власть споткнулась о «Википедию»
Однако часть интернет-компаний все же не пойдут на перенос данных. «Это либо слишком мелкие компании, либо слишком крупные, которым все равно, например, Facebook, - говорит Попов. - Эта социальная сеть устроена таким образом, что крайне сложно сказать, на каком именно сервере хранится тот или иной кусок ваших персональных данных. В Европе им уже пришлось переработать свои алгоритмы для соответствия, к примеру, немецкому законодательству».
По мнению эксперта, определенную выгоду от введения закона получает весь рынок дата-центров, в том числе и крупные российские компании, такие, как «Ростелеком», которые в последнее время активно скупают операторов дата-центров.
«При этом выиграют и посредники, - добавляет аналитик IDC. - Один из ярких примеров - 'Метрекс', предоставляющая для хранения данных как свои, так и арендуемые ЦОДы. У них за последние 12 месяцев обороты увеличились почти в два раза».
Попов считает, что хранить данные в России полезно с точки зрения национальной безопасности, налогообложения и увеличения числа рабочих мест. «Внедрение этого закона в целом поможет развитию отрасли», - подытоживает эксперт.