Юристы не понимают, как будет работать закон о хранении данных россиян внутри страны

Несмотря на то, что ввод в действие закона, обязывающего операторов обрабатывать персональные данные россиян на территории нашей страны, вряд ли будет перенесен на 1 января 2015 г., острота проблемы его правоприменения не снимается. Как показывают тематические дискуссии юристов, у них нет четких ответов на множество актуальных вопросов, а Роскомнадзор вносить в ситуацию ясность не торопится.

Некоммерческая организация «Ассоциация европейского бизнеса» провела среди близких к ИТ-отрасли юристов дискуссию на тему правоприменения федерального закона № 242-ФЗ. Согласно его нормам любые персональные данные россиян, включая данные из учетных записей в социальных сетях и электронной почты, с 1 сентября 2016 г. должны будут храниться на серверах, размещенных на территории РФ.

Несмотря на то, что инициатива по переносу вступления закона в силу с 1 января 2015 г., по всей видимости, не будет реализована, острота заявленной в документе проблематики сохраняется. Взгляды юристов на многие ключевые вопросы трактовки нововведений расходятся, а позиция по ним Роскомнадзора, который станет следить за исполнением 242-ФЗ, до сих пор официально не определена. В результате, большую часть проблемных точек ИТ-юристы и руководители ИТ-бизнеса вынуждены обсуждать в формате обмена мнениями.

Так, генеральный директор компании «Первая форма» Денис Селезнев в отношении правоприменения закона большие надежды возлагает на так называемое обезличивание. В его понимании, если персональные данные будут отделены от человека таким образом, что их невозможно будет достоверно соотнести с конкретным гражданином, то с ними можно будет делать все, что угодно. В том числе и пересылать за рубеж для обработки. Обратную привязку данных к человеку можно будет осуществить лишь при их возвращении на родину — на территории России.

Селезнев указывает, что подобные механизмы работы с информацией широко применяются в медицине, например, при испытании новых препаратов. Соответственно, обезличить данные сегодня достаточно просто. Автоматизировать этот процесс можно при помощи используемых повсеместно решений ERP и CRM производства Microsoft, SAP или Oracle.
Гораздо более простое решение для соблюдения норм 242-ФЗ видится партнеру юридической фирмы Lidings Сергею Патракееву. Он считает, что законом запрещены далеко не все акты передачи данных за границу. Главное, чтобы физически информация оставалась на каком-нибудь сервере на территории России, а дальнейшее дублирование и распространение данных может происходить совершенно свободно.
Патракеев отмечает, что если трактовать нормы закона предельно рестриктивно (ограничительно), то никто из россиян никогда больше не сможет получить визу ни в одну другую страну.

Денис Селезнев с такой постановкой вопроса не согласен. По его словам, он внимательно изучал комментарии к 242-ФЗ, в том числе Администрации Президента, поэтому настаивает, что под запрещенной за рубежом обработкой подразумеваются любые действия с данными, включая их считывание и даже выведение на экран. Как отметили участники дискуссии, очевидно, что точку в данном споре смогут поставить лишь суды, когда они тем или иным образом на практике начнут трактовать понятия «извлечение данных» и их «систематизация» (кстати и само понятие «база данных» юристы также считают весьма расплывчатым).
Из других вопросов, на которые у отрасли пока нет четких ответов в связи с молчанием Росконадзора, можно отметить нечеткое понимание юристами того, затрагивает ли закон те данные, которые были собраны и переправлены за рубеж до его вступления в силу.

Также темой для дискуссии стал вопрос о том, в полной ли мере распространяется закон на обработку данных людей с двойным гражданством. Станут ли делаться какие-то исключения для обработки данных на территории страны второго гражданства, где могут действовать аналогичные юридические нормы?
Нет у юристов ясности в отношении того, сможет ли организация полностью снять с себя ответственность за неисполнение норм закона, если надлежащим образом оформит соответствующие соглашения с внешним оператором ее данных — передаст ему обработку персданных своих сотрудников на полный аутсорсинг (При нарушении закона в этом случае ответственность будет нести только оператор? Или сама компания все равно не избежит наказания?).
Также участники дискуссии вспомнили существующее с 2011 г. понятие обработчика данных (лицо, работающее с информацией по поручению оператора). Распространяется ли 242-ФЗ на него? Формально — нет, но для всех очевидно, что практика скорее всего докажет обратное.

В Роскомнадзоре на момент публикации материала не ответили на вопросы CNews.

Множество вопросов вызывает и тема того, как именно Роскомнадзор станет выявлять нарушения. В территориально распределенных компаниях огромное количество критичной для бизнеса информации, составляющей коммерческую тайну, трансгранично циркулирует в зашифрованном виде либо по закрытым каналам. В этой связи некоторые бизнесмены склонны считать, что необходимость соблюдать закон в данном случае отпадает («не пойман, не вор»). На что другие резонно возражают, говоря о том, что поводом для разбирательств могут стать свидетельские показания в суде бывших (или действующих, но «обиженных») ИТ-сотрудников организации.
В контексте юридических новшеств, которые имеют прямое отношение к технологиям, компаниям придется задуматься и о других серьезных вещах. Например, как считает Денис Селезнев, проблемной зоной для многих организаций станут внедряемые у них информационные сервисы на основе мобильных устройств. «Пример: у меня айфон, на нем стоит корпоративная почта и стоит разрешение создавать резервную копию в iCloud, в результате чего почта уезжает на сервера Apple. Кто здесь будет нести ответственность за нарушение закона? — говорит Селезнев. — Вопрос абсолютно не проработан и требует особого внимания», — уверен он.
Очевидно, что в новых реалиях организациям каким-то образом придется произвести тотальную инвентаризацию своих приложений и баз данных и досконально проверить все договоры с компаниями, предоставляющими ИТ-услуги.
«Закон вводит большое количество сложностей для целой индустрии. И не надо думать, что кто-то на текущий момент знает ответы на возникшие вопросы», — заключает Селезнев.
В завершении стоит отметить, что опасения отрасли в отношении 242-ФЗ вполне могут оказаться преждевременными. По уверению представителя компании SAP Глеба Вершинина, у Правительства в отношении многих проблемных постановлений есть некое ноу-хау. «Встречались недели две назад с первым вице-премьером Игорем Шуваловым. По его словам, Госдума принимает законы в очень жесткой формулировке. Ни его, ни главу Минэкономразвития Алексея Улюкаева, ни главу Центробанка Эльвиру Набиулину при этом не слышит. Но потом Правительство начинает мягким катанием принимать разные поправки», — говорит Вершинин. То же самое, в его понимании, может ожидать и данный закон.