Начну с конца, поскольку он
мне кажется если и не самым важным в новом
законопроекте (пока одобрения Совета Федерации и подписи
президента нет), то крайне важным.
Это я про закон о «запрете
россиянам размещать свои данные за рубежом». Об этом самом запрете, точнее, о
том, что его нет – чуть ниже. Меня очень удивило, что ни в одном из
многочисленных комментариев, которыми просто завален рунет последние три дня,
не упоминается о третьей статье нового законопроекта. А там, между прочим,
прямо написано, что из-под действия Федерального закона № 294-ФЗ «О защите прав
юридических лиц и индивидуальных предпринимателей при осуществлении
государственного контроля (надзора) и муниципального контроля» выводится
контроль и надзор не только за обработкой персональных данных, но и за
соблюдением требований в связи с распространением информации в
информационно-телекоммуникационной сети «Интернет». Вы понимаете, что
произошло?
За этими двумя сферами
деятельности можно теперь надзирать, не согласовывая свои действия с
прокуратурой, проводя проверки абсолютно по любому поводу, а не только по
короткому и закрытому перечню оснований, предусмотренных ст.10 закона (если вы
не знаете, проверки по жалобе субъекта персональных данных в абсолютном своем
большинстве незаконны). Можно не вывешивать на сайтах надзорных органов
ежегодные планы проверок, не включать такие проверки в сводный план проверок субъектов
предпринимательства на сайте Генпрокуратуры. Ну и т.д. – почитайте 294-ФЗ, пока
он еще действует в этих двух надзираемых областях. Изменения в 294-ФЗ вступают
в силу также с 1 сентября 2015 года.
А теперь о запрете.
Поскольку закон так возбудил общественность, что комментировать эту затейливую
сферу стали даже на «Слоне» и «Эхе Москвы», в том числе люди, впервые вообще
узнавшие о наличии у них каких-то персональных данных, в комментариях появилась
масса утверждений, далеких от правды, что породило мифы.
Основных быстро рожденных
мифа два:
·
россиянам запретили размещать свои данные за
рубежом,
·
иностранным компаниям запретили получать и обрабатывать
персональные данные россиян.
Ни того, ни другого запрета
в законопроекте нет. Но!
Что там есть, я
уже писал, но, поскольку градус и некомпетентность комментариев
зашкаливает, кое-что поясню еще раз. Закон обязывает сбор персональных данных
россиян, в том числе и в интернете, организовать таким образом, чтобы
дальнейшая их обработка осуществлялась с использованием баз данных, находящихся
на территории Российской Федерации. Т.е. с веб-формы сайта бронирования Аэрофлота
они попадали не в облако компании Sabre, находящееся неизвестно где и в юрисдикции США, а прямо
в дата-центр на территории России. Я не стану, как некоторые коллеги и комментаторы,
Алексей
Волков, например, уповать на то, что перечислены не все указанные в законе
способы обработки, и в тексте изменений отсутствуют слова «исключительно» или
«только» перед словами «на территории Российской Федерации». Того, что
написано, на мой взгляд, вполне достаточно для однозначного понимания. В
России, и точка.
Даже ежику, заблудившемуся в
тумане, очевидно, что закон в таком виде просто невыполним и изначально
предусматривает избирательность его применения. Никогда сервер регистрации
российских пассажиров авиарейса Нью-Йорк - Москва не будет переноситься из
аэропорта JFK в
Москву, а данные с компьютера отеля в альпийской деревушке не будут немедленно
реплицироваться в специально созданную суверенную базу данных. Но! Доступ к
ресурсу, критерию территориальности не удовлетворяющему, можно будет легко
закрыть во всей России. Мне кажется очевидным, что законопроект направлен
против соцсетей, ставших мощным инструментом не только формирования
общественного мнения, но и организации граждан, однако находящихся вне
доступности СОРМа. Все остальные иностранные интернет-ресурсы просто как обычно
попали под раздачу, а предусмотренные законом два года станут периодом давления
на всякие там Гуглы, Фейсбуки и Твиттеры и торгов с ними. В конечном итоге те
из них, кто сервера в России не поставит, вынуждены будут уйти (а перед этим
они, конечно, посчитают свои денежки), а закон останется мощным сдерживающими
фактором для других желающих поработать в России без сотрудничества со
спецслужбами. Ситуация в этом аспекте полностью идентична недавно сложившейся с
международными платежными системами.
Есть у этой инициативы и
вторая составляющая. Не знаю, держали ли ее в голове авторы законопроекта, но
побочным эффектом запрета станет удар по хостингу российских ресурсов за
рубежом. Посмотрите на эту забавную
картинку. На долю только одного немецкого хостинг-провайдера
приходится без малого 15% всех сайтов доменной зоны ru, и это без учета российских сайтов,
зарегистрированных в других зонах (com, biz, info, tv и
прочие). Я, правда, не уверен, что это приведет к бурному росту ЦОДов в России.
Очень интересно, как на
новый закон прореагируют в Совете Европы. Если кто забыл, принятие 152-ФЗ о
персональных данных – прямое следствие ратификацией Россией Конвенции ETS №108
«О защите физических лиц при автоматизированной обработке персональных данных»,
которая в части 2 ст.12 предусматривает, что присоединившиеся к ней страны не
будут запрещать или ставить под специальный контроль информационные потоки
персональных данных, идущие на территорию другой стороны Конвенции, а ст. 25 запрещает
любые оговорки в отношении Конвенции. Последствия могут быть весьма неприятные,
особенно на общем фоне «санкционирования» России и ее резидентов.
Про последствия еще одной
нормы закона, касающейся реестра нарушителей и блокировки доступа к их ресурсам
я подробно писал в недавнем
посте, и повторяться не буду. Процедуры доведения судебных решений до
Роскомнадзора в проекте не появилось ни ко второму, ни к третьему чтению.
Кстати, норма об отмене блокировки без решения суда, а только на основании
оценки Роскомнадзором принятых мер по устранению нарушения тоже весьма
интересная – решения суда в силе, а Роскомнадзор может его не выполнять и
блокировку снять.
Два года – срок большой.
Случиться может многое. Но общая тенденция на сегодняшний день понятна.
И да, господа комментаторы.
Нет в законе и подзаконных актах персональных данных 4-го класса. Вообще нет.
Не надо придумывать и еще больше запутывать и так обеспокоенных темой неподготовленных
соотечественников.