Хранение персональных данных в России – интервью Петрова Валентина, партнера Адвокатского бюро «ЕМПП» для Nymity.com
С 1 сентября 2015 компании будут обязаны обрабатывать персональные данные граждан России только с использованием баз данных, расположенных в Российской Федерации. Однако, пока не ясно, как Роскомнадзор будет интерпретировать этот закон. Создавшаяся неопределенность мешает компаниям понять, как подготовиться к тому, чтобы соответствовать требованиям закона.
Ниже представляем ответы на некоторые вопросы применения нового закона об обработке персональных данных:
N: Каковы цель и замысел этого закона?
Петров: Очевидная цель закона состоит в том, чтобы защитить персональную информацию о гражданах России. Руководство страны полагает, что локализация баз данных на территории России позволит властям выполнять функцию по ее защите более эффективно. Основная цель, однако, состоит в том, что локализация частных дата-центров в России предоставит российским властям удобный способ получать персональные данные по соответствующему запросу оперативно, а в экстренных случаях немедленно. Кроме того, государству не нужно вкладывать средства в создание государственных дата-центров для хранения всех необходимых персональных данных, что значительно уменьшает бюджетные расходы.
N: На какие направления бизнеса повлияют новые требования?
Петров: Предприятия розничной торговли, которые собирают большой объем персональных данных (такие как автодилеры, бюро путешествий, медицинские компании), компании финансового сектора (банки и страховые компании) и компании, связанные с интернетом (например, Фэйсбук, Гугл, Скайп, Яндекс).
N: Если организации должны хранить свои базы данных (т.е. электронные базы данных, электронные таблицы, архивы и т.д.) в дата-центрах, расположенных в Российской Федерации, что они должны учитывать, чтобы начать выполнять эти требования?
Петров: Необходимо решить, инвестировать ли в создание собственного дата-центра в России или использовать доступные мощности, предоставляемые такими российскими компаниями, как Ростелеком и его дочерние компании. Также необходимо разрабатывать или дополнить имеющуюся корпоративную политику и процедуры относительно обработки персональных данных и проводить обучение сотрудников в соответствии с требованиями нового закона.
N: Закон оставляет на усмотрение операторов процесс идентификации гражданства субъектов персональных данных, однако, Роскомнадзор рекомендует применять этот закон ко всем персональным данным, полученным в России. Что бы Вы рекомендовали компаниям при создании таких процессов? Вы полагаете, что наилучший вариант для компаний состоит в том, чтобы применять закон, используя универсальный подход, предложенный Роскомнадзором?
Петров: Закон очень конкретен в отношении регулирования персональных данных – он обязывает хранить в России персональные данные только граждан России. Соответственно, если компания способна отличать персональные данные граждан России от данных иностранных граждан, тогда нет никакой необходимости хранить в России персональные данные не россиян. Мы никогда не слышали, что Роскомнадзор распространяет требования о хранении информации в отношении граждан России и на неграждан, но даже если и так, то такой подход очевидно противозаконен и может быть проигнорирован.
N: Как и когда операторы данных должны уведомлять Роскмнадзор относительно обработки данных? Действительно ли это обязательно?
Петров: Да, это обязательно, и должно быть сделано до того, как компания/оператор начинает собирать персональные данные. Оператор должен представить регистрационную форму в Роскомнадзор, указав местоположение дата-центра.
N: В случае если данные хранятся в России, могут ли они быть переданы за границу? Если так, существуют ли какие-либо ограничения или требования?
Петров: Персональные данные могут быть переведены за пределы России при условии предварительного получения письменного согласия соответствующего субъекта персональных данных. Форма согласия установлена законом. Она включает в себя ряд обязательных реквизитов, отсутствие которых лишает такое согласие юридической силы. Существует также ряд стран, которым не могут быть переданы персональные данные; однако, большая часть Западных стран в их число не входит.
N: Что компания должна сделать с данными, собранными до момента вступления в силу этого закона? Должны ли быть данные гражданина России, которые были ранее переведены за границу и хранились там на серверах, перемещены в дата-центры в России?
Петров: Позиция Роскомнадзора такова: закон охватывает все данные граждан России и они должны быть перемещены в российские дата-центры.
N: Противоречат ли удаленный доступ к данным и облачные технологии новым требованиям хранения данных?
Петров: Закон не охватывает проблему. Соответственно, удаленный доступ и облачные технологии не должны формально противоречить закону. Хотя некоторые представители Роскомнадзора не против удаленного доступа, они полагают, что закон не допускает использование облачных технологий и любого вида альтернативных (двойных) баз данных. На этот вопрос нет четкого ответа. Мы бы сказали, что облачные технологии разрешены до тех пор, когда они будут прямо запрещены Роскомнадзором.
N: Предусматривает ли закон наличие каких-либо штрафов или санкций за нарушение закона компаниями?
Петров: На начальном этапе никаких штрафов не установлено. Однако введение штрафов спустя несколько лет после принятия закона нормально для российской практики. Поэтому, отсутствие штрафов не обязательно означает, что они не будут установлены вскоре после принятия закона, особенно, если он не будет соблюдаться компаниями. Отдельно стоит отметить, что, в случае если персональные данные, обработанные в противоречии с законом, получены через веб-сайт компании, сайт может быть заблокирован российскими властями. Это может стать большой проблемой для компаний, связанных с интернетом.