«Роскомнадзором была проведена огромная работа по анализу бизнес-процессов, связанных с обработкой персональных данных»

С 1 сентября персональные данные россиян должны будут храниться на территории Российской Федерации. Это решение законодателей[1] вызвало оживленные дискуссии в профессиональном сообществе. Существуют его сторонники и противники. Тем не менее многие страны постепенно приходят к подобным нормативно-правовым актам. Что нового закон принесет в интернет-отрасль, каким образом будет осуществляться контроль над его исполнением, готовы ли к изменениям отечественные и зарубежные игроки рынка? На эти и другие вопросы РС ответила заместитель руководителя Роскомнадзора Антонина Приезжева.

РС: Антонина Аркадьевна, в преддверии вступления в силу закона о хранении персональных данных россиян на территории РФ Роскомнадзор провел большое количество консультаций с различными компаниями. С чем это связано?

Антонина Приезжева (А. П.): Начиная с февраля 2015 года, мы организовали и провели серию встреч с представителями различных отраслей экономики. Их необходимость была вызвана большим количеством запросов представителей бизнеса. Просьбы о разъяснении положений закона поступали как в наш адрес, так и в Минкомсвязи.

Вопросы касались специфики деятельности различных компаний. Они были систематизированы, обобщены и легли в основу наших отдельных совещаний с представителями каждой отрасли, поскольку прорабатывались с учетом особенностей определенных бизнес-моделей.

Роскомнадзором была проведена огромная работа по анализу бизнес-процессов, связанных с обработкой данных туристической, банковской отрасли, сферы связи, авиаперевозок, интернет-индустрии и других.

В преддверии вступления закона в силу эта работа носит постоянный характер, одни вопросы снимаются, другие рождаются в процессе обсуждений и дискуссии.

РС: Какие нюансы больше всего тревожат бизнес?

А. П.: Основные опасения у бизнес-сообщества вызывал миф о запрете трансграничных потоков данных. Здесь мы всегда обращаем внимание операторов, что № 242-ФЗ не внес никаких изменений в статью Закона «О персональных данных»[2], которая касается трансграничной передачи. Мы по-прежнему реализуем взятые на себя международные обязательства в рамках Конвенции Совета Европы № 108[3]. Ни о каких запретах передачи данных за границу не могло идти и речи.

Тем не менее в процессе дискуссии нас долго убеждали, что хранить данные в России и осуществлять трансграничную передачу невозможно, что это два понятия, которые противоречат друг другу. Мы так не считаем, поскольку рассматриваем не отдельную норму 242-го закона, а положения всего Закона «О персональных данных». Изменилась только модель такой передачи. Если до принятия закона № 242-ФЗ компании передавали персональную информацию о гражданах РФ сразу за границу и в нашей стране они не оставались, то после 1 сентября 2015 года это можно будет делать только из российской базы.

Возникал вопрос о распространении действия закона на иностранные компании, не имеющие представительств на территории РФ. Особенно он интересовал игроков рынка, занимающихся электронной торговлей. Да, деятельность таких зарубежных организаций осуществляется посредством интернета, важным свойством которого является трансграничность. Но это не отменяет основополагающих принципов, связанных с исполнением нормативно-правовых актов по кругу лиц. Не стоит забывать, что доступ к виртуальному пространству Мировой паутины обеспечивается на территории России. Деятельность таких компаний направлена на отечественного потребителя и должна обеспечивать соблюдение требований наших законов.

Представителей отрасли волновало, как компаниям следует определять принадлежность персональных данных именно к гражданину РФ. Рассматривались вопросы обработки конфиденциальной информации российских сотрудников представительств зарубежных компаний, работающих в нашей стране. Также спрашивали о том, как Роскомнадзор планирует осуществлять проверки деятельности организаций по обработке данных и многое другое.

РС: В каких странах принят подобный закон? И в чем заключаются особенности российского?

А. П.: Локализация персональных данных на территории отдельных государств не является чем-то совершенно новым, подобные положения характерны для законодательства Китая, Индии, Вьетнама, Канады, Индонезии, Австралии. Некоторые из перечисленных стран уже приняли законы о локализации персональных данных, другие обсуждают и задумываются над такими изменениями. Можно сказать, что это новый тренд развития интернета.

Кто-то локализует данные частично. Например, китайским кредитным организациям запрещается хранить, обрабатывать или анализировать за пределами государства личную финансовую информацию, которая была получена внутри страны. Также администратор информационных систем по оказанию публичных и коммерческих услуг не должен передавать персональные данные за рубеж, включая любых физических лиц, там проживающих, или любых организаций и компаний, зарегистрированных за границей.

Закон же № 242-ФЗ сформулирован таким образом, что локализации подлежат все персональные данные. Исключением являются те случаи, которые напрямую указаны в нем в качестве отступлений, допускающих хранение такой информации за рубежом.

РС: Будет ли изменяться закон в дальнейшем, по Вашему мнению, и когда появится правоприменительная практика?

А. П.: Правоприменительная практика всегда представляет собой взвешенную позицию по существующим спорным вопросам в исполнении требований закона. Основана она на опыте служебной деятельности, на судебных решениях, на диалоге с отраслью. Опыт ? дело не быстрое, поэтому правоприменительная практика не возникает за несколько недель. Она не может сформироваться при рассмотрении частного случая. Это всегда результат планомерной деятельности по разрешению спорных вопросов.

Мы надеемся получить первичные результаты уже к ноябрю. Но это касается в большей степени положений, связанных с предоставлением операторами информации о месте нахождения баз персональных данных, а также с процедурами ограничения доступа к сайтам.

Вместе с тем не стоит упускать из виду и то, что оператор персональных данных является законодательно защищенным субъектом правоотношений в области организации государственного контроля.

РС: Как в целом, на Ваш взгляд, вступление в силу закона повлияет на рынок?

А. П.: Безусловно, вступление закона в силу отразится на рынке, поскольку компаниям придется понести затраты на его реализацию. Вопрос в том, положительными или отрицательными в конечном итоге для российского рынка будут эти изменения.

Сейчас многие говорят, что закон будет иметь негативное влияние на экономику и инвестиционный климат России в целом. Существует даже исследование экспертов Европейского центра по международной политэкономии (ECIPE), которые утверждают, что локализация данных приведет к снижению производительности компаний, работающих на нашем рынке. По их мнению, потери российской экономики составят порядка 0,27% внутреннего валового продукта (ВВП).

Однако насколько данное исследование является полным, всесторонним и аргументированным? Мне кажется, что здесь может иметь место доля лукавства ? читателю представлены результаты анализа, при этом не показаны исходные данные, на которых основывались их выводы. Возможно, перед экспертами не ставилась задача рассматривать влияние закона более широко, и они были ограничены рамками методологии исследования.

Тем не менее существует противоположная точка зрения. По мнению многих экспертов, положения закона обеспечат положительный эффект в развитии отрасли информационных технологий и принесут России внушительные инвестиции. Закон № 242-ФЗ в принципе имеет шансы стать катализатором развития в нашей стране рынка не только ЦОДов, но и IT индустрии в целом.

РС: Что Вы думаете о состоянии российского рынка ЦОДов? Достаточно ли мощностей для переноса всех данных в РФ?

А. П.: За последние годы в сфере хранения и обработки информации произошли значительные позитивные сдвиги. Появились новые дата-центры, сертифицированные по международным стандартам и готовые принять большие объемы данных, имеются крупные ЦОДы в Москве и Санкт-Петербурге. По информации от представителей компаний, оказывающих услуги в этой сфере, рисков реализации закона в связи с отсутствием серверов на территории страны нет.

Тем не менее мы провели в 2015 году встречи с крупными игроками рынка ЦОДов. Среди них как иностранные, так и российские компании. У дата-центров не возникает каких-либо проблем, связанных с нехваткой серверных мощностей. Иностранные представители этого бизнеса заявляют о расширении своего присутствия в России, подчеркивая, что 242-й закон увеличивает их клиентскую базу. Новые положения о локализации данных сделали более привлекательной нашу страну, и компании этого не скрывают. В настоящее время они перераспределяют финансовые потоки, переориентируют свой бизнес и планируют увеличение инвестиций в российский рынок.

РС: Контроль над исполнением законодательства в области персональных данных возложен на Роскомнадзор. Разработаны ли и приняты необходимые НПА для осуществления надзора в отношении хранения ПД на территории РФ?

А. П.: Все подзаконные нормативные правовые акты, регламентирующие процедурные моменты, связанные не только с контролем, но также с порядком ведения нового реестра блокировок, были разработаны в начале этого года и прошли процедуры согласования, общественного обсуждения.

Новый же порядок контроля (надзора) в сфере обработки персональных данных будет регламентирован постановлением Правительства Российской Федерации. Проект этого постановления сейчас находится в стадии процедуры согласования с заинтересованными государственными органами. В сентябре мы ожидаем его принятие.

РС: Есть ли компании, хранящие персональные данные россиян, не подпадающие под действие закона?

А. П.: Да, документ предусматривает исключения из требования о локализации данных, но тут нужно анализировать деятельность по обработке персональной информации всей организации. Конкретный список компаний, которые не подпадают под действие закона, мы не ведем. В качестве одного из примеров исключения могу привести деятельность консульских учреждений, выдающих визы.

Согласно закону № 242-ФЗ правила хранения не будут применяться в случае, если на оператора возложены функции, полномочия и обязанности, выполнение которых связано с достижением целей, предусмотренных международным договором.

Так, в соответствии с Соглашением между Российской Федерацией и Европейским сообществом об упрощении выдачи виз гражданам Российской Федерации и Европейского Союза 2006 года, а также с другими многосторонними соглашениями, на консульские учреждения государств-членов возложены функции, в том числе, по оформлению виз.

Кроме того, в соответствии с положениями Венской конвенции о консульских сношениях 1963 года и других многосторонних международных договоров к консульским функциям относится выдача виз или соответствующих документов лицам, желающим проехать в представляемое государство.

Таким образом, консульские учреждения, выполняющие функции, предусмотренные международными соглашениями, не подпадают под сферу действия закона № 242-ФЗ.

РС: Обоснованы ли опасения пользователей в том, что они не смогут забронировать номер на сайте отеля за рубежом, если тот не разметил свои серверы в России?

А. П.: Нет, таких опасений не должно быть. Мы прорабатывали все возможные варианты, связанные с туристической отраслью, и не выявили рисков. Если речь идет о сайте зарубежного отеля, деятельность которого не направлена именно на российского потребителя, то сфера действия закона № 242-ФЗ на него не распространяется. В данном случае наш гражданин «заходит» на территорию иностранного государства и должен руководствоваться нормами, установленными в этой стране.

Иная ситуация с сервисами, предоставляющими возможность бронирования в различных отелях, такими как Booking.com. Эти онлайн-ресурсы выходят на российский рынок и фактически связывают отечественного потребителя с поставщиком услуги. Вот на такие сервисы закон будет распространяться. И они уже проводят работу по реализации его требований. Например, тот же Booking.comнеоднократно подтверждал свои намерения соблюдать законодательство РФ.

Кроме того, мы провели установочное совещание с представителями туристической индустрии, и существенных рисков для этого вида деятельности закон № 242-ФЗ также не выявил. Ряду компаний придется перестроить бизнес-процессы, но мы уверены, что в конечном итоге они успеют к 1 сентября 2015 года выполнить необходимые требования.

 РС

СПРАВКА

Приезжева Антонина Аркадьевна

В 2003 году окончила Московский психолого-социальный институт по специальности «юриспруденция», в 2009 году – Российскую академию государственной службы при Президенте РФ по специальности «Государственное и муниципальное управление».

1999–2004 – служба в органах внутренних дел.

2004–2008 – государственная служба в органах Федеральной налоговой службы.

2008–2012 – начальник отдела правового обеспечения деятельности, заместитель начальника Управления делами и правового обеспечения Федеральной службы по надзору в сфере природопользования (Росприроднадзор).

В 2012–2013 годах работала в подведомственных предприятиях Роскомнадзора.

С октября 2013 года занимала позицию начальника отдела правового и методического обеспечения Управления по защите прав субъектов персональных данных Роскомнадзора.

12 марта 2014 года приказом Минкомсвязи России назначена на должность заместителя руководителя Роскомнадзора. Курирует направление по защите прав субъектов персональных данных.

Государственный советник Российской Федерации III класса.

Награждена медалью «За заслуги» Федеральной службы судебных приставов.

Владеет английским и итальянским языками.

Замужем, имеет дочь.

______________

[1] Федеральный закон от 18.07.2011 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам осуществления государственного контроля (надзора) и муниципального контроля».

[2] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

[3] Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.