Запрета на размещение персональных данных россиян за рубежом нет, но…

Запрета на размещение персональных данных россиян за рубежом нет, но…
Начну с конца, поскольку он мне кажется если и не самым важным в новом законопроекте (пока одобрения Совета Федерации и подписи президента нет), то крайне важным.
Это я про закон о «запрете россиянам размещать свои данные за рубежом». Об этом самом запрете, точнее, о том, что его нет – чуть ниже. Меня очень удивило, что ни в одном из многочисленных комментариев, которыми просто завален рунет последние три дня, не упоминается о третьей статье нового законопроекта. А там, между прочим, прямо написано, что из-под действия Федерального закона № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» выводится контроль и надзор не только за обработкой персональных данных, но и за соблюдением требований в связи с распространением информации в информационно-телекоммуникационной сети «Интернет». Вы понимаете, что произошло?
За этими двумя сферами деятельности можно теперь надзирать, не согласовывая свои действия с прокуратурой, проводя проверки абсолютно по любому поводу, а не только по короткому и закрытому перечню оснований, предусмотренных ст.10 закона (если вы не знаете, проверки по жалобе субъекта персональных данных в абсолютном своем большинстве незаконны). Можно не вывешивать на сайтах надзорных органов ежегодные планы проверок, не включать такие проверки в сводный план проверок субъектов предпринимательства на сайте Генпрокуратуры. Ну и т.д. – почитайте 294-ФЗ, пока он еще действует в этих двух надзираемых областях. Изменения в 294-ФЗ вступают в силу также с 1 сентября 2016 года.
А теперь о запрете. Поскольку закон так возбудил общественность, что комментировать эту затейливую сферу стали даже на «Слоне» и «Эхе Москвы», в том числе люди, впервые вообще узнавшие о наличии у них каких-то персональных данных, в комментариях появилась масса утверждений, далеких от правды, что породило мифы.
Основных быстро рожденных мифа два:
·         россиянам запретили размещать свои данные за рубежом,
·         иностранным компаниям запретили получать и обрабатывать персональные данные россиян.
Ни того, ни другого запрета в законопроекте нет. Но!
Что там есть, я уже писал , но, поскольку градус и некомпетентность комментариев зашкаливает, кое-что поясню еще раз. Закон обязывает сбор персональных данных россиян, в том числе и в интернете, организовать таким образом, чтобы дальнейшая их обработка осуществлялась с использованием баз данных, находящихся на территории Российской Федерации. Т.е. с веб-формы сайта бронирования Аэрофлота они попадали не в облако компании Sabre, находящееся неизвестно где и в юрисдикции США, а прямо в дата-центр на территории России. Я не стану, как некоторые коллеги и комментаторы, Алексей Волков , например, уповать на то, что перечислены не все указанные в законе способы обработки, и в тексте изменений отсутствуют слова «исключительно» или «только» перед словами «на территории Российской Федерации». Того, что написано, на мой взгляд, вполне достаточно для однозначного понимания. В России, и точка.
Даже ежику, заблудившемуся в тумане, очевидно, что закон в таком виде просто невыполним и изначально предусматривает избирательность его применения. Никогда сервер регистрации российских пассажиров авиарейса Нью-Йорк - Москва не будет переноситься из аэропорта JFKв Москву, а данные с компьютера отеля в альпийской деревушке не будут немедленно реплицироваться в специально созданную суверенную базу данных. Но! Доступ к ресурсу, критерию территориальности не удовлетворяющему, можно будет легко закрыть во всей России. Мне кажется очевидным, что законопроект направлен против соцсетей, ставших мощным инструментом не только формирования общественного мнения, но и организации граждан, однако находящихся вне доступности СОРМа. Все остальные иностранные интернет-ресурсы просто как обычно попали под раздачу, а предусмотренные законом два года станут периодом давления на всякие там Гуглы, Фейсбуки и Твиттеры и торгов с ними. В конечном итоге те из них, кто сервера в России не поставит, вынуждены будут уйти (а перед этим они, конечно, посчитают свои денежки), а закон останется мощным сдерживающими фактором для других желающих поработать в России без сотрудничества со спецслужбами. Ситуация в этом аспекте полностью идентична недавно сложившейся с международными платежными системами.
Есть у этой инициативы и вторая составляющая. Не знаю, держали ли ее в голове авторы законопроекта, но побочным эффектом запрета станет удар по хостингу российских ресурсов за рубежом. Посмотрите на эту забавную картинку . На долю только одного немецкого хостинг-провайдера приходится без малого 15% всех сайтов доменной зоны ru, и это без учета российских сайтов, зарегистрированных в других зонах (com, biz, info, tvи прочие). Я, правда, не уверен, что это приведет к бурному росту ЦОДов в России.
Очень интересно, как на новый закон прореагируют в Совете Европы. Если кто забыл, принятие 152-ФЗ о персональных данных – прямое следствие ратификацией Россией Конвенции ETS №108 «О защите физических лиц при автоматизированной обработке персональных данных», которая в части 2 ст.12 предусматривает, что присоединившиеся к ней страны не будут запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой стороны Конвенции, а ст. 25 запрещает любые оговорки в отношении Конвенции. Последствия могут быть весьма неприятные, особенно на общем фоне «санкционирования» России и ее резидентов.
Про последствия еще одной нормы закона, касающейся реестра нарушителей и блокировки доступа к их ресурсам я подробно писал в недавнем посте , и повторяться не буду. Процедуры доведения судебных решений до Роскомнадзора в проекте не появилось ни ко второму, ни к третьему чтению. Кстати, норма об отмене блокировки без решения суда, а только на основании оценки Роскомнадзором принятых мер по устранению нарушения тоже весьма интересная – решения суда в силе, а Роскомнадзор может его не выполнять и блокировку снять.
Два года – срок большой. Случиться может многое. Но общая тенденция на сегодняшний день понятна.
И да, господа комментаторы. Нет в законе и подзаконных актах персональных данных 4-го класса. Вообще нет. Не надо придумывать и еще больше запутывать и так обеспокоенных темой неподготовленных соотечественников.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!

Михаил Емельянников

Блог известного российского эксперта в области информационной безопасности, защиты персональных данных, коммерческой тайны, государственного регулирования охраны конфиденциальности. Комментарии к «громким» событиям, связанным с утечкой данных и взломом компьютерных сетей.