Мое письмо в РКН по поводу законопроекта о запрете хранения ПДн россиян за границей

Мое письмо в РКН по поводу законопроекта о запрете хранения ПДн россиян за границей
Являясь членом Консультативного совета РКН  по защите прав субъектов персональных данных, решил высказаться по поводу принятого в первом чтении законопроекта  о запрете хранения ПДн россиян заграницей. Посему написал в РКН письмо такого содержания:

"Как член Консультативного совета РКН по защите прав субъектов персональных данных решил высказать свою позицию по законопроекту о запрете хранения персональных данных российских граждан заграницей. Я считаю, что вопрос защиты прав субъектов ПДн очень важен, но в формулировке, принятой в первом чтении, законопроект несет с собой ряд серьезных подводных камней, которые могут повлечь за собой очень серьезные последствия как для российской экономики, так и для рядовых граждан. Я не имею ввиду не только и не столько рост затрат хозяйствующих субъектов, вынужденных создавать специально для РФ отдельные центры обработки и хранения персональных данных. И я не имею ввиду снижение инвестиционной привлекательности России для иностранных компаний. Речь о другом.

В частности, текущая формулировка нарушает права граждан по свободу перемещения, определенную в Конституции РФ. Например, немалое количество российских граждан привыкло отдыхать заграницей для чего они бронируют гостиницы, автомобили, авиа- и ж/д билеты. Информация о такой брони хранится не в России и хранится у нас не может, т.к. иностранные компании просто не знают о требованиях российского законодательства о защите прав субъектов Пдн. Но даже если они и узнают об этом, то врядли стоит ожидать, что какой-нибудь небольшой зарубежный отель будет переносить часть своей базы данных в Россию для хранения ПДн россиян. И, наконец, некоторые услуги в принципе не могут работать без хранения данных за пределами РФ. Например, система бронирования авиабилетов SABRE, услугами которой пользуются все авиакомпании мира, включая и наш Аэрофлот, требует, чтобы доступ к хранимым в ней данным о авиапассажирах был обеспечен и для всех иностранных компаний. А разделить персональные данные по их государственной принадлежности невозможно, т.к. при заказе авиабилетов данные о гражданстве не указываются. При этом эта проблема возникнет не только для рядовых граждан, но и для госслужащих и депутатов, которые выезжают в другие государства по служебной необходимости.

Другие примеры, которые могут прекратить свое существование в случае принятия законопроекта в текущем виде, – лечение за рубежом, заказ товаров в иностранных Интернет-магазинах, отправка детей в зарубежные детские лагеря или учебные заведения, зарубежные почтовые отправления, зарубежные системы переводов электронных и обычных денежных средств, регистрация Интернет-сайтов, участие в международных и заграничных мероприятиях и т.п. По сути под запретом окажется и электронная почта, т.к. в рамках e-mail передаются персональные данные (например, в заголовке или подписи сообщения e-mail) и они обязаны хранится на принимающей или отправляющей стороне, которая может быть за пределами РФ. Будут поставлены под сомнения и облачные услуги, о важности которых говорят в последнее время и регулированием которых сейчас занимается Правительство РФ. В условиях запрета хранения ПДн россиян за границей, облачные вычисления потеряют смысл. Также ПДн россиян часто раскрываются у публичных компаний, торгующихся на международных площадках (Вымпелком, МТС и т.п.). Обработка и хранение ПДн российских официальных лиц в рамках различных международных мероприятий также станет под запретом. Наконец, непонятно, что делать с ПДн субъектов с двойным гражданством.

Поэтому, как член Консультативного совета РКН по защите прав субъектов персональных данных, понимая и разделяя всю важность поднятой темы, я предлагаю внести в законопроект следующие изменения:

  1. Запретить хранение ПДн за пределами РФ только операторам, обрабатывающим персональные данные для целей предоставления государственных и муниципальных услуг, являющимися федеральными органами исполнительной власти, органами государственных внебюджетных фондов, исполнительными органами государственной власти субъектов Российской Федерации и органами местного самоуправления, осуществляющими исполнительно-распорядительные полномочия.
  2. Разрешить любому оператору, за исключением указанных в предложении №1, хранить ПДн россиян за пределами в РФ без ограничений (но с обязательным выполнением требования законопроекта об уведомлении РКН), но только в странах, обеспечивающих адекватную защиту прав субъектов ПДн.
  3. В случае необходимости обработки ПДн (за исключением операторов, указанных в предложении №1) за пределами стран, обеспечивающих адекватную защиту прав субъектов, делать это на основании согласия субъекта ПДн, данного в любой форме, позволяющей удостовериться в даче такого согласия.
  4. Разрешить хранение за пределами РФ общедоступных ПДн россиян.
Спасибо. Надеюсь мои предложения будут вами рассмотрены и учтены при рассмотрении законопроекта во втором или, возможно, третьем чтении."

Жду реакции...
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!