1 сентября вступает в действие поправки к закону «О персональных данных». В той или иной степени они коснутся всех граждан России. «МакРадар» связался с рядом российских юристов и представителей интернет-компаний и выяснил все нюансы этого закона.
Сами по себе поправки небольшие, занимают всего полторы странички стандартного листа А4, и любой желающий может прочитать их прямо сейчас. Два основных нововведения:
- С 1 сентября все юридические лица, работающие с персональными данными россиян, должны хранить базы данных на территории РФ — на собственных или арендуемых серверах.
- Создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных».
Персональные данные — любая информация, относящаяся к определенному физическому лицу. Это может быть фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, паспортные данные, профессия, доходы и другая информация.
Давайте разберемся, что представляет из себя упомянутый выше «Реестр…», какие риски несет закон для представителей интернет-индустрии, сколько «стоит» выполнение закона для компаний и какую ответственность понесут нарушители.
Что такое «Реестр нарушителей прав субъектов персональных данных»
В этот реестр будут включаться имена сайтов и страниц в интернете, на которых происходит обработка персональных данных с нарушением законодательства. Это могут быть абсолютно любые сайты: интернет-магазины, гостиницы, авиакомпании, СМИ и прочие. «Поскольку закон не конкретизирует, за какие именно нарушения сайты будут включать в этот реестр, то можно предположить, что таким нарушением может послужить любое несоблюдение норм закона о персональных данных, — говорит Дарья Сухих, старший юрист „Команды 29“. — Порядок ведения реестра будет определен Правительством РФ. Примечательно, что в этот реестр сайт или страница могут быть внесены только на основании вступившего в силу решения суда, зафиксировавшего нарушение закона при обработке персональных данных».
Обработка персональных данных — операции с персональными данными, такие как: сбор, накопление, хранение, уточнение, обновление, изменение, использование, распространение, передача, обезличивание, блокирование и уничтожение.
Кто подпадает под закон
Компании дистанционной торговли, транспорт, туроператоры и системы бронирования, кадровые агентства, операторы связи, банковская отрасль и платежные системы. По данным июльского совещания между РАЭК, Российско-британской торговой палатой и Роскомнадзором, более 54% IT-компаний готовы выполнить все требования закона, еще 27% процентов заявили о частичной готовности, 19% оказались полностью не готовы. Среди основных трудностей по выполнению закона были названы финансовые проблемы и недостаток технических мощностей.
Основные риски для бизнеса
«Мы не видим существенных рисков для бизнеса, — говорит старший юрисконсульт OZON Group Яна Бараш. — Положения о трансграничной передаче персональных данных не затрагиваются поправками, а следовательно, передача персональных данных граждан РФ иностранным поставщикам услуг по-прежнему будет возможна». Кирилл Митягин, партнер Nevsky IP Law считает так: «Основной риск — это не разобраться в требованиях закона к операторам и правилам обработки персональных данных. Например, не подать уведомление о включении в реестр Роскомнадзора (по состоянию на 31.07.2015 в реестре уже более 330 тысяч операторов), либо допустить нарушения при обработке персональных данных, что влечет наступление гражданско-правовой, административной и даже уголовной ответственности».
Возможные угрозы для обычных пользователей интернета
Основная угроза для обычного пользователя состоит в том, что его любимый ресурс может не справиться с расходами на защиту персональных данных и закроется. «Соблюдение закона делает наш проект дороже на 45%, — говорит исполнительный директор сервиса darenta.ru Олег Грибанов. — Это неизбежные затраты, если мы хотим соблюдать закон, а мы ни в коем случае не будем его нарушать. Сколько конкретно мы потратим на покупку и аренду серверов и обучение персонала для работы, сказать не могу, это коммерческая тайна». «Сегодня серверы можно приобрести по цене в диапазоне от 40 до 600 тысяч рублей, но более-менее качественный продукт точно будет стоить больше ста тысяч, кроме того, выбор будет зависеть от объема хранимых данных, — поясняет Александр Трифонов, главный эксперт правового сервиса 48Prav.ru. — Еще есть возможность аренды сервера, предложения начинаются от пяти-шести тысяч рублей, так что такой бюджетный вариант может устроить фирмы, не готовые сразу тратить несколько сотен тысяч».
Защита персональных данных — комплекс административных мер и технических методов защиты по противодействию несанкционированному использованию персональных данных.
Ответственность за несоблюдение закона «О персональных данных»
За неисполнение закона о защите данных предусмотрена уголовная и административная ответственность. «За неправомерный доступ к охраняемой законом компьютерной информации наступает ответственность по ст. 272 Уголовного кодекса РФ, — говорит управляющий директор компании „ЮрПартнерЪ“ Антон Толмачев. — Но это тяжелая артиллерия. Чаще нарушение закона „О персональных данных“ является административным правонарушением, например, по статье 13.14 КоАП РФ „Разглашение информации с ограниченным доступом“ или статье 13.12 „Нарушение правил защиты информации“». «Сейчас компания несет административную ответственность за нарушение порядка обработки персональных данных в виде штрафа от 5 до 10 тысяч рублей (ст. 13.11 КоАП РФ) и за нарушение требований о защите информации — от 10 до 15 тысяч рублей (ч. 6 ст. 13.12 КоАП РФ)», — поясняет Кирилл Митягин, партнер Nevsky IP Law.
Государственная Дума РФ планирует принять поправки к КОАП. Минимальный штраф составит 50 000 рублей, а максимальный — 300 000 рублей.
Опыт других стран в защите персональных данных
В странах ЕС защита персональных данных регулируется Директивой 95/46/ЕС (1995 г.) и рядом последующих документов, но после «Дела Сноудена» стало ясно, что законодательство в области защиты персональных данных требует серьезного изменения. Cтраны ЕС сейчас создают Генеральный регламент по защите персональных данных. В нем появятся такие понятия, как: обработчик и получатель персональных данных, идентификатор личности, онлайн-идентификатор. Будет введено понятие «чувствительных данных», в которые войдут генетические и биометрические данные человека и многое-многое другое.
Резюме
Изменением законодательства в области регулирования обработки и защиты персональных данных занимаются сейчас практически все страны мира. То, что Россия оказалась в авангарде, не более чем совпадение. Однако особенностью российского подхода всегда является «право государства», тогда как в западных странах — права человека. Отсюда и опасения, что новый закон создан прежде всего с целью контроля за действиями граждан, а не для защиты их персональных данных.