15 июля президент и правительство окончательно решили, что закон о персональных данных вступит в силу, как и планировалось, — 1 сентября 2015 года. Раньше Владимир Путин не исключал, что закон может быть перенесен, но министр связи Николай Никифоров «проинформировал главу государства о том, что совместно с Роскомнадзором мы проводим работу и отвечаем на все возникающие вопросы у представителей рынка, у компаний».
А 16 июля глава Роскомнадзора Александр Жаров встретился с представителями крупных российских интернет-компаний, чтобы убедиться, что как минимум у них 1 сентября все будет готово. Несмотря на то, что по логике закона основные проблемы могут появиться у западных компаний, на встрече были представители только Rambler&Co (главред Lenta.ru Алексей Гореславский и GR Матвей Алексеев), Mail.ru Group (руководитель юридического департамента Антон Мальгинов), «ВКонтакте» (гендир Борис Добродеев) и «Яндекса» (представитель юр. департамента Анастасия Адилова). Вопросы к ним у Роскомнадзора закончились через 15 минут после начала встречи.
— Расширенное заседание, на котором смогут присутствовать все компании, которые захотят, пройдет 21 числа, на базе РАЭК, — пояснил Жаров. — А сегодня мы встречаемся с крупнейшими российскими поисковиками и соцсетями.
Основной вопрос, который интересовал Жарова, — готовы ли компании к вступлению в силу закона 1 сентября. Компании ответили на него меньше чем за минуту — все подтвердили, что да, они готовы, никаких проблем в сентябре не предвидится.
Два других вопроса, которые волновали Роскомнадзор: 1) насколько сильно компаниям пришлось поработать, чтобы исполнить закон, и 2) может ли этот закон стать точкой роста для ИТ в стране, подразумевая рост рынка хранения данных.
Все собравшиеся компании работают преимущественно в России и с российскими пользователями, и не продают услуги по хранению данных. Так что ответы были под копирку: затрат почти не понесли, сильно инфраструктуру переделывать не пришлось, а высказываться насчет рынка по хранению данных не могут, так как его не знают.
Жаров на всякий случай уточнил, что Роскомнадзор и другие компании рынка обещают, что мощностей дата-центров в России хватит, чтобы захостить всех, кого необходимо.
Без всякого перехода добавил, что никаких «ковровых бомбометаний» (в смысле, массовых, а тем более — неожиданных) проверок не предвидится. «Мы планируем провести 317 проверок до 1 января 2016 года, это тысячные доли процента от всех юрлиц, которые обрабатывают персональные данные в стране». Из крупных компаний в первую волну проверок попадут питерский Ростелеком, «Скартел» (Yota), российское представительство General Motors. Компании, которые до 1 сентяря не успели подготовиться, могут жить спокойно, если по ним проверка не запланирована.
Алексей Гореславский («я здесь не как главный редактор Lenta.ru, а как заместитель генерального директора Rambler&Co») поинтересовался у Жарова, что будут делать зарубежные компании, например Alibaba.
Жаров:
— Aliexpress подтвердил, что они готовы соблюдать закон. Проверка будет документарная. Если по документам возникнут вопросы, тогда будем разбираться глубже.
— А Facebook и Twitter?
— На данном этапе мы считаем, что Twitter не обрабатывают персональные данные. А Facebook 25 августа приедет большой делегацией, и основной темой как раз будет вопрос о соблюдении закона.
Среди других зарубежных компаний, которые подтвердили готовность работать по закону, Жаров назвал Booking.com, eBay, PayPal, Citibank, Росфинансбанк — российское подразделение Societe Generale, Lenovo и Samsung.
Журналист «Ведомостей» Ксения Болецкая переспросила, почему на встрече нет никого из иностранных компаний. Жаров ответил, что на встречу позвали только те крупные компании, у которых есть юридические представительства в России. «То есть Юля Соловьева не может ответить на ваши вопросы?» — уточнила Болецкая. «Она не уполномочена», — отрезал Жаров.
Болецкая:
— А какие есть поводы для внезапных проверок?
Жаров:
— По указанию Генпрокуратуры, если у нее возникнут вопросы.
— А какие это могут вопросы?
— Если в генпрокуратуру поступило заявление от гражданина, что его права нарушаются, его данные некорректно обрабатываются, то генпрокуратура может принять решение о проверке.
— А как гражданин вообще может предположить, что его данные обрабатываются некорректно?
— Поверьте, у нас большое количество граждан, которые пишут обращения по вопросу персональных данных. И они гораздо грамотнее, чем можно было бы предположить.
— Но как он может предположить, что данные хранятся не в России?
— Он может заподозрить!
В кулуарах Жаров поговорил с Roem.ru о том, по какому принципу были выбраны участники.
— Почему такой странный состав участников? Почему компании, которые заведомо все сделали?
— Почему странный? Мы отдельно пригласили, как я считаю, крупнейшие компании, которые имеют юридическое представительство у нас. Три поисковые машины, потому что Mail.ru и Rambler исходно являются все-таки поисковыми машинами, это потом они уже перешли на сервисы. И крупнейшие социальные сети. Ни Twitter, ни Facebook не имеют юридических представительств у нас. И смысла обсуждать эту тему с людьми, которые не могут принимать юридически значимых решений, просто пригласить их для массовки, [нет], мне кажется, это было бы некорректно.
Для нас принципиально важно было, что все социальные сети, которые работают у нас и имеют юридические представительства, локализовали данные. Это важно.
— Просто это очень странно выглядит, что пригласили компании, которые заведомо скажут, что все хорошо.
— Знаете, я не был уверен, что Livejournal скажет, что все хорошо. Я предполагал, но в публичной плоскости вы услышали, что было сказано.
Затем, «ВКонтакте» — российская компания, но среди 50 млн пользователей есть разные люди из разных стран.
По крайней мере, мне надо было зафиксировать для себя… Не помню, поднималась ли на «Роеме» тема, что нужно замедлить действие этого закона, сделать на год его спящим, и так далее. В этой истории точно надо поставить точку. 21 июля будет более расширенный состав [на встрече, организованной РАЭК], придут интернет-магазины и так далее. Для нас, для службы это важно, что никакого обвала не произойдет.
Жаров также рассказал, как будет выглядеть трансграничная передача данных, и при каких условиях они могут храниться за рубежом:
До вступления в силу закона 242 закона о персональных данных компания могла брать персональные данные наших граждан, отправлять их за границу и хранить их там. Этот закон внес единственную дефиницию: беря и обрабатывая персональные данные наших граждан, они должны находиться на серверах Российской Федерации. И с них уже трансграничить.
То есть, если для работы, для обеспечения запроса гражданина их необходимо трансграничить, они могут трансграничить. Но они должны быть локализованы здесь.
Отвечая на вопрос, могут ли данные храниться и в России, и за рубежом:
Для каких целей? Например, для бронирования гостиницы, компания Booking.com. Гражданин обратился в Booking.com, передал свои персональные данные, они находятся на некоторых серверах в Российской Федерации. Представим, что он поехал в Египет. Его данные перекочевали в Египет, человек провел там время. А дальше вопрос — зачем и дальше хранить его данные в Египте?
Хранить данные в другой стране можно, но только то время, которые необходимо для исполнения той функции, которую запросил гражданин.
Если у физического или юридического лица возникнет подозрение, что его данные хранятся за рамками той функции, которую он запросил у данной компании, мы будем с такими случаями индивидуально разбираться.
О том, как будет проходить проверка компаний, ведь Роскомнадзор не может физически убедиться, где именно компания хранит данные россиян, и вынужден полагаться на ее честное слово:
У нас в законодательстве работает презумпция невиновности. Если компания ответила — нет, не храним, то мы этим удовлетворяемся. Если ситуация дальше развиваться будет… Слушайте, закон еще не вступил в силу, да? Он начнет работать, возникнут конкретные ситуации, я о всех о них готов рассказывать.
Если по каким-то причинам гражданин говорит: «Нет, я настаиваю, это должно быть проверено», дальше это тоже можно проверить. Но это уже не наша функция. Есть органы власти, которые обладают правом с помощью СОРМ запрашивать логи и так далее, они отследят эти данные, что с ними происходит. Но это уже другая история.
Как будет выглядеть плановая проверка компаний:
Роскомнадзор приходит в компанию и говорит: «У вас обрабатываются данные граждан Российскоф Федерации». Компания говорит: «Да, обрабатываются». «Представьте, пожалуйста, документы, которые подтверждают, что серверные мощности, на которых обрабатываются эти данные, находятся на территории Российской Федерации». Компания говорит: «Пожалуйста». И в 99,9% случаев на этом проверка заканчивается.
Если некая компания не смогла представить документы, что данные хранятся в России, начинается административное производство, суд, и дальше уже суд решает, какое наказание применимо к конкретной компании. Риски у компаний большие — начиная от значительных штрафов, заканчивая блокировкой ее ресурсов. Суд будет решать, насколько серьезен ущерб, который компания наносит интересам граждан Российской Федерации.
— А как с Facebook диалог продвигается? — Поинтересовались у Жарова под конец. — Тяжело?
— Не тяжело, у нас с ними всегда замечательный диалог. Я замечательно говорю по-английски.
