1 сентября вступила в действие нашумевшая новая редакция Закона о персональных данных, документ противоречивый, вызвавший даже алармистские оценки некоторых участников информационного рынка.

Событие и сам новый закон комментируют наши эксперты Максим Лагутин, Альберт Алиев, Никита Халявин, Максим Захаренко, Андрей Черногоров, Мария Воронова, Антон Мелехов, Алексей Филатенков, Никита Журавлев, Михаил Ветров, Сергей Кондратьев, Владислав Елтовский.

Максим Лагутин, директор Б-152

Стоит вспомнить, что Федеральный закон №152-ФЗ «О персональных данных» был принят еще в 2006 году, а полноценно вступил в силу в 2011 году.
Текущие изменения, обязывающие хранить и обрабатывать персональные данные граждан РФ на территории РФ, носят двоякий характер.
Его плюсы:
— повысится число сайтов и информационных систем, расположенных на территории РФ, что положительно повлияет на рынок хостинг-провайдеров
— отечественные компании могут использовать то, что они хранят персональные данные на территории РФ, как маркетинговое преимущество перед иностранными компаниями, которые не смогут оперативно перенести базы персональных данных на территорию России (в своей работе по помощи компаниям в выполнении новых требований мы сталкивались с такой потребностью)
Из минусов можно назвать непонятность того, как в итоге будут проходить проверки расположения баз персональных данных. Известно, что до 2016 года Роскомнадзор будет проверять только наличие договора об аренде сервера или иного договора с российским хостинг-провайдером.
Так же серьезный минут в том, что закон также вводит реестр нарушителей персональных данных, куда будут вноситься компании, на которые пишут жалобы физические лица, владельцы персональных данных. И сайты таких компаний могут быть заблокированы. Это станет новым инструментом «кошмаринга» интернет-компаний и конкурентной борьбы.
Хотя всего этого негатива можно избежать, если у компании есть необходимые регламенты по реагированию на жалобы физлиц по персональным данным и другие внутренние документы по данной тематике.

Альберт Алиев, исполнительный директор Fun-box

Закон о персональных данных принят относительно давно. Если в двух словах, то он обязывает операторов персональных данных качественно подходить к вопросам их хранения и обработки. То есть назначать ответственных, использовать определённые системы защиты и шифрования, и так далее. Закон, на самом деле, полезный. Единственный его недостаток, что он достаточно широко трактует понятие «персональные данные». В результате, если следовать определению закона, то под его регулирование попадает огромное количество компаний и сервисов.

Причем, получилось так, что закон в этом отношении дает преимущество иностранным компаниям перед российскими. Потому что на нерезидентов закон не распространялся. ФЗ №242 принят для того, чтобы устранить этот перекос. Теперь и иностранные компании, работающие на российском рынке или с российской аудиторией, должны соблюдать этот закон. Закон обязывает их хранить персональные данные на территории России. Ну и собственно, после того, как они эти данные локализуют, они сразу должны соблюдать ещё и наши российские требования по хранению и обработке персональных данных.

Максим Захаренко, генеральный директор компании «Облакотека»

По своей сути 242-ФЗ призван защитить персональные данные граждан РФ, чтобы неправомерное использование этих данных не принесло гражданам ущерб. Но все эти угрозы очень расплывчаты и неконкретны. Например, состав защищаемых персональных данных. В России это практически все данные, прямо или косвенно относящиеся к лицу, но, например, в Европе планируется вывести из-под защиты контактные данные: ФИО, телефон, e-mail, skype, имя аккаунта в соцсетях и т.д. Когда-то в таксофонах Европы лежали книги с контактными данными всех жителей города и это никого не беспокоило.
Не очень понятно, почему размещение персональных данных в РФ безопаснее размещения за границей. Не так много граждан РФ находятся под контролем зарубежных спецслужб, если речь об этом. К тому же, закон не запрещает последующую трансграничную передачу данных за рубеж, если они были собраны и уточнены в РФ.
Реально, это закон больше об усилении контроля над гражданами, а, исходя из этого, информационная среда будет ещё более управляемой со стороны государства и контролируемой со стороны спецслужб.
При этом российские облачные провайдеры получили конкурентное преимущество по сравнению с международными провайдерами, что, безусловно, даст импульс к развитию рынка, как в количественном, так и в качественном выражении.

Никита Халявин, основатель и генеральный директор SecretMessenger.co

У нас был интересный пример в прошлом году, когда миллионы банковских карт VISA и Matercard перестали работать в России в связи с санкциями и конфликтами на тему хранения персональных данных в РФ. От этого пострадали и клиенты, и банки, и сами платежные системы. Тем не менее, политика стала превыше всех этих сложностей, и в итоге поджала под себя бизнес.

В то же время FaceBook, который в России имеет не менее 10 миллионов клиентов, фактически готов отказаться от этого рынка ради своих принципов. Вспоминаю наш случай. Когда мы делали Профессионалов и набрали 1 миллион первых клиентов, к нам был запрос от отдельных агентов СБ с просьбой предоставить доступ к данным. Я отказал им в этой просьбе по той причине, что все сервера мы разместили в Германии. При дальнейших попытках оказать влияние, в доступе было также отказано.

А теперь объясняю. Когда строят какой-то социальный сервис в Интернете, их основатели зачастую хотят построить не просто сервис в какой-то стране, а глобальный сервис, который сможет стать новой виртуальной страной для своих виртуальных граждан со своими законами и безопасностью. Клиенты ценят такой подход и многие из них идут в сеть только потому, что доверяют ей больше, чем своему государству. Все-таки далеко не все темы клиенты хотят обсуждать под прицелом.

Стоит такой компании, как FaceBook хотя бы раз оступиться и передать доступ к данным своих клиентов службам безопасности вражеской для их родины страны, как это может спровоцировать отток пользователей и капитала. Я считаю, что потерять менее 1% аудитории ради удержания стоимости своих акций и повышения уверенности в безопасности данных клиентов — это сильный шаг, который оценит все западное сообщество.

Андрей Черногоров, генеральный директор Cognitive Technologies

Закон о персональных данных благоприятно отразится на инвестиционном климате в сфере информационных технологий России, поскольку укрепит позиции отечественных хостинг-компаний и интернет-сервисов, работающих исключительно для пользователей внутри страны (а таких компаний и проектов с каждым днем становится все больше). В конечном итоге российские пользователи только выиграют от расширения продуктовой линейки разномастных ИТ-продуктов. Мы видим, что документ уже стал эффективным катализатором развития на российском рынке не только ЦОДов, но и в целом ИТ-бизнеса: многие компании в контексте вступающего в силу закона планируют в самое ближайшее время открывать в России свои официальные представительства. Кроме того, размещение серверов на собственной территории станет выгодным инвестиционным проектом. Ведь мы помним, что, по результатам исследования IDC, каждый рубль, потраченный на сервер, требует еще примерно 51 копейку на электричество и охлаждение, поэтому даже небольшое увеличение или уменьшение потребления электроэнергии оказывает прямое влияние на затраты.

Мария Воронова, ведущий эксперт по информационной безопасности компании InfoWatch

Еще задолго до вступления в силу новой редакции закона 152-ФЗ «О персональных данных» вокруг данной тематики разгорелся нешуточный ажиотаж.
Данные граждан РФ должны храниться на территории РФ» – с одной стороны, этот принцип повышает уровень информационной безопасности государства в части сохранности персональных данных его граждан, а также минимизирует зависимость многих отраслей от иностранных ресурсов в случае введения новых санкций против России. С другой стороны, возникает вопрос удобства пользования привычными сервисами после ввода новой версии закона, например онлайн-бронированием билетов в иностранных авиакомпаниях. Здесь же стоит упомянуть и о том, что для компаний, хранящих данные в международных ЦОД, выполнение требований российского законодательства с большой вероятностью выльется в отдельные дорогостоящие проекты по переносу данных в российские дата-центры. В итоге это может привести к удорожанию продуктов и услуг на рынке для конечного потребителя.

Антон Мелехов, глава российского представительства международного digital-коммуникационного агентства RTBHouse

Сегодня в силу вступил закон о защите персональных данных, внесет ли он, какие-то существенные изменения в информационную среду? Отразится ли на рядовых пользователях, веб-сайтах, бизнесе? Я не думаю, что до конца 2015 года мы будем наблюдать существенные изменения, способные перевернуть бизнес с ног на голову.

Роскомнадзор оповестил, что до 1 Января 2016 года будет совершена проверка 317 компаний, на соблюдение закона. Но, это лишь капля в море, и основная процедура проверки будет заключаться в изучении бумаг, подтверждающих работу с российским дата-центром со стороны гос. органов. И также, не планируется проведение внезапных проверок. Но они могут быть вызваны жалобами, со стороны физического или юридического лица на то, что его права нарушаются, и компания, в чью сторону направлена жалоба, может попасть в список. Если рассматривать различные сектора рынка, в первую очередь серьезные опасения со стороны пользователей были вызваны в адрес авиа и туристического секторов, банально сделав невозможным выезд за рубеж и бронирование отеля. Но, со стороны Роскомнадзора последовало опровержение в скором времени, что их это не коснется.

Все прекрасно понимают, что данные о пассажирах хранятся на зарубежных серверах, и внеся подобный запрет, вполне можно было бы ожидать падения бизнеса СМИ также не пострадают, ведь по заявлению госорганов, они не собирают информацию о пользователях – хотя, с этим можно поспорить, ведь многие сайты обладают функционалом для регистрации. Особенно это касается тех порталов, где существует платная подписка, и они хранят данные о человеке Пострадают такие каналы распространения информации, как электронные рассылки и смс оповещения – то есть телеком операторы, поставщики приложений и крупные вертикальные интернет-компании могут стать «жертвами» закона.

Действительно, рассылки от интернет-магазинов, СПАМ почта, сообщения через мессенджеры и СМС сообщения, крайне негативно влияют на пользователя. Зачастую, мы предоставляем свое согласие на получение дополнительной информации со стороны поставщика данных, банально не вникая в условия пользования. И это вызывает шквал жалоб со стороны аудитории Закон будет напрямую влиять на это – ограничивая подобные каналы продвижения, поэтому я хотел бы посоветовать избегать в своих стратегиях продвижения и работы с пользователями, подобных инструментов, для того чтобы избежать лишних проблем в обозримом будущем.

Алексей Филатенков, руководитель направления информационной безопасности, компания «Открытые Технологии»
Основным изменением в законе стало то, что операторы персональных данных россиян теперь должны хранить и обрабатывать их на территории России. Уже сама формулировка новых требований содержала двоякое толкование и породила яростные споры. Дело в том, что из документа не следовало, нужно ли хранить персональные данные только на территории РФ, или достаточно иметь их актуальную копию. Для реализации требований закона операторы выбрали несколько путей. Во-первых, это строительство собственного ЦОД для обработки персональных данных в России.

По такому пути пошли крупные операторы, которые не готовы доверить свои данные арендованным ЦОД. В выигрыше в данном случае оказываются интеграторы, специализирующиеся на строительстве ЦОД. Во-вторых, это аренда ЦОД в виде стоек или вычислительных мощностей. Такой спрос заставляет активнее продвигать услуги по аренде ЦОДов, в том числе и с интегрированными средствами защиты персональных данных. Можно также ожидать, что подготовленные площадки, отвечающие всем требованиям регулятора, могут стать дефицитными, что будет способствовать повышению цен на них. Конечно, найдутся те, кто не выполнил требования закона. На мой взгляд, государство не будет мериться с такой ситуацией, и к таким организациям будут применены санкции в соответствии с действующим законодательством.
Но важно еще понимать, что 242-ФЗ не пытается создать «Великий Китайский Фаерволл», он пытается заставить безответственных операторов соблюдать требования законодательства РФ в области сохранности личных данных.

Никита Журавлев, директор по развитию компании «Стинс Коман»

Закон о персональных данных затрагивает ресурсы в сети интернет, которые производят расчеты в рублях или используют рекламу на русском языке, имеют русскоязычную версию сайта или ресурс располагается в доменной зоне «рф».

Многие компании за этот год успели «переехать» в Россию или заявили о готовности это сделать, примером тому стали Samsung, AliExpress, e-Bay, PayPal, Booking и другие мировые гиганты. Но не стоит забывать, что в законе разрешена трансграничная обработка и передача данных, что позволяет компаниям «переехать» частично или вовсе не делать этого. Достаточно обеспечить соблюдение требований Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Понятие безопасности в масштабах Страны определяется совокупностью множества внешних и внутренних факторов.  Задача же Государства — обеспечить эту безопасность. И если большая часть внутренних факторов является подконтрольной Регуляторам, то с внешними факторами всё обстоит несколько иначе. Так, под угрозой оказывается Российский бизнес крупных зарубежных компаний, не гарантирующих безопасность персональных данных за пределами нашей Страны.

Перенос дата-центров в рамки принятых «виртуальных государственных границ»? Безусловно, перенос обрабатывающих ПДн мощностей — дело нелегкое и затратное. Текущая же редакция Закона включает «временную» меру, разрешающую трансграничную передачу и обработку персональных данных при условии выполнения зарубежным Оператором «базового» комплекса мер безопасности. Вполне возможно, что принятие «временной» меры — задача подготовки бизнеса таких компаний к будущим изменениям.

Среди «отказников» можно выделить компании Microsoft, Google, Facebook, для которых такой «переход» в настоящий момент является экономически нецелесообразным. Воспользуются ли компании возможностью адаптировать свой бизнес под требования нашего Закона? Время покажет.

Роскомнадзор опубликовал план проверок на текущий год, с которым можно ознакомиться на официальном ресурсе в сети интернет — rkn.gov.ru. Кроме вышеназванного списка ведомство оставляет за собой право внеплановых выездных проверок.  Согласование таких акций с прокуратурой не требуется, но Роскомнадзор обещает предупредить оператора ПД за 24 часа до проведения проверки.

В результате применения нового закона ожидается рост ИТ-рынка РФ. «Переезд» в российские дата-центры увеличит российский рынок услуг на базе коммерческих дата-центров минимум на 20 — 30%. Рост может продолжиться в 2016 году, за счет компаний, выбравших выжидательную позицию, наблюдающих за фактическим применением закона. Именно конкретные результаты проверок и действия регулирующих органов станут или не станут основанием для «переезда» тех, кто не спешит сегодня.

Закон не представляет какой-либо опасности для интернет-компаний и пользователей. Во-первых, неисполнение закона не влечет к блокировке. Во-вторых, в планах проверки Facebook нет. В-третьих, вспоминая «Европейские проблемы» Facebook, не думаю, что компания пойдет на очередное изменение алгоритмов, а без этого возможности отсеять потоки российских пользователей в отдельных сегмент хранения у сети нет. Да и трансграничная обработка и хранение данных фактически снимают вопрос о необходимости «переезда».

Ожидается значительный положительный эффект от внесенных изменений безусловно будет, как коммерческий, так и социальный. Закон создает дополнительный спрос на услуги ЦОДов со стороны зарубежных компаний, что влечет за собой развитие отросли, создание новых рабочих мест, увеличение налоговых поступлений в бюджет страны.

Открытым остается вопрос ценообразования этих услуг на фоне нестабильных курсов валют. Непонятно, будет ли разделение цен для компаний-резидентов страны и нерезидентов, привязанное к курсам, или цены останутся неизменными. Есть и другая вероятность —  цены поднимут для всех, привязав их к валюте. Время покажет, какая система ценообразования закрепится на рынке. Именно рост цен является основным риском для российского бизнеса, уже сегодня активно пользующегося услугами дата-центров.

Основная цель закона – решение вопросов информационной безопасности. К сожалению, пока не очевидно, как планируется отслеживать реальное выполнение законодательства зарубежными компаниями Мера же, разрешающая трансграничную передачу данных, в настоящий момент делает утопичной идею хранения и обработки ПД Россиян только на территории страны.

Михаил Ветров, генеральный директор Linxdatacenter Россия

Несмотря на многочисленные попытки бизнес сообщества повлиять на государство с целью переноса сроков введения в действие этих изменений, с 1 сентября все-таки вступили в силу важные поправки в Федеральный закон «О персональных данных». Согласно новым требованиям, организациям, работающим с персональными данными россиян, необходимо хранить и обрабатывать эту информацию только на территории Российской Федерации.

Это значимое событие повлечет за собой ряд серьезных изменений, к которым российскому рынку придётся оперативно адаптироваться. Новые правила могут затронуть как международные, так и российские компании, которые до недавнего времени хранили все свои данные за рубежом. Не думаю, что закон отпугнет международный бизнес от работы в России, основная часть таких организаций уже заявила о том, что продолжит работу в нашей стране, ведь российский рынок активно пользуется их решениями и показывает перспективы роста. Те компании, которые имеют значительный бизнес в России, задумаются об открытии представительств и филиалов на территории РФ, если это еще не было сделано.

В конечном итоге принятые поправки произведут положительный эффект – благодаря переезду зарубежных компаний в российские дата-центры, увеличатся налоговые поступления, а также откроются дополнительные вакансии в отрасли. Это даст дополнительное развитие отрасли ЦОД и ценный опыт работы с международными компаниями, что только повысит степень доверия к услугам ИТ-аутсорсинга. Также из-за  колебаний валютных курсов, ценовая политика российских ЦОД зачастую более привлекательна, чем в Европе или США, что подстегнет дополнительный спрос.

На данный момент около половины компаний еще не определились, как и где они будут размещать свою ИТ-инфраструктуру по причине сжатых сроков, отведенных на существенное изменение бизнес процессов, а также наличия открытых вопросов по применению нового закона. Первые месяцы работы в новых реалиях покажут, как будет контролироваться и трактоваться государством исполнение нового закона. Однако затягивать с принятием решения не стоит, надо вести активный поиск подходящего ЦОД, который уже имеет опыт работы по аналогичным проектам и может поделиться экспертизой в этом направлении.

Сергей Кондратьев, генеральный директор дата-центра Cloud DC Moscow

1 сентября 2015 года в силу вступает Федеральный закон Российской Федерации от 21 июля 2014 г. N 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». Перемены, связанные с законом, коснутся как иностранных компаний, работающих в России, так и российских компаний, которые размещают персональные данные за рубежом. Компании, которые сейчас пользуются услугами зарубежных дата-центров, просто на просто, поменяют поставщика IaaS-услуг[i]. Закон о переносе персональных данных был принят с учетом современных геополитических реалий, когда любая критически важная информация должна быть защищена. В частности, компании, которые занимаются интеллектуальными разработками, в данном случае получают гарантии защиты прав своей интеллектуальной собственности.

Для российских поставщиков подобных услуг эти изменения носят, безусловно, положительный характер. В целом, от притока новых клиентов выиграют все российские дата-центры, равно как и производители серверного и сетевого оборудования. Таким образом, этот закон даст новый импульс развитию российского ИТ-бизнеса и приведет к модернизации собственной ИТ-инфраструктуры, за которой потянутся другие важные отрасли, обеспечивающие информационную и технологическую безопасность нашей страны и стимулирующие развитие самых разнообразных предпринимательских инициатив.

Сам по себе протекционизм в ИТ-сфере – это распространённая мировая практика. Многие страны имеют аналогичные законы, обязывающие хранить персональные данные своих граждан на местных серверах. [ii] Цель нового закона – стимулировать бизнес строить собственные дата-центры, способные предотвратить технологическую зависимость России от западных стран и возможность искусственного сдерживания (вспомните, например, поправку Джексона-Вэника).

Несмотря на то что закон вступает в силу 1 сентября, у компаний еще будет время, чтобы до конца 2015 года разобраться во всех его тонкостях и выбрать правильного поставщика IaaS-услуг. В этой связи мы рекомендуем обратить особое внимание на наличие SLA (Service Level Agreement – договор об уровне оказываемого сервиса), надежность площадки, где вы планируете размещаться, детально изучить инженерную инфраструктуру вашего будущего дата-центра, чтобы избежать потери данных и перебоев в работе ваших ИТ-сервисов, а также проверить инфраструктуру поставщика IaaS-услуг на соответствие требований законов и регуляторов.

Владислав Елтовский, юрист международной юридической фирмы CMS Россия

Новые правила локализации персональных данных, вступившие в силу 1 сентября 2015 года, распространяются на все российские организации, представительства и филиалы иностранных юридических лиц, а также на иностранные организации, деятельность которых направлена на Россию. Иными словами, иностранные компании, предоставляющие свои товары и услуги гражданам Российской Федерации на территории России, формально попадают под действие новых норм и должны исполнять возложенные на них обязанности.

С юридической точки зрения такие организации будут являться правонарушителями и Роскомнадзор, в случае проведения проверки, вправе привлечь их к ответственности. В настоящее время каких-либо специальных норм, закрепляющих ответственность за нарушение правил локализации персональных данных, законодательством не предусмотрено, и действует ст. 13.11 КоАП РФ, устанавливающая санкции за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных. Штраф за это нарушение нельзя назвать большим, и для юридических лиц он составляет не более 10 000 рублей. Однако в Государственной Думе РФ уже рассматривается законопроект об изменении указанной статьи КоАП, в соответствии с которым штрафы должны быть значительно увеличены.

Другой мерой воздействия на нарушителей является возможность внесения доменных имен и сетевых адресов в Реестр нарушителей прав субъектов персональных данных. Закон 242-ФЗ предусматривает процедуру взаимодействия Роскомнадзора с провайдерами и владельцами информационных ресурсов, которая в сравнительно короткий срок позволяет заблокировать доступ к соответствующему ресурсу. Следует отметить, что Роскомнадзор вправе инициировать блокировку ресурсов и внесение сетевых адресов в Реестр только на основании вступившего в силу судебного решения.

В соответствии с неофициальными заявлениями Роскомнадзор не намерен активно преследовать организации за несоблюдение правил локализации в начальный период их действия. Однако, юридически, такая возможность существует.

Более того, до конца 2015 года у Роскомнадзора уже составлен план проверок, который является публичной информацией. Ожидается, что до конца этого года регулятор будет придерживаться плана и под контролем окажутся только включенные в этот перечень организации.

Многие крупные российские игроки ИТ-рынка до вступления в силу правил локализации выражали свою готовность и способность удовлетворить потребности рынка в связи с новыми требованиями и предлагали сотрудничество для адаптации ИТ-инфраструктуры компаний.

В случае блокировки соответствующие ресурсы будут не доступны для пользователей. Однако, как отмечалось выше, для блокировки необходимо вступившее в силу судебное решение, вынесение которого занимает значительное количество времени. Таким образом, владельцы соответствующих информационных ресурсов будут иметь определенное количество времени для принятия решения по устранению нарушений до непосредственно блокировки.

Толкование норм вступившего в силу закона, подтверждённое неофициальными разъяснениями регуляторов, не запрещает передачу данных за пределы России. Действительно, персональные данные смогут обрабатываться за рубежом, и законодатель не ставил перед собой задачи полностью изолировать персональные данные россиян. Основной целью закона является обеспечение хранения и актуализации данных в России, а не на иностранных серверах.

Достижение поставленных перед законом целей зависит от развития и направления правоприменительной практики и соблюдения требований операторами. На текущий момент закон скорее вызывает отрицательную реакцию, связанную с неясностью и расплывчатостью юридических норм, а также с нежеланием контролирующих органов предоставить официальные разъяснения по возникающим вопросам. В случае появления четких ориентиров, общее «настроение» бизнес-сообщества может измениться, и требования закона будут исполняться в добровольном порядке.