Являясь членом Консультативного совета РКН по защите прав субъектов персональных данных, решил высказаться по поводу принятого в первом чтении законопроекта о запрете хранения ПДн россиян заграницей. Посему написал в РКН письмо такого содержания:
"Как член Консультативного совета РКН по защите прав субъектов персональных данных решил высказать свою позицию по законопроекту о запрете хранения персональных данных российских граждан заграницей. Я считаю, что вопрос защиты прав субъектов ПДн очень важен, но в формулировке, принятой в первом чтении, законопроект несет с собой ряд серьезных подводных камней, которые могут повлечь за собой очень серьезные последствия как для российской экономики, так и для рядовых граждан. Я не имею ввиду не только и не столько рост затрат хозяйствующих субъектов, вынужденных создавать специально для РФ отдельные центры обработки и хранения персональных данных. И я не имею ввиду снижение инвестиционной привлекательности России для иностранных компаний. Речь о другом.
В частности, текущая формулировка нарушает права граждан по свободу перемещения, определенную в Конституции РФ. Например, немалое количество российских граждан привыкло отдыхать заграницей для чего они бронируют гостиницы, автомобили, авиа- и ж/д билеты. Информация о такой брони хранится не в России и хранится у нас не может, т.к. иностранные компании просто не знают о требованиях российского законодательства о защите прав субъектов Пдн. Но даже если они и узнают об этом, то врядли стоит ожидать, что какой-нибудь небольшой зарубежный отель будет переносить часть своей базы данных в Россию для хранения ПДн россиян. И, наконец, некоторые услуги в принципе не могут работать без хранения данных за пределами РФ. Например, система бронирования авиабилетов SABRE, услугами которой пользуются все авиакомпании мира, включая и наш Аэрофлот, требует, чтобы доступ к хранимым в ней данным о авиапассажирах был обеспечен и для всех иностранных компаний. А разделить персональные данные по их государственной принадлежности невозможно, т.к. при заказе авиабилетов данные о гражданстве не указываются. При этом эта проблема возникнет не только для рядовых граждан, но и для госслужащих и депутатов, которые выезжают в другие государства по служебной необходимости.
Другие примеры, которые могут прекратить свое существование в случае принятия законопроекта в текущем виде, – лечение за рубежом, заказ товаров в иностранных Интернет-магазинах, отправка детей в зарубежные детские лагеря или учебные заведения, зарубежные почтовые отправления, зарубежные системы переводов электронных и обычных денежных средств, регистрация Интернет-сайтов, участие в международных и заграничных мероприятиях и т.п. По сути под запретом окажется и электронная почта, т.к. в рамках e-mail передаются персональные данные (например, в заголовке или подписи сообщения e-mail) и они обязаны хранится на принимающей или отправляющей стороне, которая может быть за пределами РФ. Будут поставлены под сомнения и облачные услуги, о важности которых говорят в последнее время и регулированием которых сейчас занимается Правительство РФ. В условиях запрета хранения ПДн россиян за границей, облачные вычисления потеряют смысл. Также ПДн россиян часто раскрываются у публичных компаний, торгующихся на международных площадках (Вымпелком, МТС и т.п.). Обработка и хранение ПДн российских официальных лиц в рамках различных международных мероприятий также станет под запретом. Наконец, непонятно, что делать с ПДн субъектов с двойным гражданством.
Поэтому, как член Консультативного совета РКН по защите прав субъектов персональных данных, понимая и разделяя всю важность поднятой темы, я предлагаю внести в законопроект следующие изменения:
Жду реакции...
"Как член Консультативного совета РКН по защите прав субъектов персональных данных решил высказать свою позицию по законопроекту о запрете хранения персональных данных российских граждан заграницей. Я считаю, что вопрос защиты прав субъектов ПДн очень важен, но в формулировке, принятой в первом чтении, законопроект несет с собой ряд серьезных подводных камней, которые могут повлечь за собой очень серьезные последствия как для российской экономики, так и для рядовых граждан. Я не имею ввиду не только и не столько рост затрат хозяйствующих субъектов, вынужденных создавать специально для РФ отдельные центры обработки и хранения персональных данных. И я не имею ввиду снижение инвестиционной привлекательности России для иностранных компаний. Речь о другом.
В частности, текущая формулировка нарушает права граждан по свободу перемещения, определенную в Конституции РФ. Например, немалое количество российских граждан привыкло отдыхать заграницей для чего они бронируют гостиницы, автомобили, авиа- и ж/д билеты. Информация о такой брони хранится не в России и хранится у нас не может, т.к. иностранные компании просто не знают о требованиях российского законодательства о защите прав субъектов Пдн. Но даже если они и узнают об этом, то врядли стоит ожидать, что какой-нибудь небольшой зарубежный отель будет переносить часть своей базы данных в Россию для хранения ПДн россиян. И, наконец, некоторые услуги в принципе не могут работать без хранения данных за пределами РФ. Например, система бронирования авиабилетов SABRE, услугами которой пользуются все авиакомпании мира, включая и наш Аэрофлот, требует, чтобы доступ к хранимым в ней данным о авиапассажирах был обеспечен и для всех иностранных компаний. А разделить персональные данные по их государственной принадлежности невозможно, т.к. при заказе авиабилетов данные о гражданстве не указываются. При этом эта проблема возникнет не только для рядовых граждан, но и для госслужащих и депутатов, которые выезжают в другие государства по служебной необходимости.
Другие примеры, которые могут прекратить свое существование в случае принятия законопроекта в текущем виде, – лечение за рубежом, заказ товаров в иностранных Интернет-магазинах, отправка детей в зарубежные детские лагеря или учебные заведения, зарубежные почтовые отправления, зарубежные системы переводов электронных и обычных денежных средств, регистрация Интернет-сайтов, участие в международных и заграничных мероприятиях и т.п. По сути под запретом окажется и электронная почта, т.к. в рамках e-mail передаются персональные данные (например, в заголовке или подписи сообщения e-mail) и они обязаны хранится на принимающей или отправляющей стороне, которая может быть за пределами РФ. Будут поставлены под сомнения и облачные услуги, о важности которых говорят в последнее время и регулированием которых сейчас занимается Правительство РФ. В условиях запрета хранения ПДн россиян за границей, облачные вычисления потеряют смысл. Также ПДн россиян часто раскрываются у публичных компаний, торгующихся на международных площадках (Вымпелком, МТС и т.п.). Обработка и хранение ПДн российских официальных лиц в рамках различных международных мероприятий также станет под запретом. Наконец, непонятно, что делать с ПДн субъектов с двойным гражданством.
Поэтому, как член Консультативного совета РКН по защите прав субъектов персональных данных, понимая и разделяя всю важность поднятой темы, я предлагаю внести в законопроект следующие изменения:
- Запретить хранение ПДн за пределами РФ только операторам, обрабатывающим персональные данные для целей предоставления государственных и муниципальных услуг, являющимися федеральными органами исполнительной власти, органами государственных внебюджетных фондов, исполнительными органами государственной власти субъектов Российской Федерации и органами местного самоуправления, осуществляющими исполнительно-распорядительные полномочия.
- Разрешить любому оператору, за исключением указанных в предложении №1, хранить ПДн россиян за пределами в РФ без ограничений (но с обязательным выполнением требования законопроекта об уведомлении РКН), но только в странах, обеспечивающих адекватную защиту прав субъектов ПДн.
- В случае необходимости обработки ПДн (за исключением операторов, указанных в предложении №1) за пределами стран, обеспечивающих адекватную защиту прав субъектов, делать это на основании согласия субъекта ПДн, данного в любой форме, позволяющей удостовериться в даче такого согласия.
- Разрешить хранение за пределами РФ общедоступных ПДн россиян.
Жду реакции...
17 коммент.:
Алексей, мне кажется, что страхи немного преувеличены. Обязывая оператора обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ, в БД, расположенных на территории РФ, законодатель не отменяет возможности трансграничной передачи ПДн. Как это влияет? Возьмем приведенный пример с Аэрофлотом. В данном случае оператором является именно Аэрофлот и он, как оператор, обязан держать БД на территории РФ. А уж потом он будет осуществлять трансграничную передачу ПДн из своей БД и бронировать билеты в SABRE. Ну а если кто-то самолично хочет заказать номер в маленьком отеле заграницей, то он в частном порядке обращается к зарубежному оператору и в данном случае здесь нет юрисдикции нашего закона. Кстати, та же ситуация и с платежными пластиковыми картами. Но эта проблема решается в рамках закона о НПС, который требует размещение процессингового центра на территории РФ или внесения определенной суммы в обеспечение страхования операций.
Так-же придерживаюсь мнения что российским операторам лучше обрабатывать ПДн на территории России - меньше шансов что из-за санкций пострадают субъекты ПДн, да и передавать ПДн АНБ лишний раз незачем.
А некоторые специфические ситуации лучше прорабатывать отраслевым ассоциациям (ассоциации электронной торговли) и от их имени вносить поправки в ФЗ или другие документы
Под предлогом защиты наших граждан от некоего мифического вреда, который может быть нанесен путем размещения их ПДн за рубежом (как бы про то, что большая часть граждан и так уже отдала свои ПДн во все возможные соцсети вполне добровольно и не чувствует из-за этого никакого дискомфорта, мы сейчас забудем?) наши законодатели наносят вполне реальный вред, ограничивая возможности граждан пользоваться различными заграничными сервисами и услугами. Зато крымнаш, бл...
Сергей Викторович: насчет Аэрофлота пример некорректен, т.к. Аэрофлот заказывает билеты через GDS SABRE, которая хостится не в России и данные хранятся не здесь, а там. И когда я возвращаюсь из какой-нибудь Европы, то проверять, выписан ли на меня билет, на стойке лезут не в Аэрофлот, а в тот же SABRE.
А что касается небольшой зарубежной гостиницы, то это ваше мнение. А РКН считает, что зарубежная гостиница ОБЯЗАНА соблюдать российский закон. И если она соблюдать его не будет, то доступ к ее сайту прикроют.
Помимо процессинга и НПС, есть еще куча ситуаций, когда я плачу в иностранном Интернет-магазине и пользуется он не российским процессингом. Я уже молчу про тот факт, что у меня и карта может быть выдана не российским банком.
Сергей Борисов: отраслевые ассоциации, а их представители входят в КС РКН (те же туроператоры) не будут ссориться с регулятором. Их как обычно все устраивает. Как и большинство граждан нашей необъятной Родины. А учитывая, что всего 3% россиян ездит за границу, Интернет-торговлю зажали, а МПС прикроют, то проблемы с хранением ПДн за пределами РФ и вовсе скоро не будут никого волновать. Зато Крым наш!
Алексей, не могу согласиться по поводу корректности примера с Аэрофлотом. Ситуация такя. Я имею дело с Аэрофлотом, Аэрофлот имеет отношение с SABRE. Здесь два разных процесса. Аэрофлот обязан выполнять законы РФ и иметь БД пассажиров, а то, что он отправлет сведения из нее в SABRE, так это и есть трансграничная передача, что не запрещено законом. НУ, а по поводу мнения РКН - это особый случай. Это мнение надо правильно формировать и Вы знаете, что это возможно....
Тоже кажется, что не все так однобоко, как подано.
Для начала нужно ответить на вопросы:
1) Является ли зарубежная организация оператором в соответствии с определением и областью действия 152-ФЗ? Действие ФЗ распространяются на организации, юр и физ лиц, зарегистрированных, находящихся и т.д. по контексту на территории РФ. Если контора зарегистрирована и расположена, скажем, в Германии, то она соблюдает законы Германии, ЕС, но не РФ и мнение РКН тут не при чем.
2. Что работает в случае прямой передачи ПДн от субъекта к зарубежной организации? 152-ФЗ? Да вроде как нет там такого. Там есть трансграничная передача от оператора, но не сразу от субъекта. Так что вообще вне его действия и сразу уходит на соблюдение законодательства той страны, где работает зарубежная контора.
Можно привести ссылку на требования законодательства, которыми руководствуется РКН при требовании выполнения наших ФЗ зарубежной частной гостиницей?
3. А если субъект взаимодействует как-то с нашим оператором, но данные передаются зарубеж? Вот тут уже работает и 152-ФЗ и эти поправки. Рассматривая Аэрофлот получаем, что по сути сейчас Аэрофлоту нужны наши данные для предоставления услуг и пока, если ссылаться на доводы Алексея, они даже не берут данные напрямую, а пересылают клиента к зарубежной системе, а потом сами из нее берут данные. Тут сразу множество других сложностей и нарушений, кроме обработки данных зарубежом возникает, если уж так. На конференциях представители Аэрофлота улыбались и уходили от ответа. Но не суть, продолжу про поправки и новые требования. Если посмотреть здраво, то Аэрофлот теперь будет должен:
- собирать данные сам и непосредственно от субъекта (это логично, что тут такого?)
- формировать и вести свою БД, где обрабатывал бы эти данные (тоже пока неплохо);
- в случае необходимости передачи данных во внешнюю систему, расположенную зарубежом, выполнить соответствующие требования ФЗ о трансграничной передачи (логично, нет?)
Поправки говорят о том, что если ты оператор, то будь добр формировать сначала БД у себя, чтобы контролировать обработку данных и передачу их зарубеж, а также, естественно, отвечать за это все. иначе получается как сейчас - можно форварднуть сразу поток в Зимбабве, а потом разводить руками и говорить, что мы же не сами обрабатываем, субъект конклюдентно туда шлет свои паспортные данные, отпечатки и фото котиков.
Так что, тонкости, конечно, есть, как и всегда у нас с законодательством, раз его трактуют опять и понимают кто во что горазд, но и не стоит сгущать тучи - в этом тут с Сергеем Викторовичем согласен.
Господа, можно долго высказывать свои мнения, но мнение РКН при проверках будет первично. И блокировать доступ к сайтам во внесудебном порядке они будут опираясь на свое мнение. И они всегда считали иностранные юрлица, обрабатывающие ПДн россиян, подпадающих под ФЗ-152.
А с уходом Шередина ситуация стала гораздо хуже
Она стала не хуже, но тягомотнее. А то, что спецов из РКН самих надо учить, то это - факт.
Радует только одно. Вступает в силу с 1 сентября 2016. Думаю до этого времени осознают ошибку и переделают. так уже не раз бывало!
Уважаемый Dan, странно что вы меня называете наивным, а сами верите в свой бред. Легкий доступ к пдн граждан уже давно имеется. Не хочу вас пугать, но государство уже давно имеет такую возможность. А что такое говнорашка? Как вам там живется? Сами уже воняете, да? Я живу в России, мне хорошо.
Экстремистские высказывания буду удалять!
Полностью согласен с тем, что как бы все вокруг ни толковали этот закон, РКН будет поступать так, как считает верным именно он!
А насчет формирования мнения РКН, то это из разряда содать себе трудности и затем мужественно их преодолевать. Зачем это? Может, лучше потратить время на добрые и полезные дела, чем сражаться с мнением РКН? Зачем нужен закон, если к нему еще и "толмача" для для работы с РКН надо прикладывать?
В конце концов, я взорслый человек, владелец своих ПДн,сам в состоянии решить, что мне и где хранить. Мне "заботливые" няньки не нужны.
А о том, как у нас трактуются принятые законы, далеко ходить не надо, достаточно вспомнить последнюю инициативу г-на Ходякова от ЛДПР, который ссылаясь на закон "О защите детей от информации, причиняющей вред их здоровью и развитию" и разглядев на сторублёве интимные места у Апполона, предложил либо дизайн банкноты поменять, либо все купюры проштамповать "18+". Тут впору возмутиться бы, чем этот законотворческий муж на деньги налогоплатильщиков занимается, да вот только формально и не подкопаешься - есть действующий закон, а он его букву блюдёд!
Теперь еще одним чудным законом стало больше...
Еще раз убеждаюсь в истинности аксиомы Коула: Разум есть величина постоянная, в то время, как население Земли растет.
Алексей, доброго времени суток. А Вам из РКН ответа никакого не пришло на Ваше письмо? 30 дней с момента написания письма прошло...
Отправить комментарий