Что означает пресловутый закон «о переносе серверов»

23 Января 2015
Если облака для вас
не просто теория
Широкий спектр услуг
по выделенным северам
и мультиклауд-решениям
Конфигурация VPS и бесплатный тест уже через 2 минуты
Организация вашей IT-инфраструктуры на основе мультиклауд-решения
Последнее время по рынку ходило много слухов и домыслов, связанных с так называемым «законом о переносе серверов». Попробуем разобраться с юридической стороной дела и тем, что это действительно означает.

Краткое резюме

  • Если Ваш сайт является корпоративным «сайтом-визиткой», который никакие персональные данные не собирает, а только призывает пользователей Вам написать или позвонить, то этот закон не имеет к Вам отношения
  • Если пользователю вашего Интернет-ресурса хотя бы даже предлагается подписаться на емэйл-рассылку, то собираемые сведения являются «персональными данными», вы – считаетесь «оператором» персональных данных, и обязаны с 01 сентября 2015 года обеспечить их обработку на территории РФ

Нарушителей ждет включение в «черный список» Роскомнадзора, а также другие виды ответственности вплоть до уголовной.

Что надо делать?

  • Наилучший вариант – до 01 сентября организовать обработку персональных данных на территории РФ и исключить зарубежные сервисы. Это избавляет Вас от всех возможных проблем.
  • Наименьший вариант (но весьма рискованный) – до этого срока организовать копирование персональных данных к себе на сервер в РФ и использовать для защиты то, что в Законе не требуется «исключительности» хранения этих данных в РФ (см. об этом ниже)
  • И конечно, если вы совсем ничего не сделаете и продолжите пользоваться иностранными сервисами для обработки персональных данных, вы гарантированно нарушаете указанные законы.

Подробное разъяснение

(предупреждаем, здесь куча юридических определений, отсылок к законам и статьям в них)

Вкратце ситуация такова:

  • Есть Федеральный закон 152-ФЗ «О персональных данных», принят в далеком 2006 году. Основное, что там нас интересует – это «что такое персональные данные» и кто такой «оператор» персональных данных
Другими федеральными законами в этот закон вносятся изменения, в частности:

  • Федеральный закон от 21.07.2014 № 242-ФЗ требует обеспечить обработку персональных граждан РФ на территории РФ
  • Федеральный закон от 31.12.2014 № 526-ФЗ переносит срок вступления в силу закона 242-ФЗ на 01 сентября 2015 года (ранее была установлена дата 01 сентября 2016 года)

Попробуем разобраться, что это значит для владельцев серверов или различных сервисов и сайтов, использующих для своей деятельности иностранные ресурсы.

Разберемся, что такое «персональные данные».

Определение данного термина дано в статье 3 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 04.06.2014) «О персональных данных».

В частности в пункте 1 указанной статьи определено, что персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Существует широко распространенное заблуждение, о том, что если какие-то данные не позволяют идентифицировать определенное лицо, то такие данные не являются «персональными» и к данному закону отношения не имеют.

В особенности это заблуждение широко распространено среди владельцев различного рода инфобизнесов, собирающих у себя на сайте данные для емэйл-рассылок, как правило, это пары «имя+емэйл». Емэйл-маркетинг является весьма эффективным инструментом и пользуются им десятки тысяч сайтов, причем зачастую – с использованием зарубежных сервисов емэйл-рассылок – таких как MailChimp, Aweber, GetResponse и прочих.

Однако если мы просто вчитаемся в определение из закона, то нетрудно прийти к выводу, что определенно, емэйл человека или его имя безусловно «относятся прямо или косвенно к определенному лицу» - ведь это имя и емэйл определенного лица.

В этом же законе дается определение того, кто является «оператором» персональных данных. согласно пункту 2) статьи 3 указанного закона:

«оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными»

Это определение также «выбивает из-под ног» такой способ защиты как попытку признать владельца сайта, использующего зарубежный сервис емэйл-рассылки «не-оператором». Часто высказывают мнение, что владелец сайта не является оператором, поскольку ничего не обрабатывает, а все делает за него, скажем, MailChimp. Увы, ведь владелец сайта как минимум определяет цели обработки персональных данных и их состав (ведь не сам же MailChimp решил за владельца сайта, что за данные он будет собирать, и что будем им рассылать), поэтому является «оператором».

Федеральный закон от 21.07.2014 N 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» требует хранить персональные данные россиян в России. А именно, в статье 2 Закона определено следующее дополнение статьи 18 исходного закона 152-ФЗ:

«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона»

Сразу скажем, что ничего полезного, что помогло бы избежать исполнения Закона в указанных исключениях - в пунктах 2, 3, 4, 8 части 1 статьи 6 закона 152-ФЗ – нет.

Единственной просматриваемой «лазейкой» (очень слабой), которая может хотя бы потенциально быть использована для защиты, в случае, если владелец сайта продолжит использовать зарубежные сервисы, является упоминание того, что эти операции должны осуществляться «с использованием баз данных, находящихся на территории Российской Федерации», а не ИСКЛЮЧИТЕЛЬНО на территории Российской Федерации. Иными словами, если владелец сайта регулярно копирует на свой сервер на территории РФ список собранных емэйл-адресов, то он может утверждать, что он осуществляет указанную деятельность С ИСПОЛЬЗОВАНИЕМ баз данных на территории РФ, хотя и НЕ ИСКЛЮЧИТЕЛЬНО таких. А запрет на «трансграничную передачу» – это тоже понятие из закона 152-ФЗ – нигде не установлен.

Важным моментом здесь является то, что мы заранее не знаем, какое именно намерение вкладывалось законодателем в этот закон – ограничить обработку персональных данных территорией РФ, или иметь возможность получить доступ к этим данным на территории РФ (например, для целей розыскных мероприятий), – и этим может объясняться тот факт, что в законе явно не прописана необходимость обрабатывать персональные данные исключительно на территории РФ и за рубеж их не передавать.

И наконец Федеральный закон от 31.12.2014 № 526-ФЗ переносит (приближает) срок вступления в силу закона 242-ФЗ на 01 сентября 2015 года.

Вероятно, ближе к сроку вступления в действия закона, мы увидим какие-то дополнительные разъяснения от законодателей или Роскомнадзора. Пока же наиболее разумным кажется действительно к 1 сентября 2015 года исключить обработку персональных данных зарубежными сервисами, чтобы избежать претензий правоохранительных органов.

Также очень важным моментом является то, какие последствия наступят за неисполнение закона. Закон предоставляет Роскомнадзору полномочия требовать от операторов связи ограничения доступа к интернет-ресурсам, которые не гарантируют хранения персональных данных внутри страны. А это, пожалуй, даже пострашнее иной административной ответственности.

Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут:  гражданскую, уголовную (см. Уголовный кодекс Российской Федерации, ст.137, 140, 155, 183, 272, 273, 274, 292, 293), административную (см. Кодекс Российской Федерации об административных правонарушениях, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2) и дисциплинарную (см. Трудовой кодекс Российской Федерации, ст.81; ст.90; ст.195; ст.237; ст.391) ответственность соответственно тяжести совершенного правонарушения.
Получить консультацию специалиста