ИТ-компании между молотом и наковальней
Законодательство Европейского союза (ЕС) о защите персональных данных может вступить в коллизию с действующими российскими законами. При этом под удар попадут международные компании, работающие в обеих юрисдикциях.
Об этом рассказал вчера старший научный сотрудник НИУ "Высшая школа экономика", юрисконсульт "IBM Россия/СНГ" Александр Савельев на конференции "Кибер-риски. Определение. Управление", организованной компанией Marsh в партнерстве с AIG.
По его словам, ограничения на работу с персональными данными, которые можно было бы использовать в политических целях, существовали в России и до нашумевших "закона о блогерах" (ФЗ-97) и "закона о хранении персональных данных" (ФЗ-242). Так, Федеральный закон №152 с самого момента его принятия в 2006 г. устанавливал ограничения на трансграничную передачу персональных данных в "ненадежные страны", к числу которых относятся, например, Соединенные Штаты Америки, отметил Савельев.
"Россия не создавала все эти нашумевшие законы с нуля - такой же тренд имеет место и в Европе", - подчеркнул он. В частности, в 2006 г. на территории ЕС была принята схожая с "законом о блогерах" Директива о хранении данных (EU Data Retention Directive 2006/24/EC), имплементированная в национальные законодательства стран - членов Евросоюза. Там также существуют ограничения на трансграничную передачу данных, оформленные Директивой о защите данных (EU Directive on Data Protection 95/46/EC). "Здесь "неадекватной" страной является уже Россия - в нее нельзя передавать персональные данные в отсутствие специальных оснований", - заметил Александр Савельев.
"Что же касается локализации, то можно говорить о том, что сейчас вокруг Евросоюза пытаются построить своего рода стену в связи с рассмотрением нового проекта Общеевропейского регламента о персональных данных (EU General Data Protection Regulation), который призван прийти на смену Директивы 95/46/EC и унифицировать все законодательство в пределах ЕС по вопросам персональных данных", - продолжил юрист. По его словам, положения документа устанавливают очень высокие стандарты защиты персональных данных, тем самым создавая повышенные требования для всех иных стран в случае передачи в них персональных данных. Также усиливается экстерриториальное действие. Проект предлагает распространить действие регламента и на иностранных операторов персональных данных, не имеющих присутствия в Евросоюзе, если они собирают данные европейских пользователей или осуществляют иную направленную деятельность на территории одной из стран ЕС.
"В связи с тем что в Европе имеет место широкое понятие персональных данных (это может быть, при определенных условиях, и IP-адрес, и номер мобильного телефона, и адрес электронной почты), европейское законодательство может применяться к российской компании, которая допускает возможность использования ее сервисов европейскими пользователями и в результате получает от них определенные данные", - подчеркнул Александр Савельев. Если не обеспечить предварительное тщательное обезличивание такой информации, действия могут квалифицироваться как обработка персональных данных граждан ЕС и попасть под действие европейского регламента. "В нем также предусматриваются большие штрафы: по одному варианту, это до 1 млн евро и 2% годового оборота, по другому - до 5 млн евро и 5% годового оборота. Но в любом случае – немало, гораздо больше, чем по российскому законодательству", - объяснил он.
По словам Савельева, из-за трансграничной природы Интернета для его участников возникает необходимость одновременно соблюдать законы разных стран. "Они зачастую несовместимы между собой, как это имеет место в случае с законодательством Европы - что в нынешнем варианте, что в том, который будет принят, возможно, уже к концу этого года, - и российским законом о персональных данных", - разъясняет юрисконсульт IBM.
Если российский правоохранительный орган в рамках своей компетенции (например, того же ФЗ-97 "О блогерах") потребует предоставить персональные данные европейского субъекта, их предоставление будет нарушать европейское законодательство - в ЕС требование иностранного компетентного органа не является основанием для законной обработки персональных данных, приводит пример Александр Савельев. Аналогичная ситуация может возникнуть и в России.
В беседе с ComNews Савельев пояснил, что подобные коллизии - специфика не только российского законодательства. "То же самое с законодательством США и Европы: они также нередко входят в клинч между собой. В качестве компромисса было заключено особое соглашение между США и ЕС (Safe Harbor), однако и оно не решило всех проблем", - рассказал он.
Поскольку в силу ограниченности ресурсов проверяющих органов как в ЕС, так и в РФ невозможны тотальные проверки всех операторов персональных данных, основную опасность юрист видит в избирательном правоприменении и "показательных порках" отдельных игроков рынка. "С учетом нынешней геополитической ситуации есть риск, что в "расстрельном списке" могут оказаться отдельные иностранные компании", - констатирует Александр Савельев.
В то же время консультант по безопасности компании Cisco Алексей Лукацкий не видит конфликта между законодательством о персональных данных Российской Федерации и ЕС. "Учитывая, что Россия ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, наши нынешние законы очень похожи", - заявил он репортеру ComNews.
Новое европейское законодательство еще не принято, но если оно вступит в силу, РФ будет обязана привести свои нормативно-правовые акты в соответствие с ним, объяснил представитель Cisco. "Если Россия не выйдет из Совета Европы, мы это сделаем", - заключил Алексей Лукацкий.
Интересно, что именно вчера глава Роскомнадзора Александр Жаров в беседе с ТАСС обвинил американский сервис микроблогов Twitter в том, что тот не выполняет требования российского законодательства. "Судя по приведенной в их официальном отчете статистике, социальная сеть в 2014 г. удовлетворила почти 3000 запросов правительства США о раскрытии личной информации пользователей, - подчеркнул Жаров. - Из 108 запросов на раскрытие данных о посещаемости аккаунтов популярных пользователей, направленных администрации социальной сети Роскомнадзором, не удовлетворен ни один".
"У Роскомнадзора возникает закономерный вопрос о приемлемости такой позиции для компании, которая осуществляет свою деятельность на территории РФ", - отметил Александр Жаров. Чиновник добавил, что в ближайшее время ведомство направит администрации социальной сети официальный запрос, чтобы разъяснить позицию Twitter.
Как ранее сообщал ComNews, в 2014 г. российский парламент принял несколько законов, направленных на регулирование Интернета (см. колонку ComNews от 29 декабря 2014 г.). 1 февраля вступил в силу "закон Лугового", позволяющий Роскомнадзору без суда блокировать сайты за распространение призывов к массовым беспорядкам и другой экстремистской информации. С 1 августа заработал "закон о блогерах", который установил особые требования для сайтов с суточной аудиторией более 3000 пользователей, приблизив их к средствам массовой информации.
В июле в спешном порядке был принят закон, согласно которому персональные данные россиян должны храниться и обрабатываться только на территории РФ. Изначально датой вступления в силу этого правового акта было 1 сентября 2016 г. Затем депутаты Госдумы попытались изменить ее на 1 января 2015 г., но за пару недель до наступления Нового года решили, что закон должен заработать с 1 сентября 2015 г.
Об этом рассказал вчера старший научный сотрудник НИУ "Высшая школа экономика", юрисконсульт "IBM Россия/СНГ" Александр Савельев на конференции "Кибер-риски. Определение. Управление", организованной компанией Marsh в партнерстве с AIG.
По его словам, ограничения на работу с персональными данными, которые можно было бы использовать в политических целях, существовали в России и до нашумевших "закона о блогерах" (ФЗ-97) и "закона о хранении персональных данных" (ФЗ-242). Так, Федеральный закон №152 с самого момента его принятия в 2006 г. устанавливал ограничения на трансграничную передачу персональных данных в "ненадежные страны", к числу которых относятся, например, Соединенные Штаты Америки, отметил Савельев.
"Россия не создавала все эти нашумевшие законы с нуля - такой же тренд имеет место и в Европе", - подчеркнул он. В частности, в 2006 г. на территории ЕС была принята схожая с "законом о блогерах" Директива о хранении данных (EU Data Retention Directive 2006/24/EC), имплементированная в национальные законодательства стран - членов Евросоюза. Там также существуют ограничения на трансграничную передачу данных, оформленные Директивой о защите данных (EU Directive on Data Protection 95/46/EC). "Здесь "неадекватной" страной является уже Россия - в нее нельзя передавать персональные данные в отсутствие специальных оснований", - заметил Александр Савельев.
"Что же касается локализации, то можно говорить о том, что сейчас вокруг Евросоюза пытаются построить своего рода стену в связи с рассмотрением нового проекта Общеевропейского регламента о персональных данных (EU General Data Protection Regulation), который призван прийти на смену Директивы 95/46/EC и унифицировать все законодательство в пределах ЕС по вопросам персональных данных", - продолжил юрист. По его словам, положения документа устанавливают очень высокие стандарты защиты персональных данных, тем самым создавая повышенные требования для всех иных стран в случае передачи в них персональных данных. Также усиливается экстерриториальное действие. Проект предлагает распространить действие регламента и на иностранных операторов персональных данных, не имеющих присутствия в Евросоюзе, если они собирают данные европейских пользователей или осуществляют иную направленную деятельность на территории одной из стран ЕС.
"В связи с тем что в Европе имеет место широкое понятие персональных данных (это может быть, при определенных условиях, и IP-адрес, и номер мобильного телефона, и адрес электронной почты), европейское законодательство может применяться к российской компании, которая допускает возможность использования ее сервисов европейскими пользователями и в результате получает от них определенные данные", - подчеркнул Александр Савельев. Если не обеспечить предварительное тщательное обезличивание такой информации, действия могут квалифицироваться как обработка персональных данных граждан ЕС и попасть под действие европейского регламента. "В нем также предусматриваются большие штрафы: по одному варианту, это до 1 млн евро и 2% годового оборота, по другому - до 5 млн евро и 5% годового оборота. Но в любом случае – немало, гораздо больше, чем по российскому законодательству", - объяснил он.
По словам Савельева, из-за трансграничной природы Интернета для его участников возникает необходимость одновременно соблюдать законы разных стран. "Они зачастую несовместимы между собой, как это имеет место в случае с законодательством Европы - что в нынешнем варианте, что в том, который будет принят, возможно, уже к концу этого года, - и российским законом о персональных данных", - разъясняет юрисконсульт IBM.
Если российский правоохранительный орган в рамках своей компетенции (например, того же ФЗ-97 "О блогерах") потребует предоставить персональные данные европейского субъекта, их предоставление будет нарушать европейское законодательство - в ЕС требование иностранного компетентного органа не является основанием для законной обработки персональных данных, приводит пример Александр Савельев. Аналогичная ситуация может возникнуть и в России.
В беседе с ComNews Савельев пояснил, что подобные коллизии - специфика не только российского законодательства. "То же самое с законодательством США и Европы: они также нередко входят в клинч между собой. В качестве компромисса было заключено особое соглашение между США и ЕС (Safe Harbor), однако и оно не решило всех проблем", - рассказал он.
Поскольку в силу ограниченности ресурсов проверяющих органов как в ЕС, так и в РФ невозможны тотальные проверки всех операторов персональных данных, основную опасность юрист видит в избирательном правоприменении и "показательных порках" отдельных игроков рынка. "С учетом нынешней геополитической ситуации есть риск, что в "расстрельном списке" могут оказаться отдельные иностранные компании", - констатирует Александр Савельев.
В то же время консультант по безопасности компании Cisco Алексей Лукацкий не видит конфликта между законодательством о персональных данных Российской Федерации и ЕС. "Учитывая, что Россия ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, наши нынешние законы очень похожи", - заявил он репортеру ComNews.
Новое европейское законодательство еще не принято, но если оно вступит в силу, РФ будет обязана привести свои нормативно-правовые акты в соответствие с ним, объяснил представитель Cisco. "Если Россия не выйдет из Совета Европы, мы это сделаем", - заключил Алексей Лукацкий.
Интересно, что именно вчера глава Роскомнадзора Александр Жаров в беседе с ТАСС обвинил американский сервис микроблогов Twitter в том, что тот не выполняет требования российского законодательства. "Судя по приведенной в их официальном отчете статистике, социальная сеть в 2014 г. удовлетворила почти 3000 запросов правительства США о раскрытии личной информации пользователей, - подчеркнул Жаров. - Из 108 запросов на раскрытие данных о посещаемости аккаунтов популярных пользователей, направленных администрации социальной сети Роскомнадзором, не удовлетворен ни один".
"У Роскомнадзора возникает закономерный вопрос о приемлемости такой позиции для компании, которая осуществляет свою деятельность на территории РФ", - отметил Александр Жаров. Чиновник добавил, что в ближайшее время ведомство направит администрации социальной сети официальный запрос, чтобы разъяснить позицию Twitter.
Как ранее сообщал ComNews, в 2014 г. российский парламент принял несколько законов, направленных на регулирование Интернета (см. колонку ComNews от 29 декабря 2014 г.). 1 февраля вступил в силу "закон Лугового", позволяющий Роскомнадзору без суда блокировать сайты за распространение призывов к массовым беспорядкам и другой экстремистской информации. С 1 августа заработал "закон о блогерах", который установил особые требования для сайтов с суточной аудиторией более 3000 пользователей, приблизив их к средствам массовой информации.
В июле в спешном порядке был принят закон, согласно которому персональные данные россиян должны храниться и обрабатываться только на территории РФ. Изначально датой вступления в силу этого правового акта было 1 сентября 2016 г. Затем депутаты Госдумы попытались изменить ее на 1 января 2015 г., но за пару недель до наступления Нового года решили, что закон должен заработать с 1 сентября 2015 г.
Ещё новости по теме:
18:20