«Исполнить невозможно»
Хранить персональные данные россиян в России требует принятый в июле закон № 242 «О внесении изменений в отдельные законодательные акты РФ в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (известен как закон о персональных данных). Он устанавливает срок переноса серверов с данными на сентябрь 2016 года. Но депутаты хотят перенести вступление закона в силу на 1 января 2015 года: такую поправку они приняли во втором чтении в Госдуме в конце сентября. Впрочем, источники РБК, близкие к думскому руководству, утверждают, что с тех пор было решено отложить законопроект на неопределенный срок.
В распоряжении РБК оказался проект письма президенту Владимиру Путину от интернет-омбудсмена Дмитрия Мариничева, содержащего жалобу бизнес-сообщества. С ней к омбудсмену 6 октября обратились исполнительный директор Ассоциации компаний розничной торговли (АКОРТ) Андрей Карпов, исполнительный директор Ассоциации компаний интернет-торговли (АКИТ) Виталий Жигулин, президент Ассоциации предприятий компьютерных и информационных технологий (РАТЭК) Александр Онищук, исполнительный директор некоммерческого партнерства производителей фирменных торговых марок «Русбренд» Алексей Поповичев.
Дмитрий Мариничев, представители АКИТ и РАТЭК подтвердили РБК, что бизнесмены согласовали свои поправки в закон о персональных данных.
Члены ассоциаций утверждают, что закон № 242 «затрагивает деятельность практически всех российских и зарубежных компаний» – банков, страховых и авиационных компаний, предприятий розничной торговли, сервисов международной связи, почтовой пересылки, бронирования гостиниц и т.д. На приведение своих процессов в соответствие с новой нормой потребуются финансы и время, «предпринимательское сообщество ставится в условия, при которых исполнить новые требования в силу ограниченного периода времени невозможно», подчеркивают авторы жалобы. При этом многие компании будут вынуждены попросту приостановить деятельность, добавляют они. Например, данные о российских сотрудниках «дочек» международных компаний передаются в центральный офис, получается, теперь они не смогут функционировать, предупреждает Гуськов.
Две главные поправки
Авторы обращения предлагают оставить прежний срок вступления закона в силу – с 1 сентября 2016 года, а также внести в принятый закон минимум две важные поправки.
Во-первых, бизнесмены просят уточнить понятие персональных данных: написать, что данные являются персональными, только если они позволяют установить личность субъекта. Авторы считают, что такое определение более корректно передает соответствующие положения из конвенции Совета Европы. В российском законодательстве дается более широкое определение: персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
Нынешняя формулировка туманна: например, непонятно, подпадает ли под закон аккаунт в Facebook, рассуждает ведущий аналитик РАЭК Карен Казарян. «В итоге по каждому случаю требуется подзаконный акт: нигде не прописано, по каким данным можно идентифицировать человека», – добавляет он. По его словам, в международных конвенциях данные делятся на несколько категорий, часть из которых защищается строго, а часть – нет. Например, строго запрещается хранить на территории других стран и передавать за рубеж биометрические данные граждан, включая группу крови, а также «чувствительную информацию» – об идеологических, культурных, политических, сексуальных и других предпочтениях пользователей.
Во-вторых, предприниматели просят четко указать исключения из статьи, где речь идет о хранении данных россиян на территории России. Например, для случаев, когда «в явной форме получено согласие субъекта на обработку персональных данных за рубежом» – возможно, с исключением для «чувствительных» категорий персональных данных, по аналогии с законами Китая и Индии. Это очень ограниченное число данных – например, о сексуальной ориентации, группе крови, истории болезни.
В этой статье необходимо прямо указать страны, подписавшие конвенцию Совета Европы, и сделать исключение для них, считают бизнесмены. США в число этих стран не входит – это государство отдельно оформляет свои взаимоотношения с подписантами 108‑й конвенции.
«Новые требования в целом негативно скажутся на экономике России и деятельности большинства российских компаний, в особенности в области электронной коммерции», – уверен исполнительный директор АКИТ Виталий Жигулин. Представитель РАТЭК заметил, что несколько лет назад идею локализовать хранение данных граждан обсуждали в Бразилии, но эта инициатива была отвергнута на этапе экспертного обсуждения: исследование показало, что такая норма привела бы к падению ВВП более чем на 2%.