Роскомнадзор завел административное дело против компаний, управляющих Facebook и Twitter, поскольку они не представили конкретного ответа о планах и сроках локализации баз данных российских пользователей, сообщил в понедельник, 21 января, представитель службы.
Поправки в закон «О персональных данных», согласно которым информация о российских пользователях должна храниться в России, вступили в силу еще 1 сентября 2015 года. Из-за невыполнения именно этой нормы осенью 2016 года был заблокирован доступ к социальной сети профессиональных контактов LinkedIn. Роскомнадзор до последнего времени предоставлял Facebook и Twitter отсрочку для организации хранения: ведомство направило компаниям официальное требование предоставить информацию о соблюдении российского законодательства лишь 17 декабря 2018-го. У Facebook и Twitter был месяц на то, чтобы ответить. В пятницу, 18 декабря, служба получила ответы на свой запрос и должна была их проанализировать до 21 января.
Как пояснил представитель Роскомнадзора Вадим Ампелонский, компании предоставили формальные ответы. «Они не содержат конкретики ни о фактическом исполнении законодательства на текущий момент, ни о сроках исполнения данных норм в будущем», — сообщил он.
РБК разбирался, чем такой ответ обернется для компаний и для пользователей Facebook и Twitter в России.
Роскомнадзор начал в отношении обеих компаний производство по ст. 19.7 Кодекса об административных правонарушениях (непредставление или несвоевременное представление в госорган сведений, в неполном объеме или в искаженном виде, для юрлиц грозит штрафом в 3–5 тыс. руб.). Как пояснил РБК Ампелонский, штраф может быть назначен компаниям через несколько недель. «Мы должны направить им уведомление о начале производства, назначить дату составления протокола, вызвать на протокол письмом (почтовым отправлением), составить протокол и передать мировому судье. Это процедура по КоАП. Она небыстрая, с учетом того, что компании зарубежные», — указал он. О дальнейших действиях Роскомнадзора он не стал говорить.
По словам советника практики по разрешению споров и интеллектуальной собственности Bryan Cave Leighton Paisner Russia Наталии Беломестновой, Facebook и Twitter могут оспорить это решение в течение десяти дней с момента получения постановления. «Для успешного оспаривания, однако, необходимы основания (нарушение процедуры привлечения к административной ответственности и пр.)», — пояснила она.
Пока речь идет только об ответственности за непредоставление сведений по запросу Роскомнадзора, указала Беломестнова. Чтобы привлечь Facebook и Twitter к ответственности за нарушения закона «О персональных данных», Роскомнадзор должен провести проверку и зафиксировать нарушения. «После этого служба направит предписание об устранении нарушения (за неисполнение предписания предусмотрена отдельная ответственность по ст.19.5 КоАП со штрафом для юрлиц в размере до 20 тыс. руб.) и подаст заявление в суд о включении сайтов в «Реестр нарушителей прав субъектов персональных данных» и их блокировке», — сказала она.
Еще в сентябре 2017 года Александр Жаров предупредил о возможной блокировке Facebook. «Мы прекрасно осознаем, что Facebook имеет значительное количество пользователей на территории Российской Федерации. С другой стороны, мы понимаем, что это не уникальный сервис, есть и другие социальные сети», — сказал чиновник, отметив, что служба намерена добиться от Facebook соблюдения закона. Тогда же Жаров заявил, что Twitter намерен локализовать персональные данные в середине 2018 года.
Вероятность блокировки исключить нельзя, особенно учитывая наличие прецедента в виде дела LinkedIn, уверена Беломестнова. «Но оценить эту вероятность довольно сложно, все будет зависеть от политической воли, текущих задач Роскомнадзора, есть ли, например, необходимость провести «показательные порки», от готовности самих компаний идти на диалог с регулятором», — говорит юрист.
Роскомнадзор должен будет обратиться в суд с требованием блокировать ресурсы. Но подобное обращение — худший вариант не только для компаний и их российских пользователей, но и для государства, поскольку такое радикальное решение будет иметь репутационные риски, считает советник юридической фирмы CMS в России Константин Бочкарев.
Он считает, что ситуация с LinkedIn не должна повториться. «LinkedIn в свое время игнорировал обращения Роскомнадзора и включился в процесс, когда решение о блокировке уже было вынесено. Сейчас же и Facebook и Twitter ведут диалог и готовы искать решение вместе с регулятором. Скорее всего, стороны до последнего будут пытаться найти компромисс», — пояснил юрист.
При худшем варианте развития событий и блокировке соцсети Facebook в России решение не должно коснуться социальной сети Instagram и мессенджера WhatsApp, которые также принадлежат Facebook Inc. и не выполняют требование российского закона «О персональных данных», прогнозирует Константин Бочкарев. Претензии Роскомнадзора пока не касаются других бизнесов компании.
«Буквальное выполнение требований Роскомнадзора предполагает колоссальные финансовые и организационные издержки, так как речь идет не только о покупке или аренде серверов в России, но и об изменении принципов работы с данными и их территориальное разделение. Легкого способа сделать это не существует», — считает Константин Бочкарев.
«Иностранные компании должны соблюдать требования иностранного законодательства о защите персональных данных, например европейского GDPR (General Data Protection Regulation, Общий регламент по защите данных. — РБК). По нему данные европейских пользователей должны храниться на территории ЕС», — напомнил старший юрист фирмы GMT Legal Станислав Соколовский. Чтобы соблюдать и российское, и европейское законодательство, компаниям придется серьезно изменить собственную структуру хранения персональных данных. «Они должны будут сначала выделить из своей базы данные российских пользователей. Потом создать российское юридическое лицо и разместить на территории России отдельные серверы. Это очень сложный процесс. Если же просто перенести серверы в Россию, то существуют риски нарушения требований иностранного законодательства», — пояснил Соколовский. Штраф за нарушение GDPR может достигать €20 млн, кроме того, создав российское юрлицо, компаниям придется полностью соблюдать местное законодательство. «Поэтому существует вероятность, что Facebook и Twitter могут проигнорировать требования Роскомнадзора и пожертвовать российскими пользователями», — считает Соколовский.
По словам руководителя службы информационной безопасности компании «Онланта» (входит в ИT-группу ЛАНИТ) Мурада Мустафаева, перенести серверы Facebook и Twitter в Россию действительно сложно в связи с большим количеством пользователей, поскольку необходимо будет «настроить фильтрацию данных огромного числа пользователей по территориальной принадлежности».
По оценке управляющего директора IXсellerate Дмитрия Фокина, минимальная стоимость установки нескольких десятков стоек для Facebook составила бы несколько миллионов долларов с учетом стоимости оборудования и расценок на размещение в дата-центре. «В зависимости от сложности ИT-инфраструктуры и серверных требований, а также юридического сопровождения сумма может быть существенно выше», — отметил он.
По словам аналитика iKS-Consulting Елены Ершовой, трудоемкость и ресурсоемкость процесса фильтрации данных для размещения в России будут зависеть от внутренней ИT-архитектуры Facebook и Twitter, но учитывая масштаб компаний, этот процесс в любом случае не будет простым.
Александра Посыпкина, Евгения Баленко, Владислав Гордеев, Анна Балашова