Минкомсвязи предложило ужесточить формулировки закона «О персональных данных». Сегодня передача этих данных на зарубежный сервер российской компании не подпадает под ограничения, существующие для трансграничных операций. В будущем заграничные серверы российских компаний станут «зарубежьем».
В 2007 году российский закон «О персональных данных» ввел ограничения на передачу этой информации за рубеж. Такая пересылка «может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства». Кроме того, компания-оператор должна убедиться, что в стране, куда уйдет информация, ей обеспечена надежная защита. В противном случае придется получить специальное разрешение у самого человека, чьи данные передаются за рубеж.
При этом «трансграничная передача персональных данных» в законе определяется так: «передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу». То есть если информацию за рубежом получит российская компания или физлицо, то по нынешнему закону считается, что персональные данные остаются в России.
Минкомсвязи предложило изменить это положение закона. Новая формулировка, согласно пояснительной записке к поправкам в закон (есть в распоряжении «Известий»), будет такой: «трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства».
Действующая редакция закона, как отмечено в документе, позволяет российской ИТ-компании, технические средства которой «находятся на территории иностранного государства, не обеспечивающего адекватную защиту прав субъектов персональных данных, не соблюдать установленные требования при трансграничной передаче персональных данных».
Уполномоченным органом по защите прав субъектов персональных данных в России назначен Роскомнадзор.
Как сообщил «Известиям» эксперт по кибербезопасности компании Cisco Алексей Лукацкий, некоторые отечественные поставщики облачных и других ИТ-сервисов не выполняют требование хранить персональные данные россиян на территории страны. Они размещают эти данные на серверах российских фирм, но за рубежом.
Например, «Яндекс» сообщал об открытии большого дата-центра в Финляндии.
— Такие фирмы ссылаются на нынешнюю формулировку закона «О персональных данных», — пояснил Алексей Лукацкий.
Роскомнадзор, по словам эксперта, последовательно добивается, чтобы данные россиян хранились на территории страны.
— Существует пробел в законодательстве, — отметил Александр Надмитов, управляющий партнер юридической фирмы «Надмитов, Иванов и партнеры». — Если российская компания передает персональные данные российской же компании, это сейчас не подпадает под определение трансграничной передачи данных. Поправки направлены на ограничение таких случаев.
Представители Минкомсвязи и Роскомнадзора не прокомментировали поправки в закон.
Статья 13.11 Кодекса об административных правонарушениях предусматривает наказание за «нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». Сегодня это наказание невелико — для юрлиц это штраф от 5 тыс. до 10 тыс. рублей. С 1 июля штраф будет составлять от 30 тыс. до 50 тыс. рублей.