Бизнес подготовил Путину предложения по закону о переносе серверов
Хранить персональные данные россиян в России требует принятый в июле закон №242 «О внесении изменений в отдельные законодательные акты РФ в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (известен как закон о персональных данных). Он устанавливает срок переноса серверов с данными на сентябрь 2016 года. Но депутаты хотят перенести вступление закона в силу на 1 января 2015 года: такую поправку они приняли во втором чтении в Госдуме в конце сентября. Впрочем, источники РБК, близкие к думскому руководству, утверждают, что с тех пор было решено отложить законопроект на неопределенный срок.
В распоряжении РБК оказался проект письма Путину от Мариничева, содержащий жалобу бизнес-сообщества. С ней к омбудсмену 6 октября обратились исполнительный директор АКОРТ Андрей Карпов, исполнительный директор АКИТ Виталий Жигулин, президент РАТЭК Александр Онищук, исполнительный директор некоммерческого партнерства производителей фирменных торговых марок «Русбренд» Алексей Поповичев.
Мариничев, руководитель отдела внешних коммуникаций АКИТ Ульяна Власенко и директор по связям с общественностью РАТЭК Антон Гуськов подтвердили РБК, что бизнесмены согласовали свои поправки в закон о персональных данных. Исполнительный директор этой организации Виталий Жигулин назвал этот документ «единой позицией всех участников рынка, связанных с интернет бизнесом».
Члены ассоциаций утверждают, что закон №242 «затрагивает деятельность практически всех российских и зарубежных компаний». На приведение своих процессов в соответствие с новой нормой потребуются финансы и время, «предпринимательское сообщество ставится в условия, при которых исполнить новые требования в силу ограниченного периода времени невозможно», подчеркивают авторы жалобы. При этом многие компании будут вынуждены попросту приостановить деятельность, добавляют они.
Общественные слушания на эту тему прошли 7 октября, в них кроме АКОРТ, АКИТ и РАТЭК участвовали Российская ассоциация электронных коммуникаций (РАЭК), Ассоциация предприятий компьютерных и информационных технологий (АПКИТ), Фонд развития интернет-инициатив, Фонд информационной демократии, представители интернет-компаний. После встречи и была сформирована общая позиция, которая изложена в письме интернет-омбудсмена.
Авторы обращения предлагают оставить прежний срок вступления закона в силу – с 1 сентября 2016 года, а также внести в принятый закон минимум две важные поправки.
Во-первых, бизнесмены просят уточнить понятие персональных данных: написать, что данные являются персональными, только если они позволяют идентифицировать субъекта. Авторы считают это определение более корректным переводом положений из конвенции Совета Европы. В российском законодательстве дается более широкое определение: персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Нынешняя формулировка туманна: например, непонятно, попадает ли под закон аккаунт в Facebook, рассуждает ведущий аналитик РАЭК Карен Казарян. «В итоге по каждому случаю требуется подзаконный акт: нигде не прописано, по каким данным можно идентифицировать человека», – добавляет он. По его словам, в международных конвенциях данные делятся на несколько категорий, часть из которых защищается строго, а часть – нет. Например, строго запрещается хранить на территории других стран и передавать за рубеж биометрические данные граждан, включая группу крови, а также «чувствительную информацию» – об идеологических, культурных, политических, сексуальных и другие предпочтениях пользователей.
Во-вторых, предприниматели просят четко указать исключения из статьи, где речь идет о хранении данных россиян на территории России. Например, для случаев, когда «в явной форме получено согласие субъекта на обработку персональных данных за рубежом», возможно, с исключением для «чувствительных» категорий» персональных данных, по аналогии с законами Китая и Индии. Это очень ограниченное число данных – например, о сексуальной ориентации, группе крови, истории болезни.
В этой статье необходимо прямо указать стран-подписантов конвенции Совета Европы и сделать исключения для них, считают бизнесмены. США в число этих стран не входит – это государство отдельно оформляет свои взаимоотношения с подписантами 108 конвенции.
«Новые требования ФЗ-N242, которые должны вступить в силу с 1 сентября 2016 года, в целом негативно скажутся на экономике России и деятельности большинства российских компаний, в особенности в области электронной коммерции», – уверен исполнительный директор АКИТ. «Этот закон, особенно если он вступит с 1 января, неисполним для большинства участников рынка, в том числе участников нашей ассоциации», – добавляет директор по связям с общественностью РАТЭК Антон Гуськов.
Компаниям нужно время, чтобы технически подготовиться, но и вне зависимости от сроков, закон требует доработки, считает Гуськов. В законе, насколько это понимают в РАТЭК, написано, что все данные о пользователях должны храниться в России. Гуськов привел несколько примеров, в которых исполнение закона практически невозможно. Например, данные о сотрудниках в международных компаниях передаются в центральный офис. Представитель РАТЭК заметил, что подобные законопроекты обсуждались не только в России. Несколько лет назад идею локализовать хранение данных граждан обсуждали в Бразилии. Но эта инициатива была отвергнута на этапе экспертного обсуждения: исследование показало, что такая норма привела бы к падению ВВП от 2% и выше.
Новый законопроект о персональных данных затрагивает многие виды бизнеса. Он может создать сложности для работы крупных компьютерных, страховых и авиационных компаний, предприятий розничной торговли, сервисов международной связи, почтовой пересылки, бронирования гостиниц – например, booking.com, поясняли ранее РБК в бизнес-сообществе.