Позиция РАЭК по поправкам в законодательство о защите персональных данных россиян
Дата публикации: 18 декабря 2014
В связи с принятым Федеральным законом №242–ФЗ (вносящим поправки в законодательство о защите персональных данных россиян, в т.ч. в части требований о локализации хранения и обработки персональных данных российских граждан на территории РФ), а также в связи с новыми сроками вступления поправок в силу (1 сентября 2015 года), по итогам всестороннего рассмотрения поправок, консультаций с отраслевыми экспертами и представителями профильных органов государственной власти, сообщаем официальную позицию РАЭК по данному вопросу:
В результате напряжения и недопонимания, возникших в кругу отраслевых экспертов при первоначальном рассмотрении законопроекта о внесении изменений в законодательство о защите персональных данных, нами были сформулированы и предложены многочисленные обращения, предложения и поправки. Насколько нам известно, многие ассоциации, представляющие интересы игроков других рынков, смежных с интернет-рынками, кого мог затронуть законопроект, также высказывались изначально настороженно и предлагали свои изменения и поправки в законопроект.
Большая степень недоверия и напряжения изначально создавалась из-за отсутствия разъяснений, четких формулировок и примеров будущего правоприменения – в отношении целого ряда положений закона.
Напряжение достигло максимума, когда стала рассматриваться возможность переноса срока вступления изменений в силу не с 1 сентября 2016 года (как планировалось изначально), на 1 января 2015 года.
С того момента мы с коллегами из других отраслей провели системную работу и донесли свою озабоченность до представителей Госдумы, Минкомсвязи, Роскомнадзора.
На данный момент мы с удовлетворением отмечаем, что призывы сразу нескольких отраслей услышаны, в результате чего нам предложены как взаимные консультации отрасли и представителей профильных госучреждений, так и совместная работа над подзаконными документами и нормативно-правовыми актами. Мы надеемся, что оба этих процесса будут запущены в январе-феврале 2014, и мы сможем принять в них самое активное участие.
Кроме того, на сегодняшний день принято решение о переносе срока вступления в силу закона о хранении персональных данных россиян на серверах в РФ с 1 января – на 1 сентября 2015 года. Мы надеемся, что у нас будет достаточно времени для подготовки конкретных предложений по подзаконным актам, для получения разъяснений по применению тех или иных норм закона и для возможных исключений из закона для некоторых видов сервисов.
Эксперты РАЭК (в рамках Экспертно-Консультативного Совета при РАЭК п взаимодействию с ОГВ) уже сейчас готовят конкретные предложения по поправкам в текущую версию законопроекта, призванные помочь устранить обсуждавшиеся ранее проблемные места и замечания, либо помочь с разъяснениями тех или иных норм и требований закона.
По оценкам экспертов, закон о локализации хранения и обработки персональных данных граждан России, может оказать большое влияние на все сегменты интернет-рынка, в особенности на сегменты инфраструктуры, электронной коммерции, коммуникационных интернет-сервисов и социальные медиа.
СПРАВКА
Напомним, что в связи с принятым летом 2014 года и вступающим в силу с 1 сентября 2015 года года Федеральным законом №242-ФЗ (изменения в законодательство о защите персональных данных), игроки отрасли сообщали о следующих отраслевых предложениях и опасениях:
Общая отраслевая озабоченность:
Закон создаёт дополнительную нагрузку на бизнес, на регуляторов, влечёт дополнительные расходы и таким образом может негативно повлиять на ВВП. Предложения: отметить принципиальные аспекты и конструкции, заложенные в закон, с целью проведения их дополнительной экспертизы и выявления влияния на рынок; разработать а) технологическую и б) экономическую аргументацию; рассмотреть возможность переноса сроков вступления закона в силу.
Категории данных, подпадающие под сферу действия закона:
Введение обязанности по хранению и обработке любых персональных данных на территории РФ крайне обременительно и не имеет смысла, если целью является защита граждан РФ. Предложение: ограничить сферу применения закона персональными данными специальных категорий (как они уже определены в законе о персональных данных).
Согласие субъекта:
Одним из основополагающих принципов законодательства о персональных данных является то, что согласие субъекта всегда считается достаточным для осуществления любых действий с его данными. Предложение: Указать, что обязанность по хранению и обработке персональных данных в России – снимается с оператора в случае согласия субъекта таких персональных данных на то, что в России это делать не обязательно.
Трансграничная передача и доступ:
Из существующих комментариев не очевидно, насколько допускается передача данных за границу и доступ к ним по каналам связи из-за границы. Европейская Конвенция, участником которой является Россия, такую передачу разрешает при определённых условиях. Предложение: Дать разъяснения, что передача за границу и доступ из-за границы возможны, если параллельно с этим соблюдаются положения закона о локальном хранении.
Определение гражданства:
Поскольку персональные данные могут быть любого состава, они не обязательно включают в себя гражданство, что делает соблюдение закона операторами крайне затруднительным. Предложение: Разъяснить, что закон применяется только в том случае, если обрабатываемые данные включают в себя гражданство (например, если субъект специально его указал).
Надеемся, что в результате запланированных на начало 2015 года процессах консультации и совместной работы Отрасли и Государства, получится снять озабоченность рядом позиций закона и разработать совместно работающий подзаконные акты и нормативно-правовую базу.