Необходимо разрешить хранение персональных данных россиян на территории 63 стран, подписавших 108‑ю конвенцию Совета Европы "О защите частных лиц в отношении автоматизированной обработки данных личного характера". С таким предложением бизнес решил обратиться к президенту.
"Исполнить невозможно"
Хранить персональные данные россиян в России требует принятый в июле закон № 242 "О внесении изменений в отдельные законодательные акты РФ в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях" (известен как закон о персональных данных). Он устанавливает срок переноса серверов с данными на сентябрь 2016 года. Но депутаты хотят перенести вступление закона в силу на 1 января 2015 года: такую поправку они приняли во втором чтении в Госдуме в конце сентября. Впрочем, источники РБК, близкие к думскому руководству, утверждают, что с тех пор было решено отложить законопроект на неопределенный срок.
В распоряжении РБК оказался проект письма президенту Владимиру Путину от интернет-омбудсмена Дмитрия Мариничева, содержащего жалобу бизнес-сообщества. С ней к омбудсмену 6 октября обратились исполнительный директор Ассоциации компаний розничной торговли (АКОРТ) Андрей Карпов, исполнительный директор Ассоциации компаний интернет-торговли (АКИТ) Виталий Жигулин, президент Ассоциации предприятий компьютерных и информационных технологий (РАТЭК) Александр Онищук, исполнительный директор некоммерческого партнерства производителей фирменных торговых марок "Русбренд" Алексей Поповичев.
Дмитрий Мариничев, представители АКИТ и РАТЭК подтвердили РБК, что бизнесмены согласовали свои поправки в закон о персональных данных.
Члены ассоциаций утверждают, что закон № 242 "затрагивает деятельность практически всех российских и зарубежных компаний" – банков, страховых и авиационных компаний, предприятий розничной торговли, сервисов международной связи, почтовой пересылки, бронирования гостиниц и т.д. На приведение своих процессов в соответствие с новой нормой потребуются финансы и время, "предпринимательское сообщество ставится в условия, при которых исполнить новые требования в силу ограниченного периода времени невозможно", подчеркивают авторы жалобы. При этом многие компании будут вынуждены попросту приостановить деятельность, добавляют они. Например, данные о российских сотрудниках "дочек" международных компаний передаются в центральный офис, получается, теперь они не смогут функционировать, предупреждает Гуськов.
Две главные поправки
Авторы обращения предлагают оставить прежний срок вступления закона в силу – с 1 сентября 2016 года, а также внести в принятый закон минимум две важные поправки.
Во-первых, бизнесмены просят уточнить понятие персональных данных: написать, что данные являются персональными, только если они позволяют установить личность субъекта. Авторы считают, что такое определение более корректно передает соответствующие положения из конвенции Совета Европы. В российском законодательстве дается более широкое определение: персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
Нынешняя формулировка туманна: например, непонятно, подпадает ли под закон аккаунт в Facebook, рассуждает ведущий аналитик РАЭК Карен Казарян. "В итоге по каждому случаю требуется подзаконный акт: нигде не прописано, по каким данным можно идентифицировать человека", – добавляет он. По его словам, в международных конвенциях данные делятся на несколько категорий, часть из которых защищается строго, а часть – нет. Например, строго запрещается хранить на территории других стран и передавать за рубеж биометрические данные граждан, включая группу крови, а также "чувствительную информацию" – об идеологических, культурных, политических, сексуальных и других предпочтениях пользователей.
Во-вторых, предприниматели просят четко указать исключения из статьи, где речь идет о хранении данных россиян на территории России. Например, для случаев, когда "в явной форме получено согласие субъекта на обработку персональных данных за рубежом" – возможно, с исключением для "чувствительных" категорий персональных данных, по аналогии с законами Китая и Индии. Это очень ограниченное число данных – например, о сексуальной ориентации, группе крови, истории болезни.
В этой статье необходимо прямо указать страны, подписавшие конвенцию Совета Европы, и сделать исключение для них, считают бизнесмены. США в число этих стран не входит – это государство отдельно оформляет свои взаимоотношения с подписантами 108‑й конвенции.
"Новые требования в целом негативно скажутся на экономике России и деятельности большинства российских компаний, в особенности в области электронной коммерции", – уверен исполнительный директор АКИТ Виталий Жигулин. Представитель РАТЭК заметил, что несколько лет назад идею локализовать хранение данных граждан обсуждали в Бразилии, но эта инициатива была отвергнута на этапе экспертного обсуждения: исследование показало, что такая норма привела бы к падению ВВП более чем на 2%.