О "запрете хранения персональных данных россиян за границей"

Точнее, о новом законопроекте, принятом сегодня государственной думой в третьем чтении и якобы устанавливающем такой запрет, всю эту неделю не говорил только ленивый. Я - ленивый, поэтому не говорил и, в общем-то, писать тоже не собирался. Какой смысл марать электронную бумагу, если даже корифеи государственной "писанины" Алексей Лукацкий и  Михаил Емельянников , скрежеща зубами от досады, лишь разводили руками: против "бешеного принтера" не попрешь . Однако, взглянув на лингвистически безупречно оформленную позицию РАЭК по указанному законопроекту, я изумился - действительно, что ли, настолько все плохо? И внимательно прочитал его текст .

Если вы прочитали посты уважаемых коллег, ссылки на которые я привел выше - вы уже знаете, что, собственно, приняли. Я искал "яблоко раздора" - и нашел его в части 1 статьи 2 законопроекта, благодаря которой с 1 сентября 2016 года статья 18 152-ФЗ, именуемая "обязанности оператора при сборе персональных данных", дополняется частью 5, обязывающая (за исключением случаев, о которых уважаемые коллеги уже написали) оператора при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», "обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации".

Что сразу бросается в глаза - так это отсутствие привычного всем термина "обработка". Конечно, и запись, и систематизация, и накопление, и хранение, и уточнение (обновление, изменение), и даже извлечение подпадают под этот термин, но законодатель почему-то перечисляет именно эти операции, оставляя "за бортом" то, что приведено в п. 3 ст. 3 152-ФЗ, в определении "обработки". А это, ни много ни мало - "использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение". Странное разделение, не правда ли? Присвоим этой странности номер "один".

Понятие "обработка", как мы знаем из 152-ФЗ, подразумевает, что эти самые "любые действия" с персональными данными могут осуществляться "с использованием средств автоматизации или без использования таких средств". Законопроект же предусматривает, что группа действий с персональными данными, на которую он распространяется, должна совершаться "с использованием баз данных". Взглянув на определение "информационной системы персональных данных", приведенное в п. 10 152-ФЗ, мы понимаем, что "база данных" - лишь ее часть. Вторая часть - это обеспечивающие обработку информационные технологии и технические средства, и про них в законопроекте тоже ничего не сказано. Присвоим этой странности номер "два".

Законопроект вносит изменения в Федеральный закон 152-ФЗ, который, как известно, использует понятие "оператор персональных данных". Это, согласно п. 2 ст. 3, "государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными". Российский закон, по понятным причинам, распространяется на российских операторов, а также (и Роскомнадзор это подтверждает ) на представительства иностранных юридических лиц, ведущие свою деятельность на территории РФ. Таким образом, на иностранные юридические лица, осуществляющие сбор персональных данных российских граждан, в том числе с помощью информационно-коммуникационной сети, действие 152-ФЗ не распространяется. И это - аксиома номер "один".

Теперь, оперируя двумя странностями и одной аксиомой, попытаемся понять, что же, все-таки, запретили. Помимо определения "оператор", Федеральный закон 152-ФЗ в ч. 3 ст. 6 вводит понятие "ЛООПДППО" - "лицо, осуществляющее обработку персональных данных по поручению оператора". Это "как бы" не оператор, поскольку он, исходя из определения последнего, не определяет целей обработки - за него это делают те, кто его нанял. Однако мы помним, что оператор, организуя обработку и нанимая ЛООПДППО, будет обязан обеспечить выполнение страности номер один. Поэтому у многих российских компаний, пользующихся услугами зарубежных компаний для выполнения действий странности 1 по схеме "ЛООПДППО", безусловно, возникнут проблемы, которые им необходимо будет решить до 01.09.2016 года.

Как их решить? Во-первых, воспользоваться странностью номер два, если есть возможно перестроить бизнес-процессы, конечно. Пусть данные хранятся у вас, и все действия с ними, которые перечислены как "запрещенные к экспорту" в странности номер один, осуществляются тоже у вас. Ваша информационная система может быть какого угодно масштаба - пусть "аутсорсеры" подключаются к вашей базе данных удаленно, либо (если им так хочется хранить персональные данные у себя) открывают дата-центры на территории РФ.

Другой способ - отказаться от схемы "ЛООПДППО" и перейти на схему взаимодействия "российское юридическое лицо" - "иностранное юридическое лицо на территории иностранного государства". Принимая во внимание странность номер один и аксиому номер один, вы можете собрать, систематизировать, сохранить персональные данные в своей базе данных, извлечь их оттуда и, заручившись согласием субъекта или договором (ст. 12 152-ФЗ), осуществить их трансграничную передачу (п. 11 ст. 3 152-ФЗ), в том числе с помощью средств, указанных в странности номер два.

Конечно, "иностранное юридическое лицо" после получения ПДн будет проделывать с ними "запрещенные" в странности номер один вещи. Поэтому существует вероятность, что наш регулятор может возбудиться: вы, оператор, при "организации обработки совместно с другими лицами" не "обеспечили" нахождение ПДн российских граждан на территории РФ. Но в законопроекте нет слова "ИСКЛЮЧИТЕЛЬНО" во фразе "находящихся на территории Российской Федерации", поэтому никто не запрещает вам иметь две идентичные базы: одну в РФ, другую - за границей РФ. Практическая применимость такого подхода, конечно, весьма сомнительна - дублирование функций автоматически удваивает затраты. Но если вы опасаетесь, что попадете в очередной пакет санкций от наших "партнеров", реализовав его, вы и ваши "субъекты" будете прекрасно защищены.

Если вы - иностранное юридическое лицо, у вас есть представительство в РФ и вы не хотите создавать у нас дата-центр, то (исходя из аксиомы номер один) вам придется "прикрыть" в представительстве в РФ функции, связанные со сбором персональных данных, и собирать данные с помощью размещенного в информационно-телекоммуникационной сети веб-сайта, принадлежащего вам самим. Ваши сотрудники, работающие на территории РФ, смогут выполнять перечень разрешенных операций из странности номер один, находясь на территории Российской Федерации и подключаясь к вашей информационной системе. Главное, чтобы при сборе ПДн на своем веб-сайте вы указали, что храниться они будут за границей, а обрабатывать их будет иностранное юридическое лицо.

Что делать, если вы - российский субъект, привыкший пользоваться иностранными социальными сетями, сервисами бронирования гостиниц и покупки авиабилетов? Закон не обязывает иностранные юридические лица, осуществляющие сбор и обработку ПДн российских граждан, регистрироваться в качестве операторов и выполнять российские законы, по крайней мере пока я о такой инициативе не слышал. Да и трансграничную передачу тоже никто не отменял. Поэтому пользуйтесь, если вам нравится: вы - хозяева своих ПДн, вот только жаловаться в случае чего будет, правда, некуда.

Лично я вижу этот законопроект как некий барьер от повального размещения российскими компаниями огромных объемов персональных данных "за бугром" в погоне за снижением издержек, и пинок для развития отечественной ИТ-отрасли. Пинок, правда, не в то место, да и барьер, скажем, так себе - учитывая особенности "бешеного принтера", из которого выпал этот законопроект, не исключено, что в скором времени появится и "бешеный рубильник", охотно создаваемый нашими регуляторами. Но, как говорится, поживем - увидим: замысел закона и практика его применения могу сильно отличаться.