Прошедшая неделя была заполнена бесконечным количеством публикаций о грядущей катастрофе системы бронирования авиабилетов в России после 1 сентября и вступления в силу норм закона 242-ФЗ о территориальности баз персональных данных россиян. Отличались эти публикации одной характерной чертой – подхватив первое сообщение на эту тему, СМИ и интернет-ресурсы даже не пытались разобраться в сути проблемы, перепечатывая чужие публикации в собственной интерпретации и все дальше уходя от реальной оценки ситуации.
Детальный ее анализ сделал А. Лукацкий , опираясь на Варшавскую и Чикагскую конвенции. Я с его выводами не согласен, поскольку не вижу в этих документах никакого прямого разрешения сразу передавать персональные данные пассажиров в глобальные системы бронирования без организации их хранения на территории конкретного государства, но, в данном случае, речь пойдет совсем о другом.
Российским авиакомпаниям решить проблему соответствия закону можно довольно просто, и это вовсе не требует миллионных затрат и создания российской посконной и домотканой системы бронирования. Надо просто создать базу данных своих пассажиров на российских серверах (а она в любом случае создается в соответствии с законом «О транспортной безопасности» и без 242-ФЗ), а из нее «пробрасывать» заявку на бронирование билетов в глобальные системы.
Однако существует огромное количество иных ситуаций, когда простые и дешевые решения для выполнения новых требований законодательства вовсе не являются очевидными. И это создает реальную угрозу бизнесу, в первую очередь, транснациональному и зарубежному, который ведется на территории нашей страны. На угрозы, порожденные рисками, разный бизнес реагирует по-разному. Отбросив промежуточные варианты, остановимся на двух полярных – избежание государственного или регуляторного риска, т.е. полный отказ от бизнеса не территории страны с неясными правилами, и снижение риска до приемлемой величины, установленной правилами менеджмента. Именно этими двумя путями и идет большинство зарубежных компаний, чья деятельность на территории России или с российскими резидентами связана с обработкой персональных данных.
Наглядный пример такого подхода – прямо противоположные решения относительно хостинга и облачных вычислений в России, принятые компаниями T-Systems CIS, «дочкой» Deutsche Telekom, и Orange Business Services , тоже «дочкой» телекома, но французского. Полностью закрыть бизнес, убоявшись несоответствия закону, или активно его развивать, глядя на замешкавшихся конкурентов и найдя решения, позволяющие это соответствие обеспечить – решения, принимаемые отнюдь не технарями и не с их подачи, а топ-менеджментом, в первую очередь – финансовым, на основании выводов, сделанных юристами. Не нашли юристы способов разруливания ситуации, устраивавших, в первую очередь, пугливых клиентов, – и нет бизнеса. Но свято место пусто не бывает, и на освободившиеся «площади» приходит конкурент, правовая служба которого эти самые пути решения проблемы определившая.
На самом деле никакого запрета на обработку персональных данных россиян за пределами Российской Федерации закон не содержит. Вводимые с 1 сентября ограничения касаются только периода сбора персональных данных, как первичного, так и приводящего к их изменению, уточнению или обновлению. Именно поэтому я написал выше, что авиакомпаниям надо создать российский буфер перед системами глобального бронирования, где будут храниться фамилии, имена и отчества их пассажиров, паспортные данные, сведения о дате рождения и совершенных полетах рейсами конкретной компании. После создания такой учетной записи никаких препятствий для обращения в систему бронирования закон не создает. Нет в нем запрета на передачу, предоставление, доступ и даже удаление и уничтожение данных за рубежом. То же самое касается и абсолютного большинства других случаев использования персональных данных в информационных системах за пределами России – будь то кадровый учет транснациональной корпорации, ведущей бизнес и в России, ERPили CRMсистема зарубежного владельца российской компании или банковская система международного банка с российской «дочкой».
Мы об этом долго и подробно разговаривали на встрече, организованной интернет-омбудсменом Дмитрием Мариничевым. Довольно детально моя позиция изложена на форуме, созданном по результатам дискуссии здесь .
Так что оснований для паники я не вижу. А вот детальная правовая проработка проблемы, подготовка соответствующих договоров и рекомендаций для клиентов, обеспечивающих соответствие закону со стороны иностранных компаний, которые решат продолжить работу в России, просто необходимы. Те компании, которые всерьез решили работать на российском рынке, этим занимаются, в том числе, - наши клиенты, которым мы в этом активно помогаем. И потратить дополнительные деньги на создание «буферной зоны» придется. Но не так много, как обычно об этом говорят.
