Законодатели ужесточили контроль за использованием персональных данных граждан, в первую очередь за границей. Уже через месяц все иностранные компании попадут в поле зрения надзорных органов нашей страны, а вскоре под вопросом окажется и работа почти всех сайтов.
Добровольно-принудительно
Обработкой персональных данных признаются любые действия или даже просто хранение фамилий, имен, телефонов и иных сведений о гражданах: клиентах, сотрудниках, представителях контрагентов и так далее.
По общему правилу работать с такой информацией в целях, например, исполнения договора с потребителем можно, не получая дополнительного согласия последнего. Но на практике большинство участников рынка, по существу, требует от частных клиентов подписать разрешение на любую обработку их персональных данных. Некоторые делают это ради предупреждения споров (на всякий случай), иные — с целью использования информации в не связанных с исполнением договора целях, в том числе для рассылки рекламы.
Принятые в июле и вступающие в силу 1 сентября поправки запрещают компаниям требовать от потребителей избыточные персональные данные и отказывать в продаже товара или оказания услуги при отказе гражданина подписать навязанное согласие. Само по себе уклонение от заключения договора с не желающим разглашать свои «тайны» клиентом будет квалифицироваться как административное правонарушение и караться штрафом в сумме до 50 тыс. рублей. Также в законе закреплено, что согласие на обработку персональных данных должно быть не только «конкретным, информированным и сознательным», но также «предметным и однозначным».
Всемирный надзор
С осени этого года российский закон формально будет действовать во всём мире. Его предписывается применять иностранным компаниям, которые обрабатывают персональные данные россиян, в том числе на основании заключенных с ними соглашений. Под это понятие попадают как оказывающие различные услуги участники рынка (туроператоры, отели, авиаперевозчики, интернет-магазины и другие), так и транснациональные интернет-сервисы, включая социальные сети.
Эксперты сомневаются в реалистичности этой нормы: «Пока нет понимания того, как правоприменительные органы будут обеспечивать соблюдение российского законодательства иностранными лицами в случае отсутствия у них какого-либо имущества или иного присутствия в России», — отмечает юрист адвокатского бюро «Егоров, Пугинский, Афанасьев и партнеры» Елена Квартникова. Старший юрисконсульт компании «ФБК Legal» Ангелина Балакина полагает, что уже с 1 сентября Роскомнадзор по факту сможет направлять запросы и выдавать предписания любым иностранным лицам, которые осуществляют обработку персональных данных граждан России.
По мнению управляющего партнера консалтингового агентства «Емельянников, Попова и партнеры» Михаила Емельянникова, российское надзорное ведомство и сейчас анализирует деятельность иностранных компаний путем просмотра сайтов на предмет наличия на них русскоязычных страниц и форм для сбора персональных данных, а за нарушение налагает штрафы и может заблокировать доступ к сайту на территории нашей страны.
Вместе с тем это далеко не первая попытка экстерриториального применения законодательства о персональных данных. Так, вступивший в силу 4 года назад Общеевропейский регламент о защите персональных данных (General Data Protection Regulation, GDPR) призван защитить всех находящихся на территории Евросоюза лиц независимо от их гражданства. Его порой очень жесткие требования распространяются и на компании, ведущие деятельность за пределами Старого Света, в том числе на те же турфирмы, гостиницы и другие фирмы, обрабатывающие персональные данные европейцев. Более того, таким участникам рынка предписывается иметь на территории ЕС официального представителя — так называемого инспектора по защите данных (Data Privacy Officer, DOP). Правда российские власти официально заявили об отсутствии у отечественных компаний обязанности подчиняться GDPR. «Требования Общеевропейского регламента на обработку такой информации в России не распространяются», — весной 2018 года заявил глава Роскомнадзора Александр Жаров.
Граница на замке
Вторая часть поправок вступит в силу 1 марта 2023 года и затронет в первую очередь трансграничную передачу персональных данных. В настоящее время отправка такой информации ограничена только в страны, которые, по мнению надзорного органа, не обеспечивают адекватную защиту прав личности. В действующий белый список входят почти все страны Совета Европы, дружественные нам Беларусь и Казахстан, а также Таджикистан и Узбекистан, Канада, Япония и Южная Корея, Израиль, Австралия и Новая Зеландия. То есть «неадекватными» являются в первую очередь Китай и США.
Изменения запрещают передачу персональных данных россиян в такие государства до получения специального разрешения. На его подготовку чиновникам дается 10 рабочих дней. Более того, надзорный орган вправе в любой момент запретить или ограничить трансграничную передачу, в том числе в целях защиты основ конституционного строя, безопасности «и других интересов России на международной арене». Такие меры затронут работу и со странами, которые признаются «адекватными» (включая государства Европы). По мнению Елены Квартниковой, новые правила могут существенно повлиять на процессы в различных сферах бизнеса (расчетные операции, сделки на финансовых рынках и другие), реализацию корпоративного управления и иных внутренних процедур в международных холдингах.
С другой стороны, эксперты считают принятый вариант «лучшим из зол» и напоминают, что первоначально предлагалось возложить на участников рынка обязанность получать разрешение Роскомнадзора на любую передачу персональных данных в любые страны. Теперь достаточно будет уведомить чиновников только один раз, одобрения на каждую транзакцию (отправку информации) не потребуется. Кроме того, представленный в конце июля проект нового приказа включает в число «адекватных» партнеров Китай, Индию и Киргизию.
Приватный файервол
Сложнее всего исполнить новые требования по трансграничной передаче персональных данных будет владельцам интернет-сайтов. Очевидно, что доступ даже к небольшому сайту, на котором упоминается хотя бы одна фамилия, получают пользователи из любых уголков мира. При формальном и буквальном подходе такое размещение персональных данных может толковаться как трансграничная передача. «Однако такой подход представляется избыточным, в том числе с учетом отсутствия физических границ в сети интернет. На практике он приведет к необходимости указания в уведомлении Роскомнадзора всех иностранных государств. Тем не менее риск указанного расширительного подхода к толкованию «трансграничной передачи» при текущих формулировках закона исключать нельзя», — констатирует Елена Квартникова.
Ангелина Балакина также не исключает, что трансграничной передачей персональных данных, требующей получения соответствующего разрешения, будет даже отправка файлов cookies. «На практике это вообще трудно реализовать. Мы не встречали случаев, когда компанию привлекали к ответственности за передачу в «неадекватную» страну только файлов cookies», — полагает юрист.
По мнению Михаила Емельянникова, трансграничная передача происходит только когда сайт размещен на хостинге за границей. «Данные с российского сервера, конечно, могут быть скопированы, спарсены или даже скачаны иностранным пользователем. Но эти действия совершает не российский оператор, и, соответственно, трансграничную передачу он не осуществляет», — убежден Михаил Емельянников.
