Иван Осипов

Как отразятся на бизнесе новые изменения закона «О персональных данных»?

1 сентября вступили в силу новые изменения закона «О персональных данных» — пожалуй, главная тема в рунете (больше и эмоциональнее обсуждают только падение рубля). Как изменения закона повлияют на бизнес, помогли разобраться Иван Осипов, генеральный директор рекрутинговой компании iChar, и Павел Савицкий, руководитель практики «Интеллектуальная собственность и информационные технологии», советник юридической фирмы «Борениус».


Основных изменений два. Появляется очередной реестр запрещенных сайтов, на сей раз это сайты – нарушители правил сбора и обработки персональных данных. И второе изменение – теперь базы данных с персональными данными российских граждан должны физически переехать в Россию. Чего ожидать от изменений в законодательстве — оживления российской экономики или новых сложностей?

Как вступление в силу этих изменений повлияет на бизнес, помог разобраться Павел Савицкий, руководитель практики «Интеллектуальная собственность и информационные технологии», советник юридической фирмы «Борениус», юрист года в областях интеллектуальной собственности (2012, 2013, 2014-15, 2016) и информационных технологий (2014-15, юрист года-2016) по версии международного рейтингового института Best Lawyers.


На кого направлен закон?

Вопреки шумихе вокруг популярных сервисов, соцсетей и сайтов, новые изменения закона «О персональных данных» касаются не только интернет-проектов. Кроме них, под его действие подпадают:

  • Компании, у которых есть зарубежные партнеры

  • Иностранные компании в России

  • Российские компании с зарубежными представительствами

  • Компании, ведущие активную торговую деятельность за рубежом

  • ИТ-компании

  • Кадровые агентства

  • Туристический бизнес

  • Любые компании, обрабатывающие чьи-либо персональные данные, кроме своих работников

Нельзя обрабатывать данные российских граждан за рубежом. Что это значит?

image description
Павел Савицкий

По закону, ответственность за хранение персональных данных компания несет сама и не может переложить ее на других.

Можно ли теперь будет пользоваться сервисами облачного хранения Google, Microsoft, Apple и других компаний? Можно ли размещать свой сайт на популярном зарубежном файл-сервере? Можно ли передавать сведения о своем персонале в материнскую компанию за рубежом? Можно ли продолжать пользоваться корпоративными информационными системами (ERP, CRM и другие системы), которые обычно установлены в Европе и одновременно используются офисами больших компаний в разных странах?

Неправильный ответ на любой из этих вопросов приведет к тому, что компания, «доверяя» своим партнерам и поставщикам IT-решений, окажется нарушителем законодательства.

Сохраняет актуальность и другое правило, которое действует уже давно.

Храните контакты поставщиков и партнеров, проводите SMS- или email-рассылки, ведете учет клиентов? Тогда вы обязаны уведомить Роскомнадзор о том, что занимаетесь обработкой персональных данных.

Неотправка уведомления карается штрафом; отправка со временем приведет к включению компании в список плановых проверок все того же Роскомнадзора. Кроме того, каждая компания обязана ввести правила обработки персональных данных, создать достаточно много другой внутренней документации и процедур, назначить ответственных лиц, пересмотреть свою IT-безопасность и т.п. Требования обширны, найти и оштрафовать виновного станет легче, и это не единственная беда.


Расходы на бизнес возрастут

Первым и самым ощутимым для бизнеса последствием вступления в силу новых изменений станет увеличение IT-костов.

Увы, тому есть несколько причин, главная из которых — отсутствие иностранной конкуренции. Когда все будут обязаны хостить сайты на отечественных серверах, российские дата-центры получат карт-бланш в установлении цен на свои услуги. Выбирая между перспективами хостить сайт втридорога или отказаться от «сбора персональных данных» через сайт вообще, российские бизнесмены, хоть и скрепя сердце, но всё же выберут первый вариант. Пропорционально костам для бизнеса будут расти и цены на товары и услуги, которые можно купить через интернет.

У крупного бизнеса появится еще одна статья расходов — консультанты, чьей работой будет обучение бизнесменов соблюдению нового и, прямо скажем, тернистого закона.

Чем чаще будут происходить проверки, тем сильнее станет потребность в консультациях.



По теме: В России создадут единый «Индекс Рунета»



Штрафы и проверки

Кстати о проверках и штрафах: их число возрастет. Закон «О персональных данных» обещает стать неплохим источником вливаний в экономику страны.

Чем больше бюрократических формальностей окружает бизнес, тем выше вероятность их нарушить. При проверке нарушения могут быть обнаружены в любой компании, а значит, повысится и количество штрафов: «А положение у вас есть?», «Покажите хотя бы один выговор. Неужели никто ничего не нарушал?», «А трудовые книжки у вас в сейфе?» — возможностей для нарушений великое множество. Пока штрафы не слишком высоки, но со временем суммы будут расти вместе с количеством штрафов.


Усложнится операционная деятельность

Как поясняет Павел Савицкий, российский закон «О персональных данных» был вдохновлен европейским законодательством, которое, однако, более точно прописывает роли всех лиц, взаимодействующих с персональными данными. Например, есть понятие data controller — лицо, определяющее объем и способы обработки персональных данных, но зачастую не отвечающее за их физическую безопасность. Также есть data processor – техническая функция, собственно обработка персональных данных. Data processor может иметь очень ограниченный доступ к персональным данным с точки зрения их содержания, но зато несет ответственность за их сохранность и конфиденциальность. Носители разных ролей отвечают только за свою часть процесса.

В России же есть только одна роль — оператор персональных данных. Вне зависимости от характера работы, выполняемой с этими данными, ответственность за них у всех практически одинаковая —у владельцев сайта по поиску работы, у рекрутера, у заказчика услуг по подбору персонала. Правда, есть важное различие – при получении персональных данных от организации, которая их собрала, получатель не должен обращаться за согласиями на обработку данных к гражданам, которых эти данные касаются. Согласия должны быть получены на более раннем этапе, при сборе данных.

По мнению Савицкого, одинаковая ответственность для всех, кто «дотрагивается» до персональных данных, создает проблемы для понимания новых изменений закона. Должны ли обеспечить локализацию персональных данных только те, кто их впервые собирает, либо же каждая компания – получатель данных должна иметь свой сервер в России? Минкомсвязь России недавно опубликовало на своем сайте разъяснения, из которых, вроде бы, следует, что такая обязанность лежит на каждой организации, даже если эти же персональные данные уже находятся на сервере в России и их хранит и бережно обновляет другое юридическое лицо.


Выводы

Требования о локализации данных вызывают много вопросов, и удовлетворительного ответа на них пока нет. Остается надеяться на то, что, как обещал руководитель Роскомнадзора Александр Жаров, в 2015 году к нарушениям закона будут относиться снисходительно. В какой мере сбудутся прогнозы, станет понятно лишь к концу 2016 года. 



По теме: Как ситуация на бирже повлияет на стартапы?



Фото на обложке: Shutterstock.


comments powered by Disqus

Подпишитесь на рассылку RUSBASE

Мы будем вам писать только тогда, когда это действительно очень важно