Введение в действие закона 242-ФЗ от 21.06.2014, обязывающего операторов персональных данных (ОПД) хранить сведения о российских гражданах исключительно на серверах, находящихся на территории России, не повлечет введения ограничения доступа россиян к интернет-услугам, в том числе зарубежных поставщиков. Об этом заявил на прошедшей 5 ноября в Москве пятой ежегодной конференции «Защита персональных данных», организованной Роскомнадзором, глава этого ведомства Александр Жаров. Он пояснил, что положения этого закона не накладываются ограничения на трансграничную передачу персональных данных, напомнив при этом, что Россия подписала Конвенцию Совета Европы о защите персональных данных, одним из положений которой является недопущение запрета трансграничных потоков персональных данных.

Комментируя эти высказывания, наблюдатели отметили, что все же остается не очень понятным, как свобода перемещения персональных данных через границы согласуется с обязательным требованием их хранения в одной конкретной стране. При этом они напомнили, что аналоги нашему 242-ФЗ уже действуют в таких странах, как Китай и Индия (известны своим ограничениями по доступности внешних интернет-ресурсов), но там под запрет хранения за пределами страны попадает лишь часть персональных данных, относящихся к категории «чувствительных» (например, медицинские сведения, информация о политических, религиозных и сексуальных предпочтениях).

Однако на сегодня самый горячим вопросом по данному закону является дата его ввода в действие. По ходу выступления руководителя Роскомнадзора и ряда других докладчиков складывалось впечатление, что это произойдет с приходом Нового года. Однако на самом деле узаконенной датой является 1 сентября 2016 г. (почти через два года). Хотя эксперты вполне допускают, что уверенность Роскомнадзора в ускоренном варианте запуска закона в жизнь может вполне материализоваться в виде решений Госдумы.

Напомним, что 242-ФЗ в его сегодняшнем варианте предусматривает введении в силу его ключевых положений с 1 сентября 2016 г. Однако уже через два месяца после его принятия группа депутатов (авторов уже принятого закона) выступила с инициативой внесения корректировок по ускорению процесса локализации персональных данных россиян внутри страны — сделать обязательными эти требования уже с 2015 г. (законопроект 596277-6). Против такого резкого сокращения сроков сразу выступило российское деловое ИТ-сообщество, в том числе 22 сентября открытое обращение в Госдуму и Минкомсвязи сделала ИТ-ассоциация АПКИТ. 24 сентября Госудума приняла законопроект во втором чтении, но потом процесс окончательного утверждения этого акта был приостановлен, хотя и не отменен: в официальном паспорте документа на сайте Госдумы говорится о том, что он ожидает окончательного рассмотрения и принятия в третьем чтении.

Отметим, что по сообщениям СМИ в течение октября прошел обмен мнениями между ИТ-бизнесом и законодателями, в рамках которого представители общества говорили уже не только о сроках введения в действия закона, но и о необходимости его содержательной коррекции, в частности об уточнении самого понятия «персональные данные» и о согласовании его положений с принципом свободы трансграничной передачи этой информации. Но прошедшая конференция показала, что достичь взаимопонимания между собственно участниками интернет-рынка (а речь идет в первую очередь об интересах самих пользователей) и его регулятором пока не удается, борьба за закон продолжается, и она может закончиться как ужесточением его положений, так и их ослаблением.

Еще одно вполне реальное новшество, о котором стало известно на мероприятии: существенное увеличение штрафов за нарушение правил обработки и хранения персональных данных (повышение потолка с 10 тыс. до 300 тыс. руб.), при этом если сейчас постановления по таким делам могла выносить лишь прокуратура, то в будущем это сможет делать и Роскомнадзор. Предложения на этот счет Минкомсвязи уже передало в Правительство для последующего внесения на рассмотрения в Госдуму в виде законопроекта. В этом документе, в частности, предлагается изменить статью 13.11 Кодекса об административных правонарушениях (КоАП), введя там категоризацию нарушений (восемь пунктов) и установив для каждой категории свою меру наказания. Для относительно «легких» нарушений максимальный штраф для юридических лиц составит 45–50 тыс. руб., а для «тяжелых» (при обработке медицинских данных, сведений о политических и религиозных взглядах, информации о судимости и пр.) — 300 тыс. руб. Эта новость вызвала живой интерес у аудитории конференции, но при этом прозвучало мнение о том, что этот законопроект нуждается в серьезном обсуждении в экспертном сообществе, в том числе в плане повышения точности и однозначности его формулировок.