Невизначеність в реалізації нових вимог
Можна виділити кілька труднощів, які можуть виникнути при виконанні вимог Закону № 242-ФЗ.
Однак деякі експерти вважають, що положення закону дещо ширше, ніж початковий задум законодавця, і вважають за необхідне обмежити дію Закону № 242-ФЗ певними сферами діяльності і певною персональною інформацією, яку і потрібно обов'язково дублювати на російські сервери.
Це не порожній питання, оскільки від деталізації персональних даних, які підпадають під нові вимоги, безпосередньо залежать обсяг інформації, який треба локалізувати на території Росії, і обсяг необхідних на це витрат. "Наші IT-підрозділу знаходяться в замішанні, оскільки вони не мають поняття, що конкретно переносити з іноземних серверів на локальні. Наприклад, чи потрібно брати до уваги поштові сервери або досить перенести сервери, які обробляють основні персональні дані (укладання договорів, нарахування заробітної плати і т. д.). В даний час "правила гри" нам не відомі ", - нарікає керівник відділу по взаємодії з державними органами влади компанії з виробництва товарів щоденного попиту ТОВ" Юнілівер Україна "В Росії, Україні та Білорусі Олександр Дубровський.
Закон не визначає, що таке "бази даних". Закон № 242-ФЗ вимагає зберігати персональні дані за допомогою баз даних, розташованих в Росії, проте не уточнює, що вважається базами даних і який порядок роботи з ними. Одні експерти відзначають, що навіть звичайний текстовий файл при певному форматуванні може вважатися базою даних, тоді як інші схильні розуміти під цим окремий сервер або групу серверів, за допомогою яких забезпечується цілісність і збереження даних. Є й інші точки зору.
Андрій Прозоров, провідний експерт з інформаційної безпеки групи компаній InfoWatch:
"Що таке база даних і як її вести - не визначене, тому деякі оператори вважають, що офісні комп'ютери - це і є їх локальна база даних. Так, персональні дані згодом кудись прямують, але локальна база даних на території Росії є, отже , вимогам закону діяльність організації повністю відповідає. Це означає, що до тих пір, поки вимога законодавця буде детально прописано, формально його можна вважати виконаним навіть при таких умовах ".
У замішанні знаходяться і іноземні компанії, які так чи інакше мають справу з персональними даними росіян.
Дмитро Яковлєв, генеральний директор інтернет-магазину подорожей OZON.travel:
Ініціативи та пропозиції
Однією з найбільш значущих ініціатив в світлі нових вимог є ідея Уряду РФ про збільшення штрафу за порушення законодавства про персональні дані. За кордоном штраф за таке порушення значно вище російського. Наприклад, в Іспанії він становить від 40 тис. До 600 тис. Євро, у Франції - 150-300 тис. Євро, в Німеччині - до 300 тис. Євро з конфіскацією незаконно отриманого прибутку, в Великобританії - до 500 тис. Фунтів, а в Італії за відповідне порушення стягується адміністративний штраф в розмірі до 1,5 млн євро.
Пропозиція збільшити розмір штрафів узгоджується з думками багатьох експертів, які вважають, що дотримання вимог Закону № 242-ФЗ прямо залежить від розміру штрафів, встановлених за їх порушення. Андрій Прозоров переконаний: "До тих пір, поки у нас не підвищаться штрафи і не буде формалізовано поняття бази даних, великі оператори, щоб не витрачати грошей, будуть трактувати закон по-своєму".
Андрій Прозоров, провідний експерт з інформаційної безпеки групи компаній InfoWatch:
Експерти сходяться на думці про те, що з урахуванням нинішніх технічних можливостей Закон № 242-ФЗ не готовий до впровадження в швидкі терміни. За оцінками великих компаній, їм буде потрібно близько трьох років для того, щоб перенести всі свої бази даних в Росію. "З досвіду можу сказати, що у законодавця вже є бачення, як цей закон буде реалізований, як він буде застосовуватися, однак до нас ця інформація поки не доведена. Ми дотримуємося думки, що необхідно виключити з об'єктів регулювання внутрішні корпоративні мережі, оскільки вони не є публічними, носять обмежений характер і недоступні для третіх осіб. Також вважаємо, що необхідно обмежити дію Закону № 242-ФЗ щодо роботодавців, які обробляють персональні дані для виконання трудового законо тва в Росії ", - пропонує Олександр Дубровський.
Поки ж компанії мають право самі вибрати для себе найбільш підходящу стратегію поведінки: дочекатися офіційних роз'яснень Роскомнадзора з приводу застосування нового закону і до тих пір нічого не робити або підстрахуватися і забезпечити зберігання персональних даних виключно на власному або орендованому сервері, що знаходиться на території Росії. Перший варіант чреватий можливими перевірками з боку Роскомнадзора і штрафами, другий же може зажадати виділення значної частини бюджету компанії для реалізації цих заходів. "Невеликі компанії частину завдань по обробці персональних даних можуть цілком перенести в хмарні сховища (наприклад, Dropbox) безкоштовно або з мінімальними витратами. Витрати великих компаній будуть залежати від необхідної потужності, типу серверів і їх кількості, а також додаткових умов технічної підтримки. Розкид ціни при цьому буде від декількох тисяч до декількох сотень тисяч рублів на місяць ", - уточнює Андрій Прозоров. А Дмитро Яковлєв пояснив порталу ГАРАНТ.РУ: "В середньому для невеликої торгової компанії на проект зі зберігання персональних даних буде потрібно від 150 тис. Руб. До 500 тис. Руб. Складніші справи у компаній, що працюють в туристичному бізнесі, - для великого online -агентства вартість зберігання даних обійдеться в середньому в 10-15 млн руб. що з урахуванням амортизації складе в середньому 3-4 млн руб. на рік ".