Роскомнадзор будет публиковать рекомендации по применению закона о персональных данных

<>Конференция "Хранение персональных данных в России: нововведения, IT-инфраструктура и кибербезопасность", которая прошла 25 февраля 2015 года в Москве, собрала представителей власти, юристов, аналитиков, руководителей российских и международных компаний. Актуальность темы была подтверждена живым интересом бизнеса к обсуждаемым вопросам: чего ждать и как действовать после принятия поправок в 242-ФЗ. Напомним, теперь закон обязывает компании с 1 сентября 2015 года хранить персональные данные российских граждан на территории страны.
Организатором мероприятия выступила Франко-российская торгово-промышленная палата (CCI France Russie), справедливо полагая, что компании-партнеры нуждаются в пояснении ряда вопросов, связанных с изменениями в законодательстве, и выработке соответствующей стратегии.
Впрочем, на многие вопросы в правоприменительной практике ответов пока нет. Зато есть инициативы, которые только предстоит рассмотреть законодателям. Так, Вадим Деньгин, первый заместитель председателя Комитета Государственной Думы по информационной политике, информационным технологиям и связи, предложил подумать над такой проблемой: может ли международная компания, имеющая бизнес в России, рассчитывать на таможенные послабления при ввозе иностранного оборудования для дата-центра? Речь, конечно, идет о ситуации, когда компания решает строить ЦОД на территории РФ, но по ряду причин, в том числе и в виду собственных политик безопасности, вынуждена использовать только иностранные ИТ-продукты.
Вопрос о том, можно ли считать базами персональных данных содержимое адресных книг почтовых программ – кладезь личных сведений об адресатах, юрист Baker&McKenzie СНГ Вадим Перевалов предпочел оставить без ответа. Эксперт напомнил, что в самом определении понятия «персональные данные» имеются разночтения: закон устанавливает, что все данные, прямо или косвенно относящиеся к физлицу, являются персональными, при этом Роскомнадзор не считает таковыми контактную информацию (адрес электронной почты, телефон). Не исключено, что регулятор пересмотрит данный подход, заключил юрист.
Не проработан еще и вопрос о том, какой документ будет подтверждать нахождение персональных данных на территории России. Сегодня, согласно действующему законодательству, не все операторы персональных данных обязаны извещать Роскомнадзор о месторасположении своих клиентских баз данных. Впрочем, облачные провайдеры при заключении договора об оказании услуг, как правило, указывают, где находится их дата-центр. На какие документальные подтверждения опираться компаниям, не использующим облако, пока непонятно. Возможность внесения соответствующих изменений в подзаконные акты, как сообщили эксперты со ссылкой на Роскомнадзор, уже обсуждается.
Пока также неясно, распространяется ли новый закон о персональных данных на авиакомпании, чья деятельность регламентируется в том числе международными соглашениями. Эксперты могут лишь посоветовать дождаться прецедента в сфере авиаперевозок.
Опыт конференции показал, что подобные мероприятия рынку сегодня очень нужны. Они выявляют пробелы в нормативной базе и помогают детально разобрать, как привести бизнес в соответствие с требованиями в каждой из отраслей. Активную работу над этим ведет и Роскомнадзор, в частности, организует сессии с экспертами. Замечания и предложения по совершенствованию закона тщательно изучаются.
Рекомендации Роскомнадзора по защите персональных данных будут публиковаться по мере принятия подзаконных актов. Планируется, что первые рекомендации появятся уже в марте текущего года.