«Нужны трактовки и правоприменительные кейсы, чтобы все компании пришли к 1 сентября 2015 года подготовленными»

Франко-российская торгово-промышленная палата

На первой состоявшейся франко-российской конференции «Хранение персональных данных в России: нововведения, IT-инфраструктура и кибербезопасность» выступающие эксперты представили участникам уже ясные параметры нового закона, а также в ходе ответов на многочисленные вопросы из зала давали свое видение того, как могут трактоваться конкретные ситуации, которые не описаны в законе и по которым нет разъяснений Роскомнадзора.

Инициатором конференции выступила Франко-российская торгово-промышленная палата для того, чтобы компании успели подготовиться к вступлению в силу 1 сентября 2015 года нового закона «О хранении персональных данных». Интерес к мероприятию – конференцию посетило более 150 специалистов – показал, что данная тема очень актуальна для международного бизнеса в России. «По прошлому федеральному закону №152-ФЗ все тоже думали, что все станет плохо, что бизнес закроется. Но ничего страшного не произошло», – такую параллель с текущей ситуацией сделал Кирилл КЕРЦЕНБАУМ, менеджер по развитию бизнеса «Лаборатории Касперского».

И российские законодатели настроены на диалог и решение технических вопросов с бизнесом: «Появление этого закона обусловлено санкционными обстоятельствами, и, понятно, что подобные вещи не идут на конструктив между странами. В рамках профильного комитета Госдумы мы будем решать технические трудности по выполнению закона. Возможно, те компании, которые производят дата-центры и ввозят их, получат налоговые послабления. Но это не будет массово. Многие начинают спекулировать вокруг закона. Но личные данные граждан РФ должны храниться в России, и это уже давно сложившаяся практика в других странах», – такими словами открыл первую сессию Вадим ДЕНЬГИН, первый заместитель председателя Комитета Государственной Думы по информационной политике, информационным технологиям и связи.

«Нам интересно предоставлять нашу площадку [инфраструктуру городской системы] для старт-апов, которые впоследствии могут расширить возможности нашего сервиса», – сказал Александр ГОРБАТЬКО, заместитель руководителя Департамента информационных технологий г. Москвы, отвечая на вопрос «возможно ли использование грамотной городской системы коммерческими структурами?». «Грамотность» системы он объяснил тем, что они «создают систему, которой будут пользоваться, а не которая будет сверхзакрыта», и как следствие, наличием нескольких уровней идентификации для разного типа операций.

«Сегодняшнее толкование закона будет применяться еще какое-то время, но если что-то произойдет, то Роскомнадзор может перейти к более широкому толкованию понятия «персональных данных» за 1 день, без изменения законодательной базы», – об этом предостерег участников Вадим ПЕРЕВАЛОВ, юрист Baker&McKenzie в своем выступлении по теме «Анализ нововведений в законодательство о персональных данных (242-ФЗ)». Он рассказал о том, у кого возникает обязанность по хранению персональных данных о российских гражданах в соответствии с новым законом; о разграничении ответственности между «оператором персональных данных» и «обработчиком»; о том, как организовать взаимодействие российских юридических лиц (по сути «дочек») с иностранными головными компаниями в части обмена персональными данными, их использования и актуализации. Также Вадим отдельно остановился на вопросе, когда у зарубежных интернет-магазинов возникает обязанность по соблюдению нового российского закона. Именно ему была адресована масса вопросов участников, которые продолжались даже после окончания конференции.

Карен КАЗАРЯН, главный аналитик Российской ассоциации электронных коммуникаций (РАЭК), модерировал сессию и комментировал некоторые аспекты выступлений. В частности, он уточнил, что «актуализация персональных данных в любом объеме приравнивается к сбору персональных данных», а также то, что на компании, предоставляющие услуги интернет-рассылок и незнающие содержания пересылаемых сообщений (к примеру, что человек высылает скан своего паспорта по почте), на распространяется действие закона.

На второй сессии конференции, посвященной «готовности» российских IТ-инфраструктуры, облачных технологий и кибербезопасности к новым реалиям и требованиям законодательства, выступили Владимир КОРОВКИН, руководитель направления «Инновации и цифровые технологии», Институт исследований развивающихся рынков, Московская школа управления «СКОЛКОВО», Гай ВИЛНЕР, генеральный директор IXcellerate, Ульяна ЗИНИНА, советник по вопросам законодательства и регулирования российского офиса Microsoft, Кирилл КЕРЦЕНБАУМ, менеджер по развитию бизнеса «Лаборатории Касперского».

В частности, Гай ВИЛНЕР, генеральный директор IXcellerate, который построил дата-центр в России, рассказал о реальном случае в практике компании, когда клиент с «международным стратегическим подходом» осуществляет не только перенос хранения базы персональных данных в Россию, но и рассматривает Россию как центр обслуживания евразийских и азиатских стран, включая Сингапур.

Ульяна ЗИНИНА, советник по вопросам законодательства и регулирования российского офиса Microsoft, представила юридический анализ нового закона с точки зрения его применения к облаку, а также об «исключениях из закона», одним из которых являются данные HR-систем.

Кирилл КЕРЦЕНБАУМ, менеджер по развитию бизнеса «Лаборатории Касперского», рассказал о результатах проведенного анонимного опроса компаний, подвергшихся хакерским атакам: 28% компаний в результате инцидента теряли персональные данные сотрудников, и такое же количество компаний – данные о клиентах и заказчиках. «Американский закон требует публичного опубликования данных о факте утечки данных, иначе предусмотрены огромные штрафы, – в российском законе такого пока нет», – так прокомментировал Кирилл неоговоренные в законе ситуации.

Вопросы участников из зала касались того, что будет рассматриваться документальным подтверждением факта расположения базы данных в России, является ли заключение договора с ЦОДом, который получил все сертификаты, выполнением условий закона и т.п.

В третьей сессии выступили Юрий ЛАРИН, директор по продажам Россия и СНГ, Arkadin Collaboration Services, Василий ДЯГИЛЕВ, генеральный директор Check Point Россия и СНГ, Эмин АЛИЕВ, исполнительный директор Criteo Россия, Полина ДОБРИЯН, коммерческий директор PayU, и Олег ГУРИН, директор департамента кибербезопасности Huawei Technologies.

Полина ДОБРИЯН рассказала об опыте компании по получению всех разрешений на российский дата-центр компании [сейчас уже получил все разрешения на работу] и призвала «поторопиться, так как все занимает много месяцев». Также она сказала о том, что компания сейчас более глубоко проверяет тех, кто получает для использования PayU, в связи с событиями, произошедшими в прошлом году.

Василий ДЯГИЛЕВ, генеральный директор Check Point Россия и СНГ, рассказал о кейсе ведущей французской газеты Le Monde, для которой они давали рекомендации по защите. По его мнению, которое разделяли все участники сессии, любая аттестация – это проверка уязвимости. Таким образом, можно вовремя найти ошибки и сработать на опережение.

Олег ГУРИН, директор департамента кибербезопасности Huawei Technologies, рассказал об оборудовании, которое содержит встроенные элементы защиты персональных данных, и о проводимых сейчас в компании испытаниях.

Эмин АЛИЕВ, исполнительный директор компании Criteo Россия, которая собирает и обрабатывает огромное количество поведенческих данных людей по всему миру для проведения эффективных баннерных «индивидуальных» кампаний, рассказал о том, почему компания не подпадает под действие закона. Компания получает персональные данные в «обезличенной форме куки», и работает с ней и с огромным количеством поведенческих данных, которые не относятся к персональным данным. Оператором же персональных данных, на которого распространяется закон, является заказчик – к примеру, интернет-магазин, для которого он проводит кампании.

Мы благодарим компанию IXcellerate , которая выступила спонсором данной актуальной конференции.