Так ли страшен закон о защите персональных данных

Менее полугода осталось до вступления в силу федерального закона №242, обязывающего хранить на территории России персональные данные наших граждан, обрабатываемые через интернет. Сейчас в реестре Роскомнадзора зарегистрировано более 300 тыс. организаций, юридических и физических лиц, которые так или иначе хранят или обрабатывают подобную информацию. Это IT-компании, интернет-сервисы по бронированию билетов, платежные и банковские системы, туроператоры. Туризм, прежде всего, затрагивают ограничения, которые могут коснуться глобальных систем бронирования (GDS) – Amadeus, Galileo, Worldspan, Sabre. Ими пользуются более 800 тыс. турагентств по всему миру.

 В ходе подготовки закон вызвал множество негативных отзывов. Активные споры вокруг него возобновились после того, как в конце февраля 2015 года Госдума решила повысить штрафы за нарушения при обработке и защите персональных данных. Согласно поправкам в Кодекс об административных правонарушениях (КоАП), принятым в первом чтении, юридическим лицам придется теперь платить штраф не 10 тыс., а 50 тыс. рублей. А если компания без необходимости работает с персональными данными, ей грозит штраф в 300 тыс. рублей. Рынок нервничает. Мало того, что закон о защите данных вступает в силу на целый год раньше, чем ожидалось, а тут еще – штрафы.

Интернет-компании и отраслевые организации весь прошлый год просили отсрочить вступление нормы в силу, так как за несколько месяцев подготовить внутренние сети технически невозможно: помимо внеплановых издержек в десятки миллионов евро это может повлечь полную остановку добросовестных законопослушных предприятий. Вчера об этом еще раз напомнила Ассоциация эксплуатантов воздушного транспорта (АЭВТ), которая объединяет крупнейшие авиакомпании России. Как сказано в официальном письме главы ассоциации Владимира Тасуна бизнес-омбудсмену Борису Титову, «применение на практике закона №242 может привести к остановке с 1 сентября 2015 года продажи и выполнения воздушных перевозок российскими авиакомпаниями, поскольку закон устанавливает заведомо невыполнимые требования и дает возможность для необоснованного привлечения к административной ответственности авиаперевозчиков».

Сейчас обработка персональных данных при бронировании и продаже авиабилетов в гражданской авиации осуществляется с использованием глобальных распределительных систем (GDS) Amadeus, Gabriel, Sabre и Galileo. С их помощью реализуются билеты на рейсы российских авиакомпаний в различных странах. Билеты также продаются через партнеров по всему миру, которые тоже используют GDS. Но, как указывает АЭСВТ, эти системы не принадлежат авиакомпаниям, и перевозчики не могут повлиять на процесс перенастройки, чтобы работа систем отвечала требованиям законодательства России о хранении данных. А в нашей стране пока нет автоматизированной информационной системы бронирования и продажи авиабилетов на современном уровне и в объемах, достаточных для удовлетворения потребностей всех российских авиакомпаний.

Крупнейшая международная ассоциация гостиничного бизнеса The Leading Hotels of the World также опасается, что международные поставщики окажутся в сложной ситуации: «Они вынуждены искать возможности хранить и обрабатывать персональные данные на территории России, но далеко не у всех здесь есть собственные офисы. Найти быстрое технологическое решение проблемы будет непросто», – говорит Анастасия Белякова, старший директор The Leading Hotels of the World в России и СНГ.

Московское представительство международной туристической корпорации Travelport, в состав которой входят три GDS, также обратилось к бизнес-омбудсмену с официальным письмом. В нем сказано, что принятие закона в его нынешней формулировке делает невозможным бронирование и продажу авиабилетов и других услуг нашим гражданам на территории страны из-за отсутствия в России необходимой технической базы и невозможности ее создания до 1 сентября 2015 года. Главное, что сейчас нужно отрасли, – отсрочка исполнения злополучного закона как минимум на год. Это время необходимо для подготовки и внедрения технологических средств обеспечения записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных российских граждан с использованием баз данных, находящихся на территории РФ.

Но не все эксперты столь категоричны. Ряд специалистов считают, что закон по защите данных сложный, объемный, потребует от компаний более серьезного подхода к вопросам безопасности и анализа своей деятельности. Но он вполне реализуем на практике, а главное – согласуется с аналогичными требованиями, которые многие страны давно применяют в этой сфере. Например, пару дней назад Высший суд Евросоюза предписал Google обеспечить удаление личной информации по запросу пользователя. Похожие законы с разной степенью ограничения действуют во многих странах Европы. Свое законодательство о защите информации Евросоюз планирует также обновить уже в этом году, так как действующие правовые акты были приняты еще в 1995 году, а с тех пор количество и качество интернет-порталов выросли в разы. В Китае закон о защите персональных данных вступает в силу одновременно с российским, в сентябре этого года.

Нельзя также сказать, что закон №242 – абсолютная неожиданность. 1 января 2011 года уже вступил в силу закон №152 «О персональных данных», который потребовал от турфирм качественно нового подхода к безопасности. Нынешний закон, по словам экспертов, лишь развивает предыдущий. Но и он не предполагает обработку данных только на территории России, это могут быть и резервные серверы, на которых копируется информация. Нет в законе и положения о запрете россиянам размещать свои данные за рубежом, а иностранным компаниям – получать и обрабатывать персональные данные россиян. Да, далеко не у всех зарубежных компаний есть свои дата-центры, но найти выход всегда можно, особенно если зарубежная компания заинтересована в российском рынке. И для этого достаточно даже полугода, оставшегося до вступления закона в силу. Особенно если учесть финансовые возможности крупнейших дистрибьюторов.

Как сложную, но не безвыходную, оценивает нынешнюю ситуацию генеральный директор сервиса по продаже авиабилетов Biletix Александр Сизинцев: «Конечно, авиаперевозки не остановятся, все будет идти своим чередом, так как это – не только хранение данных, но огромный комплекс, в котором задействованы многие компании, страны, отрасли». Тем не менее отдельные проблемы возможны. Biletix хранит все данные на серверах в России, но глобальные системы бронирования билетов (GDS), по словам эксперта, размещают данные не на российских серверах и за короткий срок изменить это невозможно. Даже российские GDS, например, «Сирена», передают сведения за рубеж – в базы данных иностранных авиакомпаний. В этом плане Александр Сизинцев солидарен с главой Ассоциации воздушных эксплуатантов: учитывая сложность IT-инфраструктуры крупнейших систем бронирования, адаптироваться к новому российскому законодательству в короткий срок будет непросто. Значит, под угрозу будут поставлены целые сегменты туристической отрасли в России.

С другой стороны, если западные компании хотят работать в нашей стране, они найдут возможность открыть здесь свои представительства для хранения персональных данных россиян, уверен г-н Сизинцев. И это – несомненный плюс. Многочисленным системам бронирования отелей, авиабилетов, круизов придется привести свой бизнес в соответствие с российским законодательством, а значит, не только создать серверы для хранения персональных данных российских туристов в нашей стране, но и платить налоги. Новый законопроект будет полезен для «белого» российского турбизнеса и для конечного потребителя.

Примеры такой адаптации уже есть. Крупнейший оператор электронных денежных средств американская компания PayPal уже разместила в России серверы, где будут храниться персональные данные наших граждан. Компания Orange Business Services, дочка французского сотового оператора Orange, также сообщила, что десятки зарубежных клиентов готовы перенести свои данные в московский дата-центр.

Закон принимался в экстренном порядке, не лишен серьезных недостатков, так что возникновение проблем с его введением вполне вероятно. О том, что и власть ищет возможности для облегчения процесса вступления нового закона в силу, говорят планы Роскомнадзора. До середины марта ведомство запланировало встречи с менеджерами из разных отраслей российского и зарубежного бизнеса – компаний электронной торговли, в том числе PayPal и eBay, а также Google, «Яндекс», Mail.ru Group, Rambler&Co .

Свой «ликбез» решила провести и RATA-news. В ближайшее время мы намерены предложить читателям материалы об особенностях применения нового закона в турбизнесе, подготовленные специалистами в сфере защиты персональных данных.

Светлана Ставцева, RATA-news