Перенос персональных данных

[dolboed]

С 1 сентября 2015 года в России вступает в действие Федеральный закон №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

Это тот самый закон, обязывающий всех зарубежных операторов «перенести в Россию» все персональные данные российских пользователей.

Понятно желание интернет-отрасли, прессы и публики получить внятный ответ на вопрос: а кого этот закон вообще затрагивает? Чьи данные подлежат обязательному переносу в Россию?

Исчерпывающий ответ на этот вопрос находим в разъснениях Минсвязи РФ. Цитирую дословно:

— Как следует определять гражданство субъекта персональных данных для целей выполнения требований локализации?
Вопрос о порядке определения гражданства субъектов персональных данных не урегулирован в нормативном порядке.

Простыми словами, никто не знает, чьи именно данные должны быть перенесены на российские серверы.

То ли речь в законе идёт о гражданах РФ — но тогда нам придётся вспомнить, что никакой Гугл, Фейсбук, YouTube, Yahoo или Твиттер никогда не требовал от пользователей предъявить паспорт. Даже платёжные системы, дифференцирующие пользователей по географии, типа PayPal или iTunes, следят не за гражданством, а за юрисдикцией банка-эмиттента пластиковой карты пользователя.

А может, речь идёт о пользователях с российскими IP-адресами? Но тогда нам придётся вспомнить, что по официальным данным ФМС на территории РФ в 2014 году находилось 10.495.163 иностранцев и лиц без гражданства. Очевидно, те из них, кто имеют аккаунты в зарубежных сервисах, подключались к этим сервисам с российских IP во время своего пребывания в России. Так поступали, например, Барак Обама и Марк Цукерберг во время своих визитов в Москву. Значит ли это, что все их персональные данные, хранящиеся сегодня на американских серверах, должны быть перенесены в Россию и переданы под контроль ФСБ?

Нормальный ответ любой зарубежной площадки на такие требования — идите, братцы, в жопу. Мы в эти игры играть не можем и не хотим. Мы перед всеми своими пользователями отвечаем за конфиденциальность персональных данных, включая невозможность передачи этих самых данных спецслужбам Папуа Новой Гвинеи, Северной Кореи, Ирана, Сирии, Камбоджи, Ямайки или РФ.

Роскомнадзор всё это прекрасно понимает. Но Роскомнадзору нужно отчитаться, что требования говнозакона 242-ФЗ к 1 сентября исполнены. Поэтому нам будут врать про разные зарубежные площадки, которые «перенесли» свои серверы в Россию, и про секретные переговоры с Фейсбуком, которые будто бы дали какой-то результат. Но надо понимать одну простую вещь: 242-ФЗ не подлежит исполнению ни в каком правовом государстве. Это кривой и дебильный нормативный акт, годный только на подтирку задницы. Как, собственно говоря, и всё прочее законодательство, принятое Госдумой текущего созыва.

Comments

[ico.livejournal.com]

Осталось рассказать об этом тем владельцам ресурсов, которые, увидя российский ip, будут просто посылать нахуй. :) Им так проще, чем объясняться с этими странными русскими.

[dmarck.livejournal.com]

Надо признать, что Фейсбук как раз в последнее время принялся требовать. Последний лично мне известный пример -- Леонардовна.

[ars-d.livejournal.com]

Там есть и более прелестное

— Уточните, пожалуйста, в нормативных актах понятие персональных данных в связи с тем, что в законе это достаточно размыто.

Существующее понятие, содержащееся в пункте 1 статьи 3 152-ФЗ («любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»), соответствует международному праву – подпункт «а» статьи 1 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, ратифицированной Федеральным законом №160-ФЗ от 19 декабря 2005 года («любая информация об определенном или поддающемся определению физическом лице»). Более точно определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым. Закон также не содержит полномочий по уточнению этого термина подзаконными актами.

То есть никто еще и не знает, что именно такое "персональные данные" :)

[andpierrot.livejournal.com]

то есть когда я приезжаю из Франции в рашку, мой IP становится российским и мои данные должны храниться в этой говносрани? ну дела

[edroovna.livejournal.com]

Ура, все три тысячи фэйковый аккаунтов Недимона перенесли в РФ. И Хуйла тоже. С возвращением в родную гавань, хуйлы.

[veryold.livejournal.com]

да, что-то пошло не так

[aviaangel.livejournal.com]

Закон очевидно ебанут всякому кто хотя бы на уровне установки вордпресса делал себе сайт.
Данные нельзя отделить от кода(по крайней мере для бигдата систем).
А сервера кода вам никто в Россию не поставит (чтоб не модифицировали, не искали уязвимости, не тырили пароли и сертификаты).
Ну и для чего эти личные данные тут будут нужны на случай ядерной войны? Без кода, без социального графа, фотонек и т.п. ВедомостьЛиц.рф на них не построишь.

[01petr.livejournal.com]

зачем им посылать кого-то?
будут обслуживать пока РКН не забанит.
ну фейсбук банить РКН не будет.

[andsey.livejournal.com]

Гг, а, например, мейл.ру требует паспортные данные, в случае чего.

[dima-bat.livejournal.com]

Понятно, что ничего не понятно.

[lazoukov.livejournal.com]

В случае чего! А пока не - оснований нет?

[lazoukov.livejournal.com]

Я эту коллизию на Хабре на примере авиабилетов приводил, там богатейшая почва...

[mkie.livejournal.com]

включая невозможность передачи этих самых данных спецслужбам Папуа Новой Гвинеи, Северной Кореи, Ирана, Сирии, Камбоджи, Ямайки или РФ. - мучительно ожидал прочесть в списке США, но не смог. Что же получается, Антон, двойные стандарты?

[andsey.livejournal.com]

Оснований и не может быть. Вообще.

[kaa.livejournal.com]

именно-таки гражданство подтвердить требовал?

[spiridonov.livejournal.com]

Есть компании, которые собирают паспортные данные сразу при регистрации (ну, если быть точным, при первом депозите): онлайн-казино, букмекеры, форекс-трейдеры и прочие инвестиционные посредники.

Вот у них с завтрашнего числа куча вопросов.

Хотя, для тех же онлайн-казино Россия - все еще серая зона, так что плюс еще один фактор неопределенности вряд ли серьезно изменит что-то

[display-none.livejournal.com]

Это первая часть говнобалета. Вторая часть заключается в том, что физическое расположение сервера никаким образом не связано с гражданством его оператора и прочих лиц, имеющих туда доступ. К серверу компании Гугл, стоящему в Козьмодемьянске может (и будет!) иметь доступ через Интернет сотрудник Гугл с самым ужасным американским гражданством, гей и либерал, никогда в жизни не бывавший в России с грязными от пармезана губами. Для доступа на этот сервер ему вовсе не понадобится получать православную российскую визу и проходить таможенный контроль России тоже не придется.

Так что смысл этого закона конечно же не в том, чтобы защитить нацию воевавших дедов от грязных лап ЦРУ и Моссада (потому что нихуя не защищает, как было сказано выше) а в том чтобы эти ФСБ могла эти сервера легко было конфисковать, открыть и узнать чем живет отечественная пятая колонна. Больше ни зачем этот говнозакон не нужен.

[display-none.livejournal.com]

Гугл американская компания, и как-то наивно думать что он не сотрудничает с ЦРУ и ФСБ)

[ico.livejournal.com]

Они, в отличие от нас, в основном законопослушные. :)
Нет возможности перенести данные в Россию - значит не надо их хранить. И не важно, что закон бредовый.

[01petr.livejournal.com]

ну как не хранить?
история покупок - ФИО, телефон, адрес - хранить придется.
зарубежным продавцам наши законы пофиг...

[egorka1996em.livejournal.com]

Закон реально ни о чем. Ничего по сути не дает и непонятно как его исполнять. Нынешний созыв просто клепает законы, как Донцова. Только там подобие сюжета есть и немного логики, а тут просто авангард мысли. Кажется, что они собираются со словами :" ребят, вчера бухали и такую тему придумали..."

[alekdavis.livejournal.com]

Особый интерес разъяснения Минсвязи РФ представляет раздел "Соотношение требования о локализации отдельных процессов обработки персональных данных с положениями о трансграничной передаче персональных данных", в котором говорится:

"Таким образом, персональные данные гражданина Российской Федерации, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней («первичная база данных»), могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных."

Т.е. закон, суть которого представлялась как требование хранить данные ислючительно в РФ, не запрещает хранить "копии" данных где угодно. Что, по сути означает признание Минсвязи того, что Дума приняла какую-то невыполнимую, непонятно что преследующую херню, но чтобы сохранить державе лицо, западным компаниям дали возможность тоже сделать вид, что они эту херню уважают в натуре, и вааще ништяк.

Кстати, на техническом уровне, выполнение закона означает приблизительно следующее:

1. Регистрируя пользователя, компания каким-то образом выясняет, является ли пользователь гражданином РФ (самый примитивный, хотя и не самый худший, метод - обязать указать название страны при регистрации).
2. Сохранить запись пользователя сначала на сервере в РФ (а потом где надо).
3. Все изменения о пользователе сначала делать на российском сервере.

Короче, очередная распальцовка перед носами западных "коллег", единственный результат которой - это PITA для адвокатов и ITшников.

[dmarck.livejournal.com]

Нет, скан identity потребовал

[bbcec.livejournal.com]

меня сразу арестуют - я очень много гадостей про путина и его команду написал!

[saloniki.livejournal.com]

Не затруднит ли вас ссылочку привести, дюже почитать интересно.