«Все ли сервисы перенесут свои данные? Утвердительный ответ крайне маловероятен. Крупные компании однозначно выполнят требования закона. А вот мелкие...»

Вячеслав Медведев, ведущий аналитик отдела развития компании «Доктор Веб»

Закон повлияет на компании, особенно зарубежные. Им будет необходимо перенести место хранения данных, которые можно отнести к персональным (а что это такое – отдельный и довольно сложный вопрос), на территорию России. Но при этом – что очень существенно – за рубежом можно будет использовать копию этих данных для той или иной обработки.
Скорее всего в случае корректного переноса данных из одного дата-центра в другой пользователи даже не заметят изменений. Иной вопрос: а все ли сервисы перенесут свои данные? Утвердительный ответ крайне маловероятен. Крупные компании однозначно выполнят требования закона. А вот мелкие...

Более интересен вопрос о том, насколько закон существенен для пользователей. Во-первых, увеличится количество мест, где данные могут подвергнуться атаке: похитить их можно будет и по месту хранения, и по месту обработки. Во-вторых, закон №242-ФЗ, а также законы о защите персональных данных и подзаконные акты, действующие как в России, так и за рубежом, не обеспечивают уровня защиты, гарантирующего недоступность данных как для злоумышленников, так и для зарубежных госструктур.
Ну и самое главное: перенос места хранения не означает доступность сервисов, которые работают с этими данными, в случае атаки/санкций и иных событий.

«Данный ФЗ дает государству новые методы легитимного ограничения доступа граждан к публичным сервисам глобальной сети»

Игорь Корчагин, руководитель группы обеспечения безопасности информации,
компания ИВК

Очевидно, что с 1 сентября этого года Федеральный закон №242-ФЗ не сможет заработать в полную силу, поскольку остается непонятным, как именно этот механизм будет функционировать на практике. При этом в данной области отсутствует какая-либо правоприменительная практика.

Данный ФЗ дает государству новые методы легитимного ограничения доступа граждан к публичным сервисам глобальной сети. Неприятным для любого пользователя последствием может оказаться невозможность получить от иностранной компании услугу, в рамках которой требуется передача своих персональных данных. И можно с уверенностью сказать, что множество «небольших» онлайн-сервисов не ринется организовывать свои серверные мощности на территории Российской Федерации даже методом создания формальных зеркальных копий баз данных.

Также уже сейчас стоит обеспокоиться тем многочисленным представителям СМБ-сектора, которые оценили преимущества облачных технологий и выбрали зарубежных провайдеров в качестве площадок для своих ИТ-инфраструктур и как поставщиков облачных бизнес-приложений. Для компаний – пользователей таких сервисов теперь актуальны риски блокировки доступа, что вполне может вести к приостановке основной деятельности компании или нарушению ключевых процессов.

В принципе данный вопрос решается проще, чем первый, за счет выбора и последующей миграции на аналогичные площадки, расположенные на территории Российской Федерации. Однако надо учитывать, что далеко не у всех широко используемых зарубежных облачных сервисов, предоставляемых по схемам SaaS и IaaS, имеются качественные российские аналоги.

«С вступлением закона в силу можно говорить о появлении дополнительного конкурентного преимущества у операторов российских коммерческих ЦОДов»

Илья Царев, руководитель проектного отдела по направлению «Центры обработки данных» компании Schneider Electric

Поправки в федеральный закон «О персональных данных» накладывают некоторые ограничения на территориальное расположение баз персональных данных и трансграничную передачу данных. Не касаясь эффектов закона на бизнес и пользователей в целом, можно говорить о появлении дополнительного конкурентного преимущества у операторов российских коммерческих ЦОДов.

В последние годы среди определенной части российского бизнеса развивалась тенденция размещения части ИТ-ресурсов за пределами РФ. Этой тенденции оказались подвержены даже некоторые государственные и муниципальные органы власти. В качестве площадок для размещения рассматривались коммерческие ЦОДы в Западной Европе, Скандинавии и Прибалтике.

Некоторые прибалтийские проекты новых ЦОДов изначально были ориентированы на российских клиентов. После появления новых требований по крайней мере часть их клиентов вынуждена будет перейти на российские площадки. Также на российских площадках могут появиться ИТ-ресурсы иностранных компаний, ранее работавших с клиентами из РФ исключительно с заграничных площадок.

«Закон о локализации персональных данных россиян на территории РФ может подстегнуть развитие отечественного рынка дата-центров»

Павел Растопшин, старший вице-президент по корпоративным продажам MAYKOR

 Зарубежные компании будут вынуждены использовать услуги аутсорсинга или же вкладывать деньги в строительство собственных ЦОДов, так что российский ИТ-бизнес только выиграет.

Есть опасения, что закон может иметь обратный эффект – часть иностранных компаний может уйти из страны. Но Россия – крупный рынок сбыта, и отказываться от него из-за очередных поправок в законодательстве массово не станут. Согласно недавнему исследованию Российской ассоциации электронных коммуникаций больше половины опрошенных интернет-компаний подтвердили свою готовность соблюдать требования закона, еще 27% заявили о частичной готовности.

На обычных пользователях вступление закона в силу никак не отразится, разве что станет еще одной темой для разговоров о политике.

«В России SAP уже начал предлагать сервисы, расположенные на территории страны, Microsoft объявил о размещении некоторых сервисов Azure в российских партнерских ЦОДах, eBay также планирует переносить на территорию России часть данных. И это только начало»

Андрей Мелузов, руководитель департамента ИТ-аутсорсинга ГК «КОРУС Консалтинг»

«Прежде чем беспокоиться о последствиях применения закона, оцените возможность установления гражданства пользователей, чьи данные хранятся или передаются за рубеж»

Владимир Бакутеев, CEO, компания LiveTex (сервис для обслуживания клиентов и повышения продаж на сайте и в мобильном приложении)

Этот закон уже традиционно посвящен ограничениям. Он определяет порядок блокировки доступа к информации, обрабатываемой с нарушениями законодательства, а также сужает территорию обработки персональных данных российских граждан до территории нашей страны.

Среди опасений бизнеса – и дополнительные издержки в виде затрат на релокацию серверной инфраструктуры в Россию, и просто невозможность исполнения требований нового закона в силу специфики бизнеса. Для некоторых компаний проще отказаться от российского рынка, чем предпринять попытки выполнить все требования закона.

Однако, на мой взгляд, ситуация не столь критична, какой ее преподносят. Известный факт, что негативные прогнозы всегда «продаются» лучше, поэтому акцент и сместился с ограничения по критерию самой информации в сторону ограничения территории. Прежде чем беспокоиться о последствиях применения закона, оцените возможность установления гражданства пользователей, чьи данные хранятся или передаются за рубеж.

«Позиция регуляторов показывает, что в ближайшее время влияние закона на бизнес и пользователей будет незначительным»

Владимир Журавлев, завкафедрой юридических проблем защиты конфиденциальной информации УЦ «Информзащита»

Данный закон бурно обсуждался в среде экспертов, а также в СМИ, причем последние особенно часто говорили о наступающем «Армагеддоне», запрете на бронирование авиабилетов через международные системы (Амадеус (Amadeus), Сейбр (Sabre), Галилео (Galileo) и т.д.), запрет всей интернет-торговли и т.д.

Однако «августовские» разъяснения Минкомсвязи России (http://minsvyaz.ru/ru/personaldata/#1438547150460) говорят о желании мягкого внедрения закона, и что у регулятора нет цели сломать сложившиеся традиции на рынке. Касательно упомянутых систем авиабронирования впрямую указали, что их деятельность считается Минкомсязью законной.
Ходят упорные слухи, что с крупными интернет-магазинами (Alibaba и Amazon) ведутся переговоры и консультации, что также указывает на желание выполнить новый закон с минимальным давлением на бизнес.

Подобная позиция регуляторов показывает, что в ближайшее время влияние закона на бизнес и пользователей будет незначительным. Возможно, в дальнейшем давление будет возрастать, и в течение нескольких лет многих операторов убедят перенести базы с ПДн россиян на территорию РФ, однако сейчас социальные сети будут доступны, самолеты продолжат летать, а интернет-магазины и форумы заманивать субъектов ПДн. Однако запланировать на ближайшее год-два перенос базы на территорию РФ может оказаться целесообразным.

«Международные игроки с интересами в России подстроятся под новые законы и продолжат работать в обычном режиме. С рынка уйдут те организации, для которых расходы на преобразования выше, чем объем местного бизнеса»

Андрей Захаров, руководитель разработки решений и реализации проектов Linxdatacenter, Санкт-Петербург

 Этот федеральный закон на пользователей и бизнес повлияет по-разному. Для первых ситуация практически не изменится. При размещении серверов в России, как требует государство, скорость доступа к данным будет выше. Конечно, речь идет о миллисекундах, но при работе, скажем, с сайтом разница скорее всего будет заметна, поскольку время его загрузки уменьшится.

С бизнесом все не так однозначно. В первую очередь необходимо разделить компании на две категории: те, которые услуги предоставляют, и те, которые этими услугами пользуются. Так, дата-центры от этого закона выиграют, поскольку количество компаний, размещающих данные и оборудование в России, увеличится. По нашему опыту скажу, что уже сейчас многие иностранные организации готовы к законодательным изменениям и уже начали пользоваться услугами местных ЦОД, в нашем портфеле такие заказчики уже есть.

Если говорить о других компаниях, здесь есть несколько возможных вариантов. Международные игроки с интересами в России, несомненно, подстроятся под новые законы и продолжат работать в обычном режиме. С рынка уйдут те организации, для которых расходы на преобразования выше, чем объем местного бизнеса. Отечественным компаниям, до этого хранившим данные за рубежом, придется возвращать их на родину, что подразумевает под собой дополнительные расходы. Организации, которые всегда работали и хранили данные в России, никаких сильных изменений не почувствуют.
В целом можно ожидать, что серьезных потерь для бизнеса не будет. Это очередное обстоятельство, к работе с которым просто нужно привыкнуть.

«Спорные моменты с исполнением закона будут связаны с отсутствием точных определений отдельных терминов и неоднозначностью формулировок, что допускает различные толкования положений закона»

Александр Суханов, консультант по вопросам информационной безопасности, «МФИ Софт»

Оценить, каким образом повлияет закон на бизнес и пользователей, пока сложно. Думаю, основные спорные моменты с исполнением закона будут примерно такими же, что и при исполнении закона ФЗ-152 «О персональных данных». Связаны они с отсутствием точных определений отдельных терминов и неоднозначностью формулировок, что допускает различные толкования положений закона.

Роскомнадзор дает разъяснения по ряду ключевых вопросов, но не всегда это помогает. Например, в ответ на такой важный вопрос, как что же в точности подразумевается под термином «персональные данные», можно найти комментарий, что в каждой конкретной ситуации необходимо руководствоваться индивидуальным подходом, в том числе с учетом отраслевого законодательства.

Организациям, подпадающим под действие закона, можно посоветовать только одно: привлекать юристов и специалистов по ИБ, изучать как сам закон, так и разъяснения от Роскомнадзора, а в сложных ситуациях обращаться к ним с вопросами, возникающими при исполнении требований ФЗ-242. В противном случае придется платить серьезные штрафы и оперативно устранять нарушения после проверок.

«Во всех случаях решение проблемы будет связано с дополнительными затратами на ИТ. И, что немаловажно, с организационными мерами»

Руслан Заединов, заместитель генерального директора КРОК

 Ни на клиентов, ни на сотрудников компаний закон №242-ФЗ не должен хоть сколько-нибудь серьезно повлиять. Ведь от того, где конкретно хранятся и обрабатываются персональные данные – в России или за рубежом, – бизнес-процессы не поменяются.

Сложнее придется самим операторам персональных данных. От них требуется в крайне ограниченном отрезке времени обеспечить соответствие требованиям регуляторов. Сейчас это можно сделать двумя способами – воспользовавшись услугами коммерческих дата-центров или мигрировав данные в облака. Построить собственную площадку в России к 1 сентября было нереально – создание дата-центра с нуля занимает два-три года. Но во всех случаях решение проблемы будет связано с дополнительными затратами на ИТ. И, что немаловажно, с организационными мерами.

«Переезд» в Россию данных – дело трудозатратное. Для успешной реализации требуется разобраться, какие информационные системы компании участвуют в обработке персональных данных, нужно составить план миграции, осуществить ее, внедрить дополнительные сертифицированные средства защиты.

«В законе нет требования обработки персональных данных исключительно в России, поэтому можно продолжать обработку на зарубежных серверах, но копии всех данных хранить в России»

Рустэм Хайретдинов, руководитель проекта Appercut»

1. Можно перестать обрабатывать персональные данные, например, убрать с сайта регистрацию (ФИО + e-mail = персональные данные). Такой подход выведет конкретного владельца сайта из-под действия закона. Подобное действие годится только для небольших компаний.

2. Подчиниться требованиям ФЗ. Многие компании уже объявили о завершении переноса обработки данных на российские площадки.

3. Учитывая, что в законе нет требования обработки персональных данных исключительно в России, продолжать обработку на зарубежных серверах, но копии всех данных хранить в России. Насколько это законно, выяснят первые проверки.

4. Оставить все как есть. Google, Facebook и Apple не собираются выполнять эти требования, и по действиям государства относительно них можно будет решить, какие риски выше – риски исполнения требований ФЗ или риски неисполнения.

«Многие сервисы, работающие с персональными данными клиентов, в настоящее время хранят их за рубежом. Перевод сервисов в Россию заставит их владельцев строить или арендовать ЦОДы на территории РФ, а к этому не все готовы»

Алексей Филатенков, руководитель направления информационной безопасности, компания «Открытые Технологии»

Наибольшее влияние данное изменение в законе «О персональных данных» окажет на бизнес. Дело в том, что многие сервисы, работающие с персональными данными клиентов, в настоящее время хранят их исключительно за рубежом. Перевод сервисов в Россию заставит их владельцев строить или арендовать ЦОДы на территории РФ, а к этому не все готовы. Таким образом, некоторая часть сервисов может перейти в разряд незаконных или покинуть Россию.

С другой стороны, в выигрыше окажутся владельцы ЦОДов, так как вырастет спрос на их услуги. Возможно, также появление ЦОДов с интегрированными услугами, такими как сертифицированные средства защиты персональных данных клиентов.

Большинство пользователей, я думаю, не почувствуют разницу, где обрабатываются их персональные данные. Однако те люди, которые обеспокоены безопасностью своей личной информации, будут довольны. Тем более что подписан также и «Закон о праве на забвение», который дает возможность удалить личную информацию из результатов поисковых запросов.

«Теперь и иностранные компании, работающие на российском рынке или с российской аудиторией, должны будут соблюдать этот закон»

Альберт Алиев, исполнительный директор Fun-box

Закон о персональных данных на самом деле полезный. Единственный его недостаток в том, что он достаточно широко трактует понятие «персональные данные». В результате, если следовать определению закона, под его регулирование подпадает огромное количество компаний и сервисов. Причем получилось так, что закон в этом отношении дает преимущество иностранным компаниям перед российскими, потому что на нерезидентов закон не распространяется.

ФЗ №242 принят для того, чтобы устранить этот перекос. Теперь и иностранные компании, работающие на российском рынке или с российской аудиторией, должны соблюдать этот закон, который обязывает их хранить персональные данные на территории России. После того как они эти данные локализуют, то должны будут соблюдать еще и наши российские требования по хранению и обработке персональных данных.

Этот закон не влияет на российские компании (возможно, только на те, которые специально создали иностранные представительства для того, чтобы не подпадать под российскую юрисдикцию). Соответственно, он коснется только иностранных компаний, работающих с российскими гражданами. Естественно, те компании, которые зависят от российского рынка, пойдут на соблюдение требований закона.

«При желании в любом SaaS или тому подобном проекте можно найти решение, чтобы защитить наших пользователей от угроз»

Олег Грибанов, генеральный директор
ООО «ДАРЕНТА»

Какие риски несет в себе закон о локализации персональных данных россиян на территории РФ? Он коснулся не только индивидуальных предпринимателей, но и небольшие прокатные компании, работающие в интернете с персональными данными граждан. Если данные станут открытыми, то любой желающий сможет следить за перемещением граждан по России и в других странах.

Мы изучили опыт других стран в сфере защиты персональных данных и использовали его в своем проекте. На самом деле все очень просто: нужно хранить информацию на серверах в дата-центрах, которые размещены на площадках M9 и M10, либо, если пользуешься сервисами типа CRM Salesforce, необходимо шифровать данные через российский прокси-сервер, чтобы персональные данные не уходили за рубеж. В общем, при желании в любом SaaS или тому подобном проекте можно найти решение, чтобы защитить наших пользователей от угроз. Стоимость соблюдения закона делает проект дороже на 45%, но это неизбежные затраты, так как важно соблюдать законы.

«Безусловно, новые требования выльются в дополнительную административную нагрузку для бизнеса. В то же время грамотно организованные процессы по локализации персональных данных помогут сохранить время и деньги компании»

Кабаков Антон Юрьевич,
Партнёр ООО «Авара Груп»

Неверно полагать, что требования закона коснутся только деятельности компаний, обрабатывающих большой массив персональных данных и хранящих их в облаках (таких, как банки, отели, страховые компании и т.п.). Напротив, изменения коснуться абсолютно всех компаний, которые так или иначе хранят и обрабатывают любые персональные данные россиян, в том числе собственных сотрудников, на иностранных серверах.

Не все персональные данные подпадают под требование о локализации. Поэтому стоит начать с определения, какая информация попадает под это требование, где она хранится и как обрабатывается. В этом поможет ИТ-аудит, по результатам которого необходимо провести локализацию ПД и надлежащим образом отразить это во внутренней документации компании (политике о персональных данных компании, согласиях работников и иных субъектов персональных данных на обработку и трансграничную передачу их персональных данных и документах, регламентирующих процедуры обработки персональных данных в компании и т.п.).

Новые требования выльются в дополнительную административную нагрузку для бизнеса. В то же время грамотно организованные процессы по локализации персональных данных помогут сохранить время и деньги компании, поскольку существуют различные технические способы локализации, и далеко не все они сложны и требуют больших финансовых вливаний.

«Доступ ко многим информационным системам будет закрыт, а должностые лица и учреждения будут оштрафованы на небольшие суммы»

Сергей Гельбух, начальник управления информатизации и телекоммуникаций, Саратовский государственный технический университет

Поэтому, если следовать буквально тому, что написано в законе, для бизнеса и пользователей должны наступить последствия. С 1 сентября должно быть прекращено использование в государственных учреждениях, к которым относятся университеты, следующих информационных систем:

системы доменных имен DNS и всех систем, использующих DNS, кроме локальных серверов имен в корпоративных сетях, без доступа к интернет;
системы подтверждения подлинности операционных систем Windows;
системы обновлений программного обеспечения Microsoft;
платежных систем с использованием Visa и MaserCard для выплаты зарплаты;
обучающих систем в учебном процессе, таких как Cisco Networking Academy, Coursera и т.д.

Список может продолжить каждый исходя из своих конкретных задач.
В отношении персональных данных написано:

1) статью 18 дополнить частью 5 следующего содержания:

«5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».

П. 8 ч. 1 ст. 6 №152-ФЗ:

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.

Написано очень неопределенно – обработка персональных данных «с использованием баз данных». Это значит, что персональные данные где-то хранятся, а на территории РФ есть какая-то база данных, с использованием которой эти данные обрабатываются? Ну, например, база данных кодов регионов в номерах паспортов или база данных транслитерации имен и фамилий c кириллицы в латиницу.

И непонятно, должна эта база данных находиться только на территории РФ, или она может быть и здесь, и там? И если она и здесь, и там, то как узнать, с использованием чего производится обработка персональных данных?
В зависимости от толкования закона, возможно, придется прекратить выплату зарплаты на карты Visa и MasterCard; не использовать в учебном процессе зарубежные обучающие системы, которые требуют регистрации у себя учащихся, такие как Cisco Networking Academy, Coursera и т.д.
Видимо, нужно прекратить любую передачу персональных данных зарубежным партнерам в связи с организованным вузом или государственными органами обучением студентов в зарубежных вузах, учебными стажировками, командировками преподавателей и студентов, участием в мероприятиях за рубежом. Но, например, если обучение подпадает под определение иной творческой деятельности, тогда можно. Непонятно, подпадает или нет?

Как это повлияет на бизнес и пользователей? Доступ ко многим информационным системам будет закрыт, а должностые лица и учреждения будут оштрафованы на небольшие суммы.

«Данный закон принесет больше пользы, чем вреда. За последние годы в нашей стране построено немало дата-центров, во многом не уступающих зарубежным. Этот закон позволит увеличить их использование и стимулирует рост рабочих мест в этой сфер»

Алексей Шатилов, технический директор ГК «ЛАНИТ Образование»

Крупные бизнес-игроки, такие как Google, Microsoft, Apple, Samsung и т п., не испытают серьезных проблем с переносом своих данных на серверы, расположенные в России. Некоторые из них начали готовиться к этой процедуре и заключать соответствующие контракты с дата-центрами в нашей стране заблаговременно. Соответственно, граждане РФ, пользующиеся услугами этих компаний, не испытают на себе никаких последствий.

Несколько иначе обстоят дела с небольшими фирмами, предоставляющими различные услуги в сфере туризма, электронной коммерции и т.п., которые держат большую часть своих сайтов за рубежом. Они могут столкнуться с затратами, которые будет сложно покрыть в краткосрочной перспективе, и станут выбирать между уходом с рынка или расходами.

Но, несмотря на это, мне кажется, что данный закон принесет больше пользы, чем вреда. За последние годы в нашей стране построено большое количество дата-центров, во многом не уступающих зарубежным. Этот закон позволит увеличить их использование и стимулирует увеличение рабочих мест в этой сфере.

«Можно говорить о положительной тенденции, в рамках которой все больше ресурсов стараются создавать на территории нашего государства, тем самым максимально обезопасить обывателей от вмешательства в их деятельность со стороны других государств и иностранных граждан»

Иван Быков, адвокат МКА «Курганов и партнеры»

 Сегодня даже с учетом множественных разъяснений по этому документу продолжают оставаться пробелы в новой регламентации. Но львиная доля пробелов должна быть решена в первые месяцы использования новой системы. Сомнения и вопросы до момента практического применения – это нормальный процесс для нововведений.

Для граждан вряд ли что-то сильно изменится, возможно, их персональные данные будут чуть больше защищены с учетом локализации места хранения, но не более. Для организаций проблемы возникнут в переходный период, в большинстве своем они будут связаны с процедурой перехода на новую систему. Но это должно быть решено в процедуре применения закона.

В остальном можно говорить о положительной тенденции, в рамках которой все больше ресурсов стараются создавать на территории нашего государства, тем самым максимально обезопасить обывателей от вмешательства в их деятельность со стороны других государств и иностранных граждан.

«Что касается бизнеса российских ЦОДов, то один подзаконный акт сгенерирует для них приход большой доли рынка, поэтому их ждет большой наплыв заказчиков и соответственно выручки»

Иван Лифантьев, руководитель отдела по работе с операторами компании «Гарс Телеком»

Для начала следует понимать: данный закон не представляет собой ничего сверхъестественного. Подобная инициатива давно введена во всех развитых странах и успешно функционирует. Ориентируясь на зарубежный опыт, можно быть уверенным, что как только все компании осознают целесообразность и рациональность данного закона, все пойдет своим чередом. Все сложности будут связаны с запоздалой реакцией на требования закона.

Конечно, прежде всего закон коснется крупных организаций с глобальной структурой, чье использование заграничных ЦОДов очевидно. А особенно тех, чей головной офис находится в странах – инициаторах «санкционной войны» с РФ. Они будут первыми в очереди на проверку и сами это осознают. Поэтому свою подготовку к переходу они начали заранее и уже полным ходом «интегрируются» в российскую телеком-действительность последние три-четыре месяца. Многие из них уже готовы к новым реалиям и нормам закона, но множество крупных проектов еще находится на стадии подписания договора.

При этом небольшие компании, размещающие серверы на зарубежных хостингах по соображениям «отказоустойчивости», совсем немного знают или совсем ничего не знают о законе. Это усложняет взаимодействие и не позволяет сделать точные прогнозы последствий. Кроме того, не стоит недооценивать риски и рассчитывать на то, что можно отложить переход на потом. Если же кто-то не уверен в качестве обслуживания российских дата-центров, то им не следует переживать. Сегодня российские ЦОДы стараются организовывать по европейским стандартам, поэтому можно с уверенностью сказать, что они справятся с поставленной задачей.

Что касается бизнеса российских ЦОДов, то один подзаконный акт сгенерирует для них приход большой доли рынка, поэтому их ждет большой наплыв заказчиков и соответственно выручки. Тем не менее пока вся активность сконцентрирована на трех-четырех известных дата-центрах, поэтому самые очевидные результаты действия регулятора можно будет наблюдать на полях именно этих игроков.

«Сейчас компаниям нужно проверить, подпадает ли их деятельность под исключения, например, не связана ли она с международным законодательством»»

Анастасия Успенская, эксперт продукта «Контур.Персональные данные» компании СКБ «Контур»

 По новым правилам запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных должны производиться с использованием баз данных, находящихся на территории Российской Федерации, только при сборе персональных данных, в том числе через интернет (кроме некоторых исключений).

Понятие сбора в ФЗ-152 не определено. Исходя из логики и здравого смысла, а также прислушиваясь к недавнему комментарию Минкомсвязи России, можно определить, что сбор персональных данных – не любое их получение, а получение лишь у субъекта персональных данных либо его законного представителя. У операторов появляется обязанность собирать персональные данные в российские базы, а далее, когда сбор окончен, закон не запрещает передавать, хранить, обновлять и совершать любые другие действия с данными, кроме сбора, на территории другого государства.

Сейчас компаниям нужно проверить, подпадает ли их деятельность под исключения, например, не связана ли она с международным законодательством? Также стоит сфокусировать внимание на грамотном построении и описании технологического процесса обработки информации в информационной системе персональных данных.

«С точки зрения последствий для пользователей – ограничивается выбор услуг и товаров в привычных для них сервисах»

Алена Килина, эксперт практики аудита и консалтинга по информационной безопасности компании «Атринити» (входит в группу «Астерос»)

Опубликованные недавно Разъяснения Минкомсвязи по 242-ФЗ содержат ряд интересных и важных моментов. В частности, действие закона распространяется как на российские компании, так и на иностранные, при условии направленности их деятельности на территорию РФ. Повезло авиаперевозчикам – на них требования 242-ФЗ не распространяются. В число исключений также попадают их уполномоченные агенты и лица, осуществляющие бронирование, оформление, выдачу авиабилетов и иных перевозочных документов, деятельность которых предусмотрена законодательством РФ или международными договорами.

Остальным операторам придется найти денежные средства на организацию обработки персональных данных на территории РФ, например, путем перенесения, создания или аренды ИТ-инфраструктуры. Также не стоит забывать об обязанностях операторов обеспечивать защиту информации в соответствии с требованиями нормативных правовых актов РФ в части обработки и защиты персональных данных.

В случае нарушения законодательства Роскомнадзор может принять меры по блокировке интернет-ресурса оператора, а также по приостановлению или прекращению обработки персональных данных этим оператором. Нередко такие санкции могут оказаться фатальными для бизнеса.
С точки зрения последствий для пользователей – ограничивается выбор услуг и товаров в привычных для них сервисах.

«Если раньше проверки Роскомнадзора не могли осуществляться чаще, чем раз в три года, и срок их проведения не должен был превышать 20 рабочих дней, то теперь эти лимиты сняты. Проверить теперь могут в любой момент, по любому поводу»

Антон Матюшенко, президент Российской ассоциации честных адвокатов

Компании, имеющие базы персональных данных клиентов и сотрудников на иностранных серверах, обязаны перенести информацию на серверы РФ. Большой проблемы в этой части закона нет, так как он предусматривает возможность дублирования баз данных на серверы иностранные. Это жизненно необходимо для туроператоров, авиакомпаний, интернет-магазинов и прочих предпринимателей, ведущих транснациональный бизнес.
В то же время закон предусматривает изменение порядка осуществления контроля со стороны Роскомнадзора. Если раньше проверки вышеупомянутым органом не могли осуществляться чаще, чем раз в три года, и срок их проведения не должен был превышать 20 рабочих дней, то сейчас эти лимиты сняты. Проверить теперь могут в любой момент, по любому поводу, причем процесс может проходить так долго, сколь угодно будет Роскомнадзору.

Кроме таких санкций за нарушения законодательства, как штрафы, внесение компаний в реестр нарушителей и, наконец, блокирование веб-ресурса, у всемогущего органа надзора появится еще один мощный рычаг воздействия – бесконечные проверки.

«Для бизнеса распространенная практика реализации требований законов ФЗ-149 и ФЗ-152 сегодня – это привлечение сторонних сервис-провайдеров и аутсорсинг с их помощью всех непрофильных для компании процессов, которые требуются по законам»

Евгений Пережигин, руководитель департамента Microsoft Dynamics CRM, ИТ-компания Navicon

«Для международного бизнеса закон – это дополнительные расходы на миграцию данных, для российского бизнеса – это стимулы для развития ИТ, в частности, рост облачных сервисов. Для пользователя – усиление контроля со стороны государства»

Евгений Пухов, технический консультант Commvault Россия

Для крупных транснациональных компаний, которым требуется идентифицировать ПНД и выполнить миграцию, сроки очень сжатые. К тому же качество услуг, предоставляемых отечественными ЦОД, не всегда соответствует качеству, к которому привыкли зарубежные компании. В связи с вступлением в силу 242-ФЗ логично ожидать бурного развития российских облачных сервисов, а также повышения их качества.

Очевидно, что целый ряд задач невозможен без обработки данных вне территории РФ. Такие сервисы, как оформление виз и авиаперевозки, по определению подразумевают международную обработку данных, так что будем надеяться, что «железный занавес» нам пока не грозит.
В законе есть три допущения, которые оставляют окно для маневров тем компаниям, чей бизнес не может работать с данными только на территории РФ, или тем, которые не успели выполнить миграцию данных.

1. Во-первых, в законе нет понятия «исключительность». Закон предписывает хранить и обрабатывать на территории РФ, но явно не запрещает хранить и обрабатывать на территории других стран.
2. Во-вторых, по-прежнему разрешена трансграничная передача персональных данных – «…на основании международных договоров или во исполнение договора с субъектом, непосредственным владельцем данных…» (правда, разрешено это не для всех стран: есть дополнительные нормативы Роскомнадзора на эту тему). Для «пользователя» это означает, что компания – поставщик услуг попросит подписать дополнительное соглашение, аналогичное популярному «согласию на обработку ПНД».
3. В-третьих, согласно 152-ФЗ (ПНД) существует тип данных – «обезличенная информация». К этому типу относятся персональные данные, которые в процессе обработки потеряли свою субъектную принадлежность, или, наоборот, данные, при использовании которых невозможно установить прямую связь с конкретным лицом или событием. Согласно пятой статье 152-ФЗ обезличивание информации выводит ее из категории ПНД, а значит, и из-под действия закона, и может приравниваться к ее уничтожению. Норма полезна на практике.

Если резюмировать вышесказанное, то для международного бизнеса 242-ФЗ – это дополнительные расходы на миграцию данных, для российского бизнеса – это стимулы для развития ИТ, в частности, рост облачных сервисов. Для пользователя – усиление контроля со стороны государства.

«Первые шаги на пути к независимости всегда не просты и всегда не бесплатны. А от независимости можно двигаться к свободе – главное, определиться, к свободе от чего»

Сергей Котов, эксперт по информационной безопасности компании «Аладдин Р.Д.»

Локализация на национальной территории – никакая не гарантия, но шаг в направлении пути, который, рано или поздно, придется пройти. Бизнес, конечно, будет «плакать», стенать о кризисе, пугать разорением и перекладыванием бремени на пользователей, говорить о бесперспективности самоизоляции и т.д. и т.п. Это стандартные приемы бизнеса, что нормально (кто же не мечтает получать доллар на цент в секунду – жаль, что мало у кого это получается), но начинать когда-то нужно.

Первые шаги на пути к независимости всегда не просты и всегда не бесплатны. А от независимости можно двигаться к свободе – главное, определиться, к свободе от чего.

«Для большинства компаний, которые массово обрабатывают персональные данные – по сути, предоставляют интернет-сервисы для физических лиц, – этот закон не стал неожиданностью»

Илья Титов, директор по информационно-технологическим проектам, Модульбанк 

Ввод в действие Закона о локализации данных – это продолжение процесса уточнения работы с персональными данными. Основной акцент в законе сделан именно на хранение персональных данных, даже для иностранных компаний. Вполне логично, что, если ваш бизнес-интерес направлен на Россию, выполняйте требования и храните данные в России. Но какие цели этим преследуются, не совсем понятно.

Для большинства компаний, которые массово обрабатывают персональные данные – по сути, предоставляют интернет-сервисы для физических лиц, – этот закон не стал неожиданностью. Больше года назад они начали подыскивать ЦОДы в России с параметрами, соответствующими западным аналогам – как ценовым, так и технологическим. Но перенести в российский ЦОД свои системы – это простая задача. А что делать бизнесу, который завязан на импортные сервисы вроде SaaS или BPaaS? Не думаю, что, например, компания SalesForce из-за российских инициатив переедет в наши ЦОДы. Для таких организаций начинаются проблемы – либо искать лазейки в законе, либо вкладываться в процесс миграции.

«Многие компании в контексте этого закона планируют в самое ближайшее время открывать в России свои официальные представительства. Кроме того, размещение серверов на собственной территории станет выгодным инвестиционным проектом»

Андрей Черногоров, генеральный директор компании Cognitive Technologies

Закон благоприятно отразится на инвестиционном климате в сфере информационных технологий России, поскольку укрепит позиции отечественных хостинг-компаний и интернет-сервисов, работающих исключительно для пользователей внутри страны (а таких компаний и проектов с каждым днем становится все больше). В конечном итоге российские пользователи только выиграют от расширения продуктовой линейки разномастных ИТ-продуктов.

Документ уже стал эффективным катализатором развития на российском рынке не только ЦОДов, но и в целом ИТ-бизнеса: многие компании в контексте этого закона планируют в самое ближайшее время открывать в России свои официальные представительства. Кроме того, размещение серверов на собственной территории станет выгодным инвестиционным проектом. Ведь мы помним, что, по результатам исследования IDC, каждый рубль, потраченный на сервер, требует еще примерно 51 копейку на электричество и охлаждение, поэтому даже небольшое увеличение или уменьшение потребления электроэнергии оказывает прямое влияние на затраты.

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

Copyright © Системный администратор