Авторы законопроекта — депутаты Виктор Пинский и Даниил Бессарабов. Они предлагают установить различные размеры штрафов за неисполнение обязанностей по обеспечению
«записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных» россиян.
Так, для граждан размер штрафа составит от 30 тыс. до 50 тыс. рублей, для должностных лиц — от 200 тыс. до 500 тыс., для юридических лиц — от 2 млн рублей до 6 млн.
В том случае, если нарушение совершили повторно, суммы штрафов значительно повышаются:
- от 50 тыс. до 100 тыс. руб. для граждан;
- от 500 тыс. до 1 млн руб. для должностных лиц;
- от 6 млн до 18 млн руб. для юрлиц.
«Разработанный законопроект направлен на усиление мер административной ответственности за нарушения в сфере обработки данных и распространения информации. <...> Неисполнение обязанности по локализации баз с персональными данными создает угрозу безопасности граждан, функционирования критической информационной инфраструктуры, препятствует эффективной борьбе с терроризмом и экстремизмом <...>», — говорится в пояснительной записке законопроекта.
Кроме уже описанных выше мер, депутаты предлагают повысить штраф за повторное невыполнение требований о хранении и предоставлении силовым структурам данных о переписке граждан в мессенджерах. Аналогичные санкции они предлагают ввести за отказ владельца мессенджера предоставить в ФСБ «информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений».
Насколько можно понять, речь идет о ключах шифрования, которые Роскомнадзор требовал у Telegram. Несколько дней назад представители ФСБ потребовали у «Яндекса» предоставить сессионные ключи шифрования своих пользователей, что автоматически означало возможность получения доступа к учетным записям пользователя на разных сервисах компании.
За повторный отказ интернет-поисковиков ограничить выдачу ссылок на заблокированные ресурсы депутаты предлагают повысить штраф до 5 млн рублей. О подготовке нового законопроекта, предусматривающего крупные миллионные штрафы ранее сообщил глава Роскомнадзора Александр Жаров. Он заявил, что для крупных технологических компаний вроде Facebook, Twitter, Google не страшны миллионные штрафы.
В начале этого года социальные сети Facebook и Twitter были оштрафованы на 3 тысячи рублей каждая за отказ разместить серверы для хранения персональных данных россиян в РФ.
Минутка заботы от НЛО
Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:
Как написать комментарий и выжить
- Не пишите оскорбительных комментариев, не переходите на личности.
- Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
- Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.
Что делать, если: минусуют карму | заблокировали аккаунт
> Кодекс авторов Хабра и хабраэтикет
> Полная версия правил сайта
Комментарии (74)
ChiefPilot
14.06.2019 09:42Лучше бы они разобрались с тем, что творится с этими данными внутри страны!
hermes-jr
14.06.2019 09:50+2Я не понимать. Допустим, есть россиянин и у него есть персональный блог на сервере в Германии, в котором он без псевдонима под настоящими ФИО пишет, как он обожает каких-нибудь баптистов (т.е. согласно habr.com/ru/post/107576 это «категория 1 — персональные данные, касающиеся… религиозных и философских убеждений ...» в «объёме менее 1000»). Это теперь для него стоит 100к что ли?
karl93rus
14.06.2019 10:17Нет. Я так понял, что если ты физик и у тебя есть какой-нибудь сайтик, где ты собираешь данные юзеров, то ты, как владелец этого сайтика, должен держать эти данные в РФ. Если ты компания, то же самое. Если ты ведешь бложег на реддите каком-нибудь, или на сайтике, который расположен на сервере в Германии, то тебе, как юзеру, ничего за это не будет. Ты-то, как юзер, понятия не имеешь кто и где хранит информацию.
hermes-jr
14.06.2019 10:56Ну я имел в виду именно свой блог на каком-нибудь vps или дедике, будь это статика или какой-нибудь вордпресс с бд — не суть. Получается человек собирает и хранит там персональные данные сам о себе.
LazyTalent
14.06.2019 13:41А если я, являясь гражданином РФ, пересекаю границу другого государства и меня, пограничники или таможенники, заносят в свою базу…
nochkin
14.06.2019 18:13Если данные хранят не на сервере, а просто на бумаге, то всё чики-пуки.
hMartin
14.06.2019 18:19биометрику тоже?)
lany
15.06.2019 11:59Думаю, если вы покупаете авиабилеты зарубежной авиакомпании или бронируете отель за рубежом, практически наверняка имя, дата рождения и номер паспорта осядут в каких-нибудь зарубежных базах данных.
powerman
15.06.2019 16:36Получаем довольно простой алгоритм:
- Ввести свои персональные данные на любом сайте (даже русском — большая часть всё-равно живёт на зарубежных хостингах/облаках).
- Написать в РКН о своём беспокойстве, что этот сайт не хранит введённые вами данные на территории РФ, с просьбой проверить факт хранения данных в соответствии с законодательством и сообщить о результатах проверки.
В результате либо будет DDoS РКН, что само по себе приятно, либо, что более вероятно, в очередной раз наивные убедятся в том, что закон применяется избирательно и только в интересах текущей власти.
BigD
15.06.2019 23:34бронирование билетов не подпадает под действие 152 и 242 ФЗ
powerman
16.06.2019 10:12Так ведь никто же не ограничивается выполнением только и исключительно основной функции. Вы передали перс.данные ради того, чтобы забронировать билет, но дальше эти данные будут использоваться для отслеживания поведения, для рассылки рекламы, для продажи третьим лицам, etc.
AbstractGaze
14.06.2019 10:52И? 152 фз тут причем? Персональный блог для личных же нужд, 152 фз на этого россиянина не распространяется.
uzverkms
14.06.2019 10:55А при том, что россияне теперь будут доставлять неудобства любым веб-сервисам в мире. Пришел, зарегистрировался, оставил свои персональные данные за рубежом. Всё, медимум, реддит, и т.д. попали.
hermes-jr
14.06.2019 11:012. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
Ткнули в правильное место, спасибо! Значит, можно не переживать.
hippohood
15.06.2019 19:25Граница между блогом для личных нужд и для коммерческих / политических целей весьма расплывчата. Популярные блоги в России уже законом определяются как СМИ просто исходя из количества посещений. Выложите однажды фоточку с котёнком и вот вы и СМИ.
Но в данном кейсе полагается вариант когда российский физик размещает о себе личную информацию на форуме, который, просто для аргумента, имеет коммерческую сущность. Проблемы не у физика, а у форума
AbstractGaze
16.06.2019 16:17Причем тут СМИ и оператор пдн? Не мешайте все в одну кучу. Эти вещи регулируются разными законами.
Duny
14.06.2019 10:42Интересно, могут ли спецслужбы подкинуть наркотики в данные, хранимые на территории России?
uzverkms
14.06.2019 10:53Конечно. В данном случае это будет называться «экстремистские материалы» в форме текста или изображений. Вставят пару строк мелким шрифтом внизу сайта, а потом зафиксируют в протоколе ;)
OneOfUs
14.06.2019 11:04+2Как же надоела уже эта «опека» государства под предлогами #виздетираристы и #анижыдети вводить цензуру интернета. Вместо того, чтоб концентрировать персональные данные в одном месте, сделайте финт ушами и размещайте «облака» тех же гуглозонов в своих датацентрах. Это как обмен
заложникамипослами в разных государствах.
А знаете, по такой схеме можно заниматься кибертерроризмом компаний: находишь крупную компанию с открытой регистрацией, у которой нет серверов в России, регистрируешься, предоставляя персональные, а потом «А-а-а-а! Смотрите! Они хранят ПД российских граждан не в России! Ату их! Ату!»
Lure_of_Chaos
14.06.2019 12:20А знаете, по такой схеме можно заниматься кибертерроризмом компаний
Это же первичный сценарий
pewpew
14.06.2019 11:21А что если авторизовать своих пользователей через какой-нибудь OAuth и хранить только обезличенные хэши? Остальное — дело тех служб, кто занимается авторизацией? Те же Госуслуги? Можно забить на все эти требования?
Lure_of_Chaos
14.06.2019 12:24Те же Госуслуги?
Мечта государства: в сети могут писать только пользователи, зарегеннве через ГУ, под своим реальным ФИО. Для совершенства этого сценария не хватает только премодерация контента чиновникомpewpew
14.06.2019 14:18Собственно, я имел ввиду сторонние средства авторизации, на которые лягут обязательства соблюдения всей этой бредятины. Впрочем, авторизовывать пользователей можно и по аккаунту в Google и вообще по чему угодно. Им удобно. И придраться будет невозможно. На вашем сервере бует просто абстрактный ID записи в этой сети.
dmxvlx
15.06.2019 08:23Да кстати, есть у меня на друпале один модуль авторизации через соц.сети, нужно попробовать отключить в настройках Fields to request все поля и проверить, не запишется ли мыло в аккаунт… — Идею вы хорошую подкинули! Спасибо! — всё лучше если сработает, нежели закрывать доступ для регистрации по гео-признакам РФ ip адресов (хотя и это нужно будет реализовывать, оставляя только такую регистрации/авторизацию для россиян)…
texder
14.06.2019 12:30По моему, здесь самих граждан забыли спросить. Вот, я, например, наоборот, хочу хранить свои данные за рубежом, и не хочу, чтобы компании хранили их здесь.
OneOfUs
14.06.2019 13:10Так в том-то и прикол: пользователи считаются безликой аморфной массой, которая схавает то, что ей дадут и будет вести себя так, как сказано. Товарищ Ашманов вообще считает «анонимных» пользователей (в его понимании, если не указаны паспортные данные, там ФИО и т.п.) тупой школотой, хомячками и прочим сбродом.
achekalin
14.06.2019 13:52Они бы за принятие пурги приняли ответственность, что ли.
Я все жду, когда примут, что, если я услышал по телефону, что «разговор будет записан», то я бы мог отказаться от записи, и чтобы за неотключенную запись была бы ответственность — но такие мелочи кого волнуют, правда?unclejocker
14.06.2019 15:50+1Хм, ну так вы и сейчас можете отказаться от записи — просто положите трубку.
achekalin
14.06.2019 16:16Это вы интересно придумали, душевно! Однако решение получилось, честно сказать, так себе по качеству.
Если я звоню в компанию, которой плачу за сервис, но не хочу записи моего разговора, то как я оплаченный сервис получу? Собственно, запись — это их хотелка, а не моя, к работе компании она не имеет отношения. Тем более что практика показывает, как данные из компаний направо и налево утекают, и я, например, не хочу, чтобы еще и записи утекли — там могут быть, например, финансовые подробности (если я, к примеру, в банк звоню).unclejocker
14.06.2019 16:17+2как я оплаченный сервис получу?
Ну как… лично можете придти в офис
Вас там еще и на видео снимут:)
DrPass
15.06.2019 02:41я, например, не хочу, чтобы еще и записи утекли — там могут быть, например, финансовые подробности (если я, к примеру, в банк звоню).
Вы этому банку доверили свои личные данные, свой адрес, свой телефон, свои деньги. А теперь вы не хотите доверить ему запись разговора со специалистом же этого банка?achekalin
15.06.2019 23:08Это не значит, что я ещё и разговоры им хочу доверить. Тем более что чаще всего мы с вами выбираем банк не потому, что он идеален, а просто менее дурной, чем конкуренты (и это на взгляд клиента). О полном доверии речь не идёт ни со стороны банка, ни со стороны клиента.
DrPass
15.06.2019 23:09Ну а что у вас в разговоре может быть более ценного, чем то, что там у них и так уже есть?
DonArmaturo
14.06.2019 19:23А если "физик" на смартфоне разговор с Вами запишет, это плохо?
Я вот сам не знаю, как к этому относиться. Разрешений не давал, но ведь говорить согласился ( и что с того, что не знал о записи — мог предположить)
Miller777
15.06.2019 01:33Запрещать человеку записывать свой разговор, неважно с кем, — это нонсенс, как мне кажется. Все равно что запрещать во время разговора делать пометки карандашом по бумаге.
dom1n1k
15.06.2019 15:22Далеко не всё равно. Например, сообщение «депутат X на заседании госдумы ковырял в носу» будет восприниматься сильно по-разному, если а) предъявить видеозапись б) ну вот у меня в блокноте карандашиком записано. Запись может иметь доказательную силу, а почеркушки в блокноте вряд ли.
vics001
15.06.2019 22:10Есть же фраза «не для протокола». Соответственно, это свое рода договор, что информацию можно распространять со своих слов, но никто не подтвердит, что она была сказана.
vmchaz
14.06.2019 17:43Арендуем сервер в России или даже ставим свой сервер с аппаратной защитой от вскрытия на колокейшн.
Ставим на него линукс, который подтягивает ключ шифрования откуда-нибудь с зарубежного сервера.
Копию части данных (только для юзеров из России) храним на нём.
Вроде как данные в России, но в то же время в безопасности.powerman
15.06.2019 16:43На самом деле всё ещё проще. Сервер может хранить только зашифрованные данные и в принципе не иметь доступа к ключу шифрования. Он предоставляет API, через которое можно эти данные читать/писать, но — в шифрованном виде. Точнее, сам сервер вообще про шифрование ничего не знает, он просто хранит и раздаёт что сказано. Формально — закон вроде бы соблюдается, все данные физически в РФ. Но сделать с ними насильно можно только одно — удалить/отключить сервер.
mickvav
14.06.2019 19:41Так, пождите, а как они правоприменять-то это-вот-все к юр.лицам, зарегистрированным за рубежом собрались? Может пора уже в целях пополнения бюджета принять закон, что все юрлица в мире обязаны платить РФ за то, что они есть?
dmxvlx
14.06.2019 22:30А цены на аренду выделенных серверов, нам гарантируют как за рубежом, или опять будем платить в 3-5 раз дороже?
На каждом углу, как мантру повторяют: «Нужно развивать и поддерживать отечественный бизнес», а по факту делается всё в точности до наоборот…
UPD:
Ну или как вариант: не принимать платежи от россиян (если ПО которое продаёшь ориентировано больше на западный бизнес) (имеется ввиду что профиль пользователя в интернет магазине хранит некую личную инфу). Тогда какой вообще смысл выходить на мировой рынок будучи компанией зарегистрированной в РФ?powerman
15.06.2019 16:46Можно попробовать другой подход. Выложить на сайте полиси: ввод персональных данных граждан РФ на данном сайте запрещён, вводя свои персональные данные вы подтверждаете, что не являетесь гражданином РФ. И на этом — всё, все возможные претензии властей — к конкретным нарушителям этого полиси, если они смогут этих нарушителей найти и доказать, что они нарушители.
el777
15.06.2019 13:13Есть такая штука как "трансграничная передача данных". Если я явно получил согласие пользователя на эту передачу, тогда я могу легально передавать его данные?
dmxvlx
15.06.2019 14:25Почему нет? Для этого подойдёт пункт 3.4:
— исполнения договора, стороной которого является субъект персональных данных;
(думается публичная оферта подойдёт).
Но ведь речь идёт о хранении…
redflasher
15.06.2019 22:23А если я делаю веб-сервис, размещенный на хостинге за бугром, и база данных там же, а репликацию делаю на сервак в России? Норм тогда или нет? (с точки зрения закона)
BigD
15.06.2019 23:37-1первичная БД должна быть в России
powerman
16.06.2019 00:05И как технически определяется, кто из двух реплик первичная?
BigD
16.06.2019 09:59РКН попросит архитектуру передачи данных (схему), + может посмотреть даты записи — в России они должны быть «первыми» (= «раньше»)
powerman
16.06.2019 10:07+1Многие распределённые БД пишут одновременно на несколько реплик, гарантировать куда запись попадёт первой — проблематично.
И что значит "может посмотреть даты записи"? Каким это образом РКН получит доступ к нашей БД на таком уровне, что сможет изучать отдельные поля записей и, самое волшебное, сравнивать их с полями в БД находящейся на сервере за пределами РФ?
P.S. Кроме того, если это реплика, то все поля у записей будут идентичны, включая поля с датами создания/изменения записи — и эти поля вовсе не обязательно будут отражать время физической записи на винт данного изменения.
BigD
16.06.2019 11:56-1Вы дадите доступ, и РКН посмотрит. А вот что они там найдут — это другой вопрос.
powerman
16.06.2019 14:06А где конкретно в законе прописано, что я должен дать доступ РКН ковыряться в моей БД? Я ещё понимаю, что если придёт ФСБ, или кто-то с решением суда, но — просто так, по умолчанию, пускать РКН в базу? Такое действительно есть в законодательстве?
Whuthering
16.06.2019 22:07Не говоря уж о том, что даже схема БД может достаточно много сказать об архитектуре системы, что уже может составлять нехилую коммерческую тайну.
dmxvlx
16.06.2019 10:20Может я чего упускаю из виду, но мне видится, что: реплика не подпадает под «передачу оператором персональных данных третьим лицам», так как самому себе передать и иметь договор меж собою самим не возможно. Отсюда это не передача а чистой воды владение(хранение), и не важно какая это реплика: первая или вторая.
Как вариант: горизонтальное масштабирование данных, т.е. они не дублируются (реплицируются). На сервере в РФ оседают регистрации с российских ip-адресов, на сервере USA/EUROPE оседают все остальные. — Но это гемор ещё тот: проектирование хранения данных и подбор инструментов усложняется в разы (и дорожает кстати тоже).
GamePad64
16.06.2019 20:37+1"Развитие малого бизнеса" говорили они. И вот сейчас сделали штраф такой, что когда на него попадаешь — компанию можно закрывать.
Jungo
я правильно понимаю что все-таки в нашем законе речь идет о первичном хранении? при этом можно хранить реплики данных в любой стране?
BigD
На практике — да
BigD
но, если передаете в страны, не обеспечивающие надлежащую защиту (США, Япония и тд) — требования к согласию более строгие