Совет Федерации сегодня утвердил поправки в Кодекс об административных правонарушениях, которые фиксируют размеры штрафа для операторов сбора персональных данных россиян, хранящих их (данные, не россиян) в базах данных за пределами нашей страны. Максимальный штраф для юрлиц за повторное нарушение законодательной нормы — 18 миллионов рублей. Поправки ещё не вступили в силу: законопроект, утверждённый обеими палатами парламента, отдан на подпись президенту.
И вот подробности.
Депутаты предложили (а сенаторы согласились) дополнить статью 13.11 КоАП РФ, в том числе, частями следующего содержания:
"Часть 8. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, влечет наложение административного штрафа: на граждан — в размере от тридцати до пятидесяти тысяч рублей; на должностных лиц — от ста до двухсот тысяч рублей; на юридических лиц — от одного до шести миллионов рублей".
"Часть 9. Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи, влечет наложение административного штрафа: на граждан — в размере от пятидесяти до ста тысяч рублей; на должностных лиц — от пятисот до восьмисот тысяч рублей; на юридических лиц — от шести до восемнадцати миллионов рублей".
В случае подписания законопроекта президентом он вступит в силу в день его официального опубликования.
Самое время провести ревизию, всё ли вы правильно храните и там ли храните, где предписывает закон…
Комментарии (88)
swelf
27.11.2019 18:48+2А если сервис понятия не имеет является ли пользователь гражданином России? Я так понимаю это будут проблемы сервиса?
andrey_aksamentov
27.11.2019 18:49+2Получается могут блокировать любые сайты на хостинге вне серверов РФ?
lovermann
27.11.2019 19:25Не известно, если штраф — именно блокировка, но касаться будет тех, кто хранит данные, которые попадают под определение того, что считается персональными данными.
Viceroyalty
28.11.2019 11:28То-есть могут оштрафовать любого иностранного оператора персональных данных который и не знает где находится Россия?
yuuyake
27.11.2019 18:51+5Учитывая особый интерес к ПД всех, например GDPR тоже не кусок сахара, надо вообще от этих данных отказываться. Я уже предложил на работе нигде не использовать имена, зачем мне это головняк? Будут в Jira programmer1, qa3 и тп. И пусть сами разбираются кто где есть. ПД знает только отдел кадров, их сервер под 7-ю замками с личным охранникком, доступ по сетчатке глаза при трех свидетелях, но это уже не проблемы IT.
Vilgelm
27.11.2019 19:07+2Подозреваю что у онлайн магазинов, хостинг провайдеров и прочего, что связано с деньгами так не получится. Для всех остальных так и надо, вообще это использование имен в интернете относительно новомодная штука, раньше такого не было.
Viceroyalty
28.11.2019 11:30А если сервис лишь взимает плату за пользование — он обязан брать персональные данные?
lovermann
27.11.2019 19:26Ну, это вам не нужно, но есть куча мильонов случаев, когда персональные данные просто необходимо собирать и хранить.
red_andr
27.11.2019 21:38Суд посчитал передачу обезличенных данных нарушением закона. То есть, простого отказа от имён недостаточно, если остальные данные как то всё равно позволяют идентифицировать пользователя. Как видите, по мнению суда это могут быть просто поисковые запросы.
shasoft
28.11.2019 08:39Здравствуйте, я вам посылку принёс. Можно ваш паспорт на имя programmer1?
-А у меня его нет :(
-Ну значит посылку я вам не отдам, потому что у вас паспорта нету
-Моя аватарка, мой паспорт!zeolant
28.11.2019 13:28Я думаю это можно решить с помощью каких-нибудь одноразовых токенов. Первое что приходит в голову — при покупке отправляется бар-код на почту или телефон. При этом email или номер телефона не сохраняется на сервере. При передачи товара сканируется бар код, что и является подтверждением. Не знаю правда, как такая модель согласуется с текущим законодательством.
cVoronin
28.11.2019 14:47Но в любом случае необходимо хранить адрес получателя, его ФИО. Этого уже достаточно чтобы попасть.
roscomtheend
28.11.2019 10:31После этого вам не приходит товар и вы ни куда не летите, поскольку ник и аватарка не подтверждают вашу личность.
tendium
27.11.2019 19:45+3Я может невнимательно читал, но что если у меня два гражданства и законы государств в этом аспекте будут противоречить друг другу? Ну или, а что если я просто живу за рубежом, имея рос. гражданство?
khim
27.11.2019 20:27Проблемы индейцев шерифа не волнуют. Более того — не удивлюсь, если через несколько лет внесут поправку, в соотвествии с которой попытка отказать в обслуживании жителям Крыма будет также сопровождаться штрафом.
В качестве ориентира явно взят Китайский опыт…
BigD
27.11.2019 20:59-7А вот тут я бы поддержал такой закон, потому что нефиг отказывать жителям Крыма в обслуживании.
VerdOrr
28.11.2019 23:12А новых законов для этого не нужно, все уже есть. В этом случае нужна только политическая воля. Работаешь в России — обязан обслуживать всех граждан.
КоАП РФ Статья 5.62. Дискриминация
Дискриминация, то есть нарушение прав, свобод и законных интересов человека и гражданина в зависимости от его пола, расы, цвета кожи, национальности, языка, происхождения, имущественного, семейного, социального и должностного положения, возраста, места жительства, отношения к религии, убеждений, принадлежности или непринадлежности к общественным объединениям или каким-либо социальным группам, — влечет наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на юридических лиц — от пятидесяти тысяч до ста тысяч рублей.
vikarti
28.11.2019 09:23А вот интересно — что у всяких гуглов с близзардами в плане обслуживания жителей Северного Кипра? (Республика Кипр считает что это их территория, Турция считает что это независимая страна)
Viceroyalty
28.11.2019 11:32Сейчас российское юр лицо оказывающее услуги жителям Крыма имеет какие-то проблемы при работе с США?
wataru
28.11.2019 13:45Ну, я слышал, что сбербанк в крыму не работает, например. Именно из-за возможных санкций со стороны США.
khim
28.11.2019 15:25Зависит от желания левой пятки президента.
Поскольку чего будет желать оная пятка через годик — науке неведомо (неизвестно даже чья именно это пятка будет), то лучше сразу считать, что проблемы возможны.
fougasse
27.11.2019 21:21Смотря сколько живёте, и насколько важны (для палки/премии, громкого дела, как конкурент).
Как говорится, был бы человек/фирма, а дело найдется.tendium
27.11.2019 22:15Смотря сколько живёте
Ну, положим, достаточно, чтобы не считаться налоговым резидентом РФ. Только вот законодательство разве об этом как-то говорит в обсуждаемом контексте?
red_andr
27.11.2019 21:51Лично я так и не смог найти конкретное и точное определение, чьи именно персональные данные этот закон защищает. Всех российских граждан без исключения или российских резидентов? Причём в обеих случаях возникают коллизии и проблемы. Скажем, в первом под него попадает куча народа, который хоть и имеют российское гражданство, но имеют второе или давно живут в других государствах. Многие из них не имеют связей с Россией вовсе. Понятно, что их данные хранятся за пределами страны, от всяких фейсбуков и до банков и государственных служб вроде налоговых. Смешно ожидать, что, например, американская налоговая IRS будет переносить свои базы данных с личной информацией американцев в РФ. Во втором случае, в России живёт много иностранцев. Причём они, само собой, не указывают своё гражданство при регистрации, например, в одноклассниках. Но в его стране могут быть похожие законы.
cVoronin
27.11.2019 20:30+2Хм, то есть захожу я в PayPal и вижу: в связи с невозможностью хранения ваших данных на территории РФ мы удалили ваш аккаунт?
Иду поплакаться в Твиттер и вижу там то же самое?
suffix_ixbt
27.11.2019 21:19Нет, не переживайте — ООО НКО «ПэйПал РУ» специально было создано несколько лет назад чтобы соответствовать всем нашим законам.
fougasse
27.11.2019 21:22Ну да, будут делать свой твиттер и палку, и предустанавливать, закон уже есть.
A114n
28.11.2019 12:32-2Как раз ПэйПал с огромным удовольствием собирает все данные о вас и хранит их в России, включая сканы паспортов и мистически необходимого «второго документа».
Именно поэтому у меня нет ПэйПала.cVoronin
28.11.2019 14:50По поводу сохранности паспортных и прочих данных я бы, в первую очередь, переживал бы на тему наших операторов. Достаточно много слышали про проблемы с банками в последнее время — ещё интереснее подумать о количестве утечек, про которые публично не сообщалось.
pmcode
28.11.2019 06:49А OAuth решает проблему? Если взять условный интернет-магазин в который все логинятся по учетке в условном VK/Mail/Google, т.е. все персональные данные берутся из внешней системы, а в самом магазине хранится только информация о заказах.
iluxa1810
28.11.2019 08:38Мне кажется, что кто-то с такими законами много кто уйдет в Российского рынка, так как он не самый прибыльный.
По моему Steam не так много денег получает с России. Если не ошибаюсь, то 12%. И смысл ему вкладываться в разработку каких-то API? А завтра какая-нибудь Африка выставит свои требования, мол, за каждого зарегистрированного пользователя из Африки вы должны банан вождю высылать.
Под Китай, еще могут прогнуться, так как их рынок достаточно закрытый => есть смысл плясать под их дудку, что бы первым занять преимущество.A-P-T-E-M
28.11.2019 11:15Вы хотите сказать, что 12% рынка — это мало?
iluxa1810
28.11.2019 11:21Зависит от выручки, которую они получают.
Я еще не мало важный фактор написал, что стоит 1 раз прогнуться, так другие государства могут потребовать своих нюансов => трата дополнительных ресурсов на решение всех хочух.
Tufed
28.11.2019 11:22Если не ошибаюсь, то стим использует ники и не требует личные данные. Максимум это запоминает банковскую карту для последующих оплат. Я что-то не видел там ни ФИО, ни номеров паспортов, ни номеров соц страхования, ни адреса проживания, да вообще ничего, кроме города (и тот можно не указывать или скрыть).
iluxa1810
28.11.2019 11:331)Что бы снять ограничение на кол-во продаваемых предметов за год на торговой площадке, то нужно им отправить паспорт
2)Возможно, при публикации своей игры нужны паспортные данные.Tufed
28.11.2019 14:271) Наиболее вероятно, что это вариант защиты от накруток, ботов, торговли вещами с угнанных аккаунтов и т.д.
2) При публикации своей игры думаю да, обязательно. Соответственно это коснется разработчиков из РФ, которые публикуют свои игры в стиме.
Обычных юзеров это коснуться «пока» не должно.
cVoronin
28.11.2019 11:31Самая жесть будет с относительно небольшими или со специализированными сайтами/магазинами.
Те же CaptureOne или DxO, у которых я софт для обработки фотографий покупаю, Sparx, у которого Enterpise Architect покупаю — они станут морочиться ради 56 пользователей из России? Вот точно не станут…
Leysander
28.11.2019 12:36Бизнес просто посчитает, стоят ли усилия по "разработке каких-то API" этих процентов и оценит риски дальнейших усложнений работы в регионе. Это работает и с банановым вождем, и с Китаем
rinaty
28.11.2019 11:44+2Персональные данные граждан РФ попадают в базу находящуюся за границей при получение визы иностранного государства, а также при пересечении границы. А теперь вопрос: иностранные государства можно будет штрафовать или им сделают исключение? Или это означает что не гоже гражданам РФ ездить в такие страны?
vp7
28.11.2019 12:11А это — правильный вопрос.
Иностранные государства будут обязаны хранить персональные данные на территории РФ.
Тем, кто откажется — будет отказано в праве выдачи визы гражданам РФ.
В том смысле, не «мы не выпускаем никого из страны», а «другие страны не выдают вам визы, т.к. не хотят следовать нашим законам и условиям выдачи виз».
roscomtheend
28.11.2019 13:22Авиа и ж/д компании, отели. Государства — сложно, а здесь проще. "Отдыхайте, граждане, автостопом, бомжуя на улице, но не попадаясь полиции, чтобы не делиться паспортными данными". Выход — делать каждому выезжающему временную личность в сременными документами (т.е. выезжать смогут только шпионы или приравненные к ним).
Tufed
28.11.2019 14:32А продав внутриигровые предметы в steam фактически получаю деньги на иностранной площадке, это означает что я уже иностранный шпион?
BackDoorMan
28.11.2019 15:17Ну зачем сразу шпион? Просто иностранный агент. А родственники Члены Семьи Иностранного Агента
vikarti
29.11.2019 09:56SecondLife?
Там для вывода денег (он там штатный) надо информацией делится достаточно подробной.
Но там еще смешнее — определение персональных данных ж широкое насколько помню?
А теперь вспоминаем что у SecondLife:
— торговля за in-world валюту — норма
— мощный скриптовый движок, который можно интегрировать с внешними сервисами (из-за чего часть данных о пользователях вообще непонятно где)
— возможность делать 3rd-party клиенты у которых функционал может существенно отличатся
RiseOfDeath
28.11.2019 12:12+1Т.е. если я приеду в какую-нибудь европку и куплю там симку какого-нибудь местного оператора по своему заграннику — то его оштрафуют на 18 миллионов за то, что он хранит мои пд не в России?
Tufed
28.11.2019 14:35Думаю местный оператор не подчиняется законам РФ и даже если в РФ постановят оштрафовать — то ему будет побоку постановление другой страны. Если только оператор не работает в РФ и не имеет в РФ юр.лица на которое уже можно повесить штраф. А это для оператора связи с сим-картами вряд ли. Уже всё поделено.
iaon
28.11.2019 18:38Не совсем побоку, есть межоператорские роуминговые соглашения и, соответственно платежи за роуминг.
Khomin
28.11.2019 12:48Прекрасно
Такими темпами через 5 лет останутся в стране одни овощи (для кого все и строится)
Будут смотреть рутуб, лайкать одноклассники, зачем им linkedin
vanyaindigo
28.11.2019 13:13Думаю, что сейчас вопрос ставится уже не только о российском сегменте Интернета, а вообще о нормальной жизни в стране. Изменения неизбежны, уверен, все эти людоедские законы будут откачены назад.
A114n
28.11.2019 14:12+1Или просто съедят всех людей, которые недовольны, а остальные приспособятся.
Не нужон нам интернет вашBackDoorMan
28.11.2019 15:19Конечно откатят, рано или поздно. Просто не все доживут, а остальные будут испытывать неудобства продолжительное время.
Kriger91
28.11.2019 16:12Тут возникает вопрос что считать нормальной жизнью. Скажем если взять ЕС — там тоже свои законы и ограничения. От налогов на телевидение и радио(Франция, ФРГ) и до директиве об авторском праве со статьями 11 и 13
vanyaindigo
28.11.2019 16:14Возьмите Эстонию)
Kriger91
28.11.2019 16:39Только если с доплатой… :)
Вы не в курсе, что Эстония входит в состав ЕС? Так что как минимум она подчиняется упомянутой выше директиве.
a1ex322
28.11.2019 14:35+2Почему я сам не могу разрешить кому-то хранить мои персональные данные вне РФ? Ограничение прав.
vtools
28.11.2019 14:50У меня возникли вот такие вопросы: если данные хранятся в децентрализованной p2p сети, например организованной по технологии DHT, то:
- Считается ли что они хранятся за пределами России?
- Считается ли что они хранятся не в России?
BackDoorMan
28.11.2019 15:22Интересно, а доказывать как будут? Если я при заказе просто отправляю клиенту e-mail и ничего у себя не храню.
И вообще, могу убрать поле "Имя" из формы, оставив только телефон. ЕМНИП, это уже не персональные данные.khim
28.11.2019 16:05ЕМНИП, это уже не персональные данные.
Вы издеваетесь или троллите? Персональные данные — «любая информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
Так что если вы своих клиентов как-то отичиаете (неважно: по телефонам, никам или ещё как-нибудь), то вот эта вот база — и есть персональные данные. Просто по определению.cccco
28.11.2019 23:52Персональные данные — «любая информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
Мне кажется, Вы не до конца вникли в смысл указанной Вами цитаты. Обратите внимание на следующие слова:
«… относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
Другими словами, если лицо не определено или не определяется, то ни ФИО, ни телефон, ни даже номер паспорта не являются персональными данными.
Представьте, что перед Вами сидит целая аудитория студентов, например, 100 человек, и у Вас есть номер телефона (номер паспорта, ФИО и т.п.) одного из них. Вы сможете сказать чей это номер телефона (номер паспорта, адрес, ФИО и т.д.)?
А, вот, если рядом с каждым номером телефона есть фотография студента — то это уже персональные данные. Или есть какой-то доступный источник данных, по которому лицо однозначно определяется по имеющейся у Вас информации — тогда это персональные данные.
khim
29.11.2019 00:07Другими словами, если лицо не определено или не определяется, то ни ФИО, ни телефон, ни даже номер паспорта не являются персональными данными.
Ссылку на решение суда где подобное «гениальное» определение применялось не покажите? А то так у вас и отпечатки пальцев и скан радужки станут вдруг «неперсональными». А чё — я ж никого не определяю!
Или есть какой-то доступный источник данных, по которому лицо однозначно определяется по имеющейся у Вас информации — тогда это персональные данные.
Верно на 99%. Ультиминитипусечкая ошибка: «у Вас» ? «у компетентных органов».
Вся возня вокруг персональных данных — это попытка сделать так, чтобы преступники не могли найти, с их использованием, потенциальную жертву, а «компетентные органы», наоборот, смогли бы поймать преступника. Потому что и как умеете делать Вы — никого не волнует. Важно что умеют с этими данными делать другие…
Представьте, что перед Вами сидит целая аудитория студентов, например, 100 человек, и у Вас есть номер телефона (номер паспорта, ФИО и т.п.) одного из них. Вы сможете сказать чей это номер телефона (номер паспорта, адрес, ФИО и т.д.)?
По телефону отсылается запрос сотовому оператору — и получаете и скан паспорта и всё остальное. На счёт «раз».cccco
29.11.2019 00:24А то так у вас и отпечатки пальцев и скан радужки станут вдруг «неперсональными». А чё — я ж никого не определяю!
Следователь нашёл отпечаток пальцев в обворованной квартире. По их базам (криминальным, миграционным и т.д.) этот отпечаток нигде не проходит. И что дальше?
khim
29.11.2019 00:28Следователь нашёл отпечаток пальцев в обворованной квартире. По их базам (криминальным, миграционным и т.д.) этот отпечаток нигде не проходит. И что дальше?
Сдаём в арихив и с этим отпечатком сличают людей, которые получают разные паспорта и прочее. Когда преступник захочет получить загран — его отловят.
Вы будто вчера родились, чесслово.cccco
29.11.2019 00:42Когда преступник захочет получить загран — его отловят.
Совершенно правильно, потому что он станет определяемым. А если он пропадёт ("товарищи" его "пришьют", а труп сожгут в подпольном крематории), так и не получив загранпаспорт, Вы так никогда и не узнаете, кто это был.
Или, например, Ваш сосед наложит кучу со своим генетическим материалом на коврике под вашей дверью. И хотя его материал мог бы однозначно его определить, Вы никогда не узнаете, кто сделал эту инсталляцию.
khim
29.11.2019 01:10Совершенно правильно, потому что он станет определяемым. А если он пропадёт («товарищи» его «пришьют», а труп сожгут в подпольном крематории), так и не получив загранпаспорт, Вы так никогда и не узнаете, кто это был.
«Определяемым» он становится в момент, когда он оставил отпечатки пальцев. А вот когда его отловят — он уже станет «определённым». Закон специально указывает, что эти два случая нужно рассматривать одинаково — именно чтобы умники не считали, что телефоны не являются персональными данными.
razielvamp
Всегда понимал этот закон как "данные о гражданах РФ необходимо хранить в России". Но в который раз сталкиваюсь с формулировкой, что штраф грозит тем, кто хранит данные за пределами России. Но "хранить данные вне России" != "не хранить данные в России".
В итоге штраф за хранение вне или за не хранение внутри?
BigD
Штраф за отсутствие в РФ БД, в которую проводится первичное внесение перс данных. То есть в РФ всегда должна быть первая и самая актуальная на любой момент времени копия данных.
webdiktor
В том то и дело. Заголовок новости желтушный, не соответствует действительности