Правда, вчера Роскомнадзор решил публично заявить о своей официальной позиции через ТАСС, которое опубликовало текст, в котором по сути вопроса говорится следующее:[spoiler]
"В связи с обсуждаемой в СМИ темой невозможности проверки иностранных операторов персональных данных, не имеющих юридических представительств в России, на предмет соблюдения 242-ФЗ, Роскомнадзор сообщает: любая компания, обрабатывающая персональные данные в России, вне зависимости от наличия или отсутствия юридического адреса в нашей стране, может быть и будет, в случае необходимости, проверена на соответствие закону", - отмечается в документе. |
Заявление, мягко говоря, довольно странное. Что-то из жанра заявлений (адресованных прекрасным дамам) по поводу готовности сразиться с драконами, которые делали в былые времена отважные рыцари, которые при этом отлично знали, что на самом деле никаких драконов просто нет.
А разве может компания обрабатывать персональные данные в России (или даже вообще, делать что-то в России, вести какую-то деятельность), не имея тут соответствующего юридического статуса? Разве такие "операторы персональных данных" в России есть – не имеющие юридических представительств?
Я тут хочу обратить внимание, что в своем заявлении через ТАСС Роскомнадзор отвечает в традиционном бюрократическом стиле: не на тот вопрос, который задается в СМИ и в обществе, а на совсем другой – сформулированный самим ведомством и, вообще говоря, не "по теме".
Ведь задается-то простой и понятный вопрос: будет РКН блокировать Facebook, Booking, Google, AliExpress и тысячи (или даже десятки тысяч) других зарубежных онлайновых сервисов, которые в той или иной степени хранят у себя данные пользовательских аккаунтов?
Ответа на этой вопрос в заявлении РКН нет. Ведь все эти компании не обрабатывают ПД в России. Они обрабатывают их вне пределов России.
Тут, конечно, есть один нюанс. Ведь "обработка ПД" подразумевает, в том числе, и сбор ПД.
Соответственно возникает вопрос: если у вас есть ИТ-система, реализованная в Web-архитектуре "браузер – сервер", то где именно производится "сбор ПД" – в точке нахождения браузера или местоположении сервера?
Ответ тут, видится, вполне очевидным – сбор информации выполняется сервером. Сбор производится там, где производится фиксация собираемых данных.
Другое дело, что тут присутствует передача данных, но 242-ФЗ никак не касается вопросов пересылки информации, тем более, что Россия подписала европейские конвенции, где прописана свобода трансграничной передачи данных, и более того, тот же РКН не раз уже заявлял, что не собирается идти на нарушение этих международных соглашений (да и кто ему позволит это делать).
В общем, пока получается, что РКН заявил о своей готовности победить драконов, если они все же объявятся в поле его юрисдикции.