Новая редакция федерального закона 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», требующая первоначального хранения и обработки персональных данных (ПДн) граждан на серверах, физически размещенных на территории России, вступает в силу 1 сентября. При этом важно понимать, что трансграничная передача и дублирующие хранение и обработка российских ПДн не запрещается. Если кто-то думает, что Россия и в этот раз старается идти «своим путем», то это не так — аналогичные требования к обработке ПДн законодательно утверждены, например, в Германии.

По мнению руководителя сети дата-центров компании КРОК Павла Колмычека, требования 242-ФЗ касаются примерно 95% всех представленных в России обработчиков ПДн. Как видим, есть целых 5% исключений. Сегодня к их числу относятся, к примеру, продавцы авиабилетов, и, скорее всего, список исключений будет расширяться ввиду технической и юридической сложности выполнения закона.

Невыполнение требований 242-ФЗ чревато (в наихудшем варианте) блокировкой ИКТ-ресурсов, обрабатывающих ПДн с нарушениями, со стартом в течение трех дней с момента вынесения судебного решения и вплоть до его отмены.

С одной стороны, санкции по 242-ФЗ для многих видов бизнеса (например, банковского или интернет-торговли, т. е. тех, кто активно коммуницирует с клиентами и партнерами через ИКТ) катастрофические по последствиям. С другой, истец для принятия санкций еще должен добиться необходимых судебных постановлений. Интересно прояснить, каковы все же на сегодняшний день степень готовности исполнять вступающую в силу поправку к закону и степень готовности (и жесткости) контролировать ее исполнение.

Исполнение. Согласно наблюдениям Павла Колмычека, те, кто подпадают под требования 242-ФЗ, делятся сегодня на несколько категорий: тех, кто по российской традиции, ничего не предпринимая, ждут дальнейших изменений в законах; тех, кто занят анализом 242-ФЗ и состоянием своих информационных систем; тех, кто, наиболее последовательно выполняя требования, переносят в Россию основные копии ИСПДн; тех, кто пробует выделить в своих базах данных части с первичными ПДн российских граждан и перенести их копии в Россию.

По оценкам компании КРОК, планируя перенос основной копии ИСПДн, нужно исходить из того, что это займет не менее трех месяцев при наличии готового плана и материальной базы для выполнения этих работ. Что же касается варианта с разделением баз данных с ПДн на «российскую» и «нероссийскую» части, то он может оказаться вообще принципиально неприемлем для компании в силу специфики архитектуры корпоративной ИКТ-инфраструктуры или чрезмерно высоких затрат на реализацию такого варианта.

Средняя стоимость работ по настройке инфраструктуры — серверов, СХД, сети (т. е. без проработки планов переноса систем и затрат на «железо») — при переносе копий систем, по оценкам компании КРОК, составляет один—два месячных платежа за инфраструктуру (в случае использования коммерческих IaaS-услуг), или 10–15% от годового ИКТ-бюджета.

По мнению руководителя направления арендных решений компании «1С-Битрикс» Александра Демидова, 242-ФЗ игнорировать не стоит — нужно под него подстраивать свой бизнес. Его компания завершает к 1 сентября стартовавший в начале этого года перенос (которым занимались три специалиста) в Россию той части инфраструктуры своего проекта Битрикс24, которая обслуживает домен RU. Как подчеркнул г-н Демидов, миграция позволит не только выполнить требования 242-ФЗ, но и, приблизив инфраструктуру к пользователям, улучшить технические показатели предоставляемых компанией сервисов, а также экономить на оплате получаемых самой «1С-Битрикс» облачных IaaS-услуг из-за возрастающей разницы в курсах ведущих иностранных валют и рубля.

Контроль. Как полагает Павел Колмычек, Роскомнадзор для проведения проверок исполнения 242-ФЗ будет действовать по уже апробированной схеме: привлекать экспертные компании и с их помощью разрабатывать процедуры своих проверок. По оценкам компании КРОК, проще всего Роскомнадзору (как, впрочем, и самим владельцам систем) проконтролировать на соответствие 242-ФЗ состояние интернет-магазинов и порталов для клиентов, несколько сложнее состояние систем CRM, ERP, управления кадрами и т. п., а наиболее технически и организационно сложно — корпоративных форумов и электронной почты. Процедуры проверок для первой категории систем могут быть разработаны (если еще не разработаны) всего лишь за неделю, т. е. спустя неделю после 1 сентября (при необходимости) Роскомнадзор может приступить к проверкам интернет-магазинов и корпоративных порталов для клиентов.

По мнению Павла Колмычека, Роскомнадзор как инструмент исполнения воли российских властных структур в ходе контроля исполнения 242-ФЗ будет идти навстречу контролируемым структурам и требовать для начала в качестве временных принятия наиболее простых в исполнении компенсационных мер, что позволит выиграть время на адекватное выполнение требований закона. Список плановых проверок Роскомнадзора на 2015 г. опубликован, в него входит менее 400 компаний, т. е. малая часть от действующих на территории России. Внеплановые проверки возможны только при массовых (несколько десятков) обращениях с жалобами в адрес конкретной компании о нарушениях правил обращения с ПДн.

Создается впечатление, что основные цели, которые преследует 242-ФЗ, заключаются в повышении отказоустойчивости общенациональной российской ИКТ-инфраструктуры и подготовке ее к возможной грядущей региональной сегментации Интернета на независимые национальные фрагменты. Как выразился Александр Демидов, государство стремится регулировать Интернет, поскольку он становится критически важной инфраструктурой в жизни страны.