Закон Яровой грозит российским операторам миллиардными штрафами

Его исполнение нарушит новые нормы Евросоюза, которые вступят в силу с июля 2018 года

Сбор сведений об активности граждан ЕС не соответствует правилам, принятым в ЕС

Закон Ирины Яровой о хранении данных может грозить российским сотовым компаниям гигантскими штрафами, сообщает Институт исследования интернета, изучивший новый регламент Европейского союза (ЕС) о защите данных. ЕС введет новые нормы обработки данных в мае 2018 г. Их нарушение, в том числе иностранными компаниями, может повлечь за собой серьезные штрафы – до 20 млн евро или до 4% от годовой глобальной выручки в зависимости от того, какая сумма больше. Если рассчитывать штраф, отталкиваясь от последней цифры, большой четверке российских операторов придется заплатить штраф суммарным размером около 45 млрд руб.

В противоречие с новыми нормами вступает так называемый закон Яровой. Пакет антитеррористических поправок авторства тогда еще депутата Госдумы Яровой и члена Совета Федерации Виктора Озерова, принятый летом прошлого года, обязывает российских операторов начиная с июля 2018 г. хранить трафик всех клиентов в течение шести месяцев. Окончательные условия хранения – сроки и типы трафика, которые нужно будет хранить, – должно определить правительство, пока этого не сделано.

В законе Яровой нет норм, ограничивающих или запрещающих хранение трафика иностранных граждан или подданных, говорит аналитик Российской ассоциации электронных коммуникаций Карен Казарян, если же российская компания будет хранить данные пользователя из ЕС без его согласия или предоставит эти данные российским правоохранительным органам без решения суда, она нарушит новый регламент.

А такие прецеденты неизбежны, уверен Казарян: во-первых, в России живут и пользуются местными услугами связи европейские граждане, во-вторых, россияне, деятельностью которых интересуются спецслужбы, могут переписываться и разговаривать с абонентами из Европы.

России грозит исключение

Очень вероятно, что в соответствии с регламентом ЕС исключит Россию из перечня стран с адекватным уровнем обработки персональных данных, говорят Левова и Дроздов. Выход из числа таких стран запретит всем российским компаниям обработку данных европейцев, что чрезвычайно усложнит взаимодействие операторов с их европейскими операторами-партнерами в Европе и всю систему их обмена информацией с Европой, говорит Казарян. Странно, что МИД России пока не обратил внимания на эти риски, удивлена Левова.

Законодательство ЕС предполагает избирательное хранение данных пользователей и не всех, а только определенных – в целях обеспечения национальной безопасности и правопорядка и только при наличии соответствующих подтверждений от спецслужб, говорит директор по стратегическим проектам Института исследований интернета и участник рабочей группы «Связь и информационные технологии» Российского союза промышленников и предпринимателей Ирина Левова. Закон же Яровой подразумевает хранение данных всех абонентов без исключения и использование этих данных постфактум для доказательств, в случае если пользователь окажется виновным.

Еще одна норма, которая есть в европейском законодательстве и отсутствует в российском, – оператор персональных данных должен в течение 72 часов сообщить об утечке таких данных, если она произошла, говорит старший менеджер управления информационными рисками «KPMG Россия» Андрей Дроздов.

Партнер консалтингового агентства в области информационной безопасности «Емельянников, Попова и партнеры» Михаил Емельянников предполагает, что нормы европейского права будут обязательны к исполнению российскими операторами только в том случае, если операторы работают на территории ЕС. Но и такая практика, по его словам, не редкость. Например, российский оператор может собирать и хранить мобильный трафик гражданина ЕС, который живет в России, но продолжает пользоваться сим-картой российского оператора в Европе. Новый европейский закон предусматривает и сценарий, когда российская компания получает данные от европейского оператора для их обработки.

Европейский регламент предусматривает, что в каждом государстве ЕС будет создан специальный госорган, контролирующий правила обработки данных. Именно они и будут через Еврокомиссию пытаться наложить штрафы на компании-нарушители – точно так же, как это было в случае с наложением штрафов на Google или Facebook.

Вопрос, насколько жесткими окажутся требования к российским операторам на практике, требует детального изучения и до первого прецедента ответ на него не ясен, говорят Левова и Емельянников. На подготовку к исполнению двух не гармонизированных между собой законов из разных юрисдикций у операторов остается меньше года. Регламент вступает в силу 25 мая 2018 г., а поправки Яровой – 1 июля 2018 г.

Первые массовые прецеденты могут случиться сразу же: с 14 июня по 15 июля 2018 г. в России пройдет финальная часть чемпионата мира по футболу. Представитель пресс-службы FIFA в России затруднился дать прогноз, какое количество болельщиков из Европы посетит чемпионат мира: билеты еще не поступили в продажу. Ростуризм в I квартале 2017 г. зарегистрировал 0,99 млн поездок граждан Евросоюза в Россию – но учитывались только туристические поездки.

Представители Министерства иностранных дел России, Минкомсвязи и директората Еврокомиссии по сетям связи, контенту и технологиям не ответили на запросы «Ведомостей».

Представители МТС, «Вымпелкома», «Мегафона» и Tele2 отказались от комментариев.