«Думаю, это была жалоба конкурентов».
Белорусский стартап получил письмо из Роскомнадзора
by Нина ШуляковаСтартапу из Беларуси пришло письмо из Роскомнадзора: не соблюдаете закон о локализации. Его приняли в России в 2015 году, и теперь любая компания, которая ориентирована на российский рынок, должна хранить персональные данные о российских пользователях на серверах в России. СЕО стартапа* уверен — попасть в поле зрения госорганов их небольшой бизнес мог только по наводке конкурентов. dev.by поговорил со стартапом и разобрал ситуацию с юристом.
*Герой просит не называть его имя. Имя и фамилия героя, а также название стартапа известны редакции.
Раньше за нарушение закона о локализации грозили предупреждение и блокировка. 2 декабря Владимир Путин подписал закон, который ввёл новую меру — штраф до 280 тысяч долларов. За тем, соблюдают ли компании закон, следит Роскомнадзор. Он же составляет реестр нарушителей и имеет право блокировать сайты компаний, которые в него включены.
Роскомнадзор обязан проверять компании (в том числе по обращению пользователей) и выяснять, на каких серверах у них хранятся данные россиян. Юристы отмечают, что после скандала Роскомнадзора с Twitter и Facebook в январе этого года и введения внушительных штрафов, поднялась новая волна проверок. Наши герои опасаются: могут ли прозорливые игроки воспользоваться ситуацией и превратить закон в инструмент для нечестной конкуренции?
Передали «привет» конкуренты
СЕО небольшого белорусского стартапа рассказал нам, как в начале декабря получил письмо из Роскомнадзора и очень удивился. Он предполагал, что подобные письма приходят или российским компаниям или компаниям-гигантам, вроде Twitter, Facebook или Google.
— Мы работаем в медицинской сфере и ориентируемся на рынки России, Казахстана, Украины и Европы, — говорит айтишник. — В России у нас около 500 заказов в месяц. Из персональных данных мы храним фамилию, имя, отчество, почту. И некоторые медицинские данные, которые пользователи присылают нам, чтобы получить услугу. Данные обрабатываются на серверах в Беларуси.
Письмо пришло с официальной печатью. Это не было похоже на простую автоматическую рассылку — в письме указали наш юридический адрес, УНП, имя директора. Написали, мол, здравствуйте, мы обнаружили, что ваш сайт собирает персональные данные граждан Российской Федерации. Обращаем ваше внимание, что у вас должно быть пользовательское соглашение, которого нет на главной странице (уже поправили). И еще сказали, что все персональные данные жителей России должны храниться на серверах в РФ. И дальше: просим сообщить о предпринятых мерах. Никаких сроков и жёстких требований нам пока не выставили. Но сообщили: мы о вас знаем, — рассказывает руководитель стартапа.
И уточняет, что больше всего его удивляет, почему письмо пришло именно к нему:
— Я понимаю, когда с Дуровым каким судятся. Но мы? Роскомнадзор — это что-то наподобие нашего Министерства информации. Почему они обратили внимание на наш маленький сервис? Да, у нас глобальные планы. Но мы всё равно очень небольшие. Роскомнадзор же не просто мониторит всё в интернете. Логично предположить, что они смотрят объём трафика — на какие ресурсы российские граждане заходят чаще всего? Но мы при чём тут? Или может сотрудник случайно наткнулся? Или воспользовался сервисом и такой: «О, а давайте-ка мы письмо напишем!».
Выглядит странно. Думаю, кто-то из сторонних конкурентных сервисов пожаловался. Рынок у нас перспективный, но игроков на нем пока мало — все друг о друге знают.
Из очень похожих на нас сервисов на ум приходят два. Один прямо сейчас начинает активную рекламную кампанию. Они вполне могли написать жалобу.
Конечно, сейчас, когда мы уже получили письмо, то планируем анонимизировать все данные. И перенесём сервера — уже обратились за консультацией и получили ответ, что всё реально. Издержки пока не считаем. Очевидно, это выгоднее, чем потерять российский рынок. Но удивление осталось: мы — стартап! И на начальном этапе развития хотелось бы немножко другими моментами заниматься.
Хотя, для нас это даже хорошо. Заранее ко всему подготовимся.
За первое нарушение закона о локализации штраф составит:
- для должностных лиц — от 1,6 до 3,1 тыс. долларов,
- для юридических — от 15,6 до 93,5 тыс. долларов.
За повторное нарушение:
- для граждан — от 0,8 до 1,6 тыс. долларов,
- для должностных лиц — от 7,8 до 12,5 тыс. долларов,
- для юридических лиц — от 93,5 до 280 тыс. долларов.
Комментирует Алена Поторская, юрист REVERA, специализируется в вопросах IP и Data Protection
Проверки Роскомнадзор проводил и раньше. И эти изменения [введение штрафов — прим. ред.] ещё раз доказывают, что смягчать такую политику Россия не намерена. Закон действует на все компании, которые собирают персональные данные россиян и ориентированы на Россию.
Как понять, что компания ориентирована:
- сервис размещен на домене .ru,
- русский язык сервиса,
- таргет рекламы на российских пользователей,
- в качестве оплаты принимаете российские рубли.
Дальше нужно понять, собирает ли компания персональные данные. Как правило, все коммерческие компании это делают. В России определение персональных данных очень широкое, как в GDPR, от прямых данных (имя-фамилия) до метрик поведения пользователя (используете cookie — подпадаете под закон).
Первое крупное дело — LinkedIn в 2016 году. Компания решила, что ей затратно переносить пользовательские данные в Россию: нужно хранить сервера, их обслуживать, контролировать. LinkedIn сразу заявила, что исполнять требование «о локализации» не будет. С 2016 года сервис на территории России заблокирован.
Viber, WhatsApp, Microsoft, Samsung, Lenovo, AliExpress, eBay, PayPal, Uber, Booking, а в начале этого года и Apple, наоборот, заявили, что перенесли все данные российских пользователей на сервера в России.
Что делать, если пришло письмо от Роскомнадзора?
Роскомнадзор спрашивает, где находятся ваши сервера, на которых обрабатываются персональные данные россиян. Если они не в России, надо сообщить госоргану, что работа в этом направлении ведётся. Если российский рынок для вас важен — постараться быстрее перенести данные.
Но даже если вы затянете и вас заблокируют, вы сможете предоставить документы постфактум. Тогда сайт/сервис разблокируют. В крайнем случае можно обращаться в суд. Есть немало дел, когда российские суды отменяли предписания Роскомнадзора о блокировке за недостаточностью оснований.
Проверка не происходит автоматически. Нет программы, которая всех проверяет и автоматом блочит.
Предписаний и проверок — тысячи. Но в первую очередь в поле зрение Роскомнадзора попадают российские компании. Среди зарубежных — крупные и важные, которые хранят большие объёмы персональных данных. Белорусские компании раньше редко получали предупреждения от Роскомнадзора, но на фоне последних событий, случаи могут участиться.
Если вам вынесли штраф, чтобы его взыскать, между Россией и государством, где зарегистрирована ваша компания, должно быть соглашение о правовой помощи. На его основании суд государства, где зарегистрирована ваша компания, может признать решение российского суда. У Беларуси с Россией такое соглашение есть. Но если компания зарегистрирована в государстве, где такого соглашения нет (США, например), процесс значительно усложняется. Скорее всего, вместо штрафа вас просто заблокируют.
Еще один важный момент: как Роскомнадзор будет проверять данные о серверах. Что будет, если по указанному адресу стоит дерево в поле? Здесь многое зависит от того, кто ведёт с вами переписку. Кому-то будет достаточно письма с адресом, где находятся сервера. Кто-то потребует договор с компанией, которая обслуживает их в России. У Роскомнадзора достаточно широкие полномочия — при желании они могут приехать по этому адресу, посмотреть оборудование, изучить документы, поговорить с персоналом.
Закон о локализации существует и в других странах. В чём отличие?
В России вы должны не просто хранить данные на серверах на территории РФ, но и обрабатывать эти данные там же. Данные должны в первую очередь попадать в Россию. Вы можете передавать их сервисам аналитики или группе компаний, но российская база всегда должна быть самая первая и самая полная. В Казахстане есть аналогичный закон, но только с требованием хранить персональные данные на территории страны. То есть вы можете собирать данные здесь, а в Казахстан синхронизировать. В России — нет. Российский закон — один из самых жёстких в этом плане.
Где еще? В Китае, в Нигерии. В Малайзии в принципе нельзя передавать персональные данные её жителей за пределы страны без разрешения госорганов. Есть похожий закон в Австрии, но там он касается только медицинских данных.
Можно ли использовать закон как инструмент давления на конкурентов?
Да, вполне реально. Придёт письмо от пользователя — его должны будут проверить. Если есть такой инструмент, логично предположить, что люди могут начать его использовать в своих целях. В России уже сформировалась довольно высокая правовая культура в части защиты персональных данных. Люди понимают, какие у них права и куда обращаться, если их ущемляют. Как пример, в августе этого года несколько пользователей Вконтакте при помощи юристов из правозащитной организации РосКомСвобода хотели вступить в судебное дело против компании Double Data, которая использовала их персональные данные из соцсети. Тогда даже Double Data говорили, что боятся, что к этим нескольким пользователям присоединится еще пятьсот. Пользователей в дело не пустили, но сам факт, насколько они готовы далеко пойти — показательный. У нас такое пока сложно представить.
По поводу ситуации с белорусским стартапом. Возможно здесь роль сыграли данные, которые компания собирает — медицинские данные всегда считаются очень «чувствительными» и, как правило, за ними следят особо пристально. Могли ли это быть конкуренты, или Роскомнадзор «случайно наткнулись» — все может быть.
Опасность закона в том, что какие-то особые требования к компаниям не определены. Маленькие вы или большие, но персональные данные россиян должны хранить на территории РФ — и никаких льгот не предусмотрено.
Работа в стартапe до 4000$.
1. Заполните анонимную форму — 5 минут.
2. Укажите зарплатные (и другие) ожидания.
3. Выберите желаемую индустрию или область деятельности.
4. Получайте релевантные предложения.