Из-за закона Яровой российский бизнес вряд ли сможет соответствовать GDPR

Вступление в силу закона Яровой ограничит развитие российских loT сервисов в будущем. Из-за этого закона отечественный бизнес не сможет полностью соответствовать европейскому документу GDPR. Это значит, что рынок Евросоюза для российских компаний будет закрыт. Несоответствие GDPR потребует изменение бизнес-модели или даже ухода компании с российского рынка. Об этом в кулуарах «Конференции Интернета вещей-2018» рассказал Денис Лукаш, исполнительный директор Центра цифровых прав.

– Как в России развивается регулирование отрасли Интернета вещей?

– В России регулирование IoT отстает от западного. Поэтому при решении споров приходится рассматривать различные нормативные акты: в сфере интеллектуальной собственности, гражданско-правовых отношений, персональных данных. Затем необходимо прийти к общему выводу, чтобы представить выверенную позицию.

Пока в России нет законов, которые отвечают четко на вопросы: “что и как должно учитываться в бизнес-процессах и обработке данных от IoT устройств», юристам необходимо учитывать совокупность различных законов, порой слабо коррелирующих друг с другом. Сейчас начали появляться отдельные нормативные акты, например, о телемедицине, но к которым тоже очень много вопросов.

– Как обстоят дела в России и Европе с регулированием данных Интернета вещей, которые в том числе затрагивают персональную информацию о пользователях и владельцах?

– В России, при отсутствии закона, затрагивающего общее регулирование IoT, данные, обрабатываемые IoT-системами, необходимо рассматривать с позиции общего права. Понятие «Персональные данные» в 152 ФЗ «О персональных данных» не дает четкого ответа, являются ли данные от умной вещи – холодильника, микроволновки, умного чайника, телевизора, - персональными. Исходя из косвенной позиции Роскомнадзора, данные умного холодильника – это данные устройства, а не человека, который им пользуется. Но по определенным причинам Роскомнадзор и не может сейчас иметь твердой нормативной позиции.

Привязанные к вещам идентификаторы все же, по моему мнению, часто относятся к какому-либо физическому лицу в определенный момент времени. Европейское право явно говорит о том, что это – персональные данные, если под контролем физического лица.

– Расскажите, пожалуйста, как GDPR и 152-ФЗ затрагивают loT? В чем ключевые отличия этих документов?

– В Европе в последнее время появилось очень много разъяснений по принципу работы Интернета вещей, а российское регулирование IoT отстает от западного. К примеру, GDPR, в противовес 152-ФЗ, не только нормативный акт, но и результат научных исследований в сфере Privacy. С точки зрения европейского права GDPR обеспечивает баланс между правами человека и возможностями бизнеса. Конечно нужно потратить усилия на понимание принципов и требований GDPR, но они вполне прозрачны, много разъяснений. Другое дело, что в GDPR стало больше юридически-оценочных составляющих и прикрываясь бумагами соблюдать его невозможно. Соблюдение GDPR нужно начинать с организационной проработки и отношений с контрагентами. Инженер без юридического опыта или знаний не может заниматься защитой персональных данных, это даже закреплено в GDPR нормативно.

Если брать 152-ФЗ в комплексе с окружающими его подзаконными и рядом существующими нормативными правовыми актами, то он конечно устарел и вредит уже как предпринимателям, так и субъектам персональных данных. Закон отдельно, реальный бизнес отдельно. Чего только стоит отсутствие сильной нормативной позиции Роскомнадзора и наличие нескольких надзорных ведомств, которые касаются защиты персональных данных. Уже давно назрела реформа Роскомнадзора в части надзора за персональными данными, и это мнение довольно широкого круга моих коллег.

Соответствуя GDPR можно частично или даже полностью соответствовать требованиям 152-ФЗ, а также обеспечивать адекватную защиту персональных данных для всего мира. В то же время соответствие 152-ФЗ не ведет к соответствию деятельности по GDPR. Учитывая, что Россия не является страной, обеспечивающей адекватную защиту персональных данных для всей Европы, ориентировка на 152-ФЗ ведет к локализации рынка. Хотя конечно остаются страны СНГ, некоторые азиатские страны. По хорошему нужен юридический фреймворк, следуя которому будешь соответствовать 152-ФЗ и GDPR, но пока такого нет.

Несоответствие GDPR ограничит развитие в том числе и российских loT сервисов в будущем, потребует, вложенией или изменение бизнес-модели. Следствием loT часто является BigData, на которую тоже распространяются требования GDPR.

Европейское регулирование стремится к технической нейтральности. В 2014 году рабочая группа по разработке Директивы 95/46/ЕС отметила, что данные от умных устройств могут отслеживать всю жизнь людей. Если агрегировать данные от умных вещей в доме с помощью Big Data, то все равно по косвенным признакам можно восстановить даже некоторую ранее анонимизированную информацию о человеке и членах его семьи.

При использовании Big Data, согласно мнению европейских экспертов, даже методы анонимизации могут не помочь с защитой. Такая ситуация может привести к высоким рискам для нарушения прав и свобод человека. Европейский надзорный орган может запретить обработку в таких случаях в принципе.

В России, из-за вступления закона Яровой, невозможно будет полностью соответствовать GDPR. Ведь оператор связи, который собирает данные о всех своих абонентах для оперативных служб, не является органом, осуществляющим оперативно розыскную деятельность, но является оператором всех этих данных, должен их защищать как ИСПДн (Информационная система персональных данных). ИТ-компании в России, работающие на рынок ЕС и использующие услуги российских операторов связи, будут испытывать правовые трудности в связи с полным соответствием GDPR (из-за операторов связи, которые обеспечивают хранение всех их данных на хранилищах, но не готовы это хранение обеспечить согласно требования GDPR). Что там GDPR, даже согласно требованиям 152-ФЗ.

Ты соответствуешь GDPR, если все твои контрагенты, участвующие в обработке персональных данных, тоже соответствуют GDPR. В таких странах как Россия, все твои контрагенты должны брать договорные условия, аналогичные GDPR, они довольно жесткие.

– Как вы оцениваете регулирование рынка связи в России?

– Рынок услуги связи сейчас сильно зарегулирован, для телеком-бизнеса требуется большое количество документации, организации нескольких обязательных систем. И даже если все сделано по закону, то телеком-стартап без штрафов и предписаний вряд ли останется. В то же время рынок услуг связи в жестком конкурентном положении, например, из-за таких компаний как Ростелеком, по факту дотируемого государством путем передачи ему каких-то госзакупок, средств из фонда универсального обслуживания сетей связи. Одновременно, до сих пор не отрегулирован порядок доступа операторов связи в многоквартирные дома. В таких условиях развитие телеком-рынка, за исключением государственных или около государственных компаний, довольно трудное и рискованное занятие. Доступность технологий Интернета вещей невозможна без доступных услуг связи и гибких к современным вызовам операторов связи.

Мне кажется, нужно сначала ослабить регулирование в телекоммуникационной сфере. Для этого в первую очередь привлечь к обсуждению проблемных вопросов регулирования профильных экспертов, которые могли бы найти компромиссы при обсуждении государственных «хотелок». Правила игры ужесточаются, а мнение независимых специалистов не учитывается. Невозможно представить, что при рассмотрении законов, включая описания технологических процессов, касающихся атомной промышленности и сферы газо- и нефтедобычи, не привлекли бы профильных экспертов. Обсуждение проблем и привлечение экспертов идет постфактум, причем инициируется самим телеком бизнесом, даже тогда их не слушают или их идеи обсуждают в узком кругу лиц. Иногда против инициатив операторов связи используют медийный ресурс, мнения специально созданных подконтрольных советов и узкого круга лояльных операторов связи.

– Как в России будет регулироваться рынок Интернета вещей и связи в перспективе двух-трех лет?

– В перспективе до 2021 года, я полагаю, России лучше ориентироваться на европейское законодательство и законодательство США. Во-первых, потому что Россия технологически отстает в плане регулирования технологий от ЕС и Северной Америки. Во-вторых, рано или поздно бизнес-проект покинет юрисдикцию России (если был начат здесь), придется перестраивать отлаженные бизнес-процессы под мировое регулирование. Ну и в третьих (это уже скорее следствие), выстраивание IoT систем под западные нормативные требования привет к их законодательному соответствию во всем мире.