Следствие закона
Экспертный комментарий Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."
Федеральный закон "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях", подписанный недавно Президентом РФ Владимиром Путиным, вызвал волну обсуждений.
Согласно требованиям закона, предприятия смогут обрабатывать персональные данные только с использованием баз данных, находящихся на территории России. Тем самым в "зону риска" попадают те информационные системы (например, системы ERP, CRM и т. д.) и их резервные копии, которые работают с базами данных, расположенными за пределами России. "Под удар", в частности, попадают международные компании, у которых хотя бы одна из дочерних структур зарегистрирована в России.
А в июле Госдума приняла в первом чтении поправки в закон об информации, которые обязывают все интернет-компании хранить данные своих российских пользователей на серверах в России. Речь идёт обо всех данных российских граждан, которые используются при регистрации, покупках в сети, пересылке почтовых сообщений. Если сервис нарушит правила по хранению данных, он будет заблокирован операторами связи. Следить за блокировками будет "Роскомнадзор". Норма вступит в силу с 1 сентября 2016 г.
Какое влияние на работу операторов центров обработки данных и на развитие российской отрасли дата-центров в целом окажут эти законодательные нормы? Вопрос комментируют эксперты российского рынка и бизнеса.
Алексей Сабанов, член Экспертного совета Комитета Государственной Думы по безопасности и противодействию коррупции и заместитель генерального директора ЗАО "Аладдин Р.Д.":
Федеральный закон №152-ФЗ "О персональных данных" действует для всех операторов ПДн в РФ. Иностранные компании стараются выполнять все российские законы. Сложившаяся практика такова: как правило, российские филиалы иностранных компаний регистрируются в налоговой службе РФ по коду 99. Тогда они автоматически включаются "Роскомнадзором" в число операторов ПДн со всеми вытекающими последствиями.
Что касается связи с дата-центрами, то у нас всё не так однозначно. Если у компании в России есть собственный (корпоративный) дата-центр, то ПДн именно там и хранят. А вот что касается аутсорсинга, то вопросы доверия к поставщикам услуг дата-центра решаются очень медленно, тем более, что ответственность за защиту персональных данных лежит на операторе.
Дмитрий Фокин, управляющий директор компании IXcellerate:
Без сомнения, принятие закона повлияет на российский рынок дата-центров. Потому что, как это бывает с разными законодательными актами, хотя трактовки этого закона могут быть разные, большинство серьёзных игроков в значимых отраслях, где используются персональные данные, предпочтут защититься от рисков, связанных с несоблюдением этого указа, а значит, будут активно расширять свои ИТ-мощности на территории России. Как говорится, "better be safe than sorry". Это касается как российских, так и иностранных компаний.
Алексей Бадаев, вице-президент компании Acronis по маркетингу и продажам в СНГ и Восточной Европе:
Если по закону организация обязана хранить данные на территории России, мы с нашим партнёром DataPro такую возможность предоставляем. Переговоры о переносе данных начались ещё до появления темы замещения импорта. И такие клиенты уже появились. Конечно, крупные организации имеют свои ЦОДы, где хранят и обрабатывают данные. Но вместе с тем участились запросы от крупных компаний, которые хотят использовать уже готовый сервис и отдать его полностью на аутсоринг.
Илья Хала, генеральный директор компании 3data:
Это позитивная новость для российских ЦОДов. Во-первых, это пиар для отрасли. Благодаря комментариям к закону многие впервые узнали о таком понятии как ЦОД, а также о том, что ЦОДы есть в России и в них можно что-то хранить.
Но, наверное, на этом мой оптимизм заканчивается. Потому что рынок ЦОДов очень инертный. Сразу никто не будет ничего переделывать. Но будут показательные процессы. Вопрос в том, как компании подойдут к решению этой задачи. Возможно, некоторые действительно перенесут свои системы и данные клиентов в Россию. Но есть и другие варианты.
Не исключено, что для российского сегмента компании перенесут какие-то части систем.. Можно ведь сделать распределённую систему, небольшая часть которой будет работать на Россию. А можно пойти ещё дальше. В российский ЦОД можно вынести лишь часть базы данных, в которой лежат конкретные ПДн. Но всю систему или часть системы не переносить.
И последний вариант — компании могут только сделать вид, что перенесли. Реально разобраться в том, что где хранится и как оно работает, — довольно сложно. Для этого проверяющие органы должны глубоко разбираться в архитектуре решений, баз данных и проч. То есть хорошо представлять, что где хранится и как оно работает. Наверное, наши проверяющие органы возьмутся за какие-то крупные компании и принудят их к выполнению закона. И, наверное, крупные компании, ещё до того как их принудят, примут надлежащие меры. Но последуют ли их примеру все остальные — это вопрос.