×

Локализация персональных данных россиян – какие проблемы ожидают компании?

Комментарий к вступившим в действие поправкам в КоАП

Вступил в силу Федеральный закон от 2 декабря 2019 г. № 405-ФЗ о внесении изменений в отдельные законодательные акты РФ (в частности, в КоАП РФ), предусматривающий высокие штрафные санкции для физических, должностных и юридических лиц за отсутствие локализации баз с персональными данными граждан РФ на территории России. Три года назад, 17 ноября 2016 г., за такое нарушение сервис LinkedIn был заблокирован на территории России.

Читайте также
Принят закон о повторной ответственности за нарушение норм КоАП о персональных данных
Документом предусматривается максимальный штраф для юридических лиц, к которым приравниваются и индивидуальные предприниматели, в размере 18 млн рублей
22 Ноября 2019 Новости

Законом предусмотрено (ч. 8 и 9 ст. 13.11 КоАП РФ), что при первом нарушении штраф будет составлять от 1 млн до 6 млн руб. для юридических лиц, а при повторном – от 6 млн до 18 млн руб. Цель, преследуемая Роскомнадзором, – повлиять на крупный иностранный бизнес на пути к локализации данных на территории России, поскольку последние суды и конфликты с Facebook и Twitter не привели ни к чему, кроме штрафов в 3000 руб., что, на мой взгляд, выглядит несерьезно.

По мнению регулятора, новые штрафы должны изменить ситуацию и заставить иностранные интернет-сервисы локализовывать базы с персональными данными граждан РФ на территории России. Но при этом неясно, каким образом Роскомнадзор будет принуждать к уплате российских штрафов иностранные компании, не имеющие в нашей стране ни дочерних юрлиц, ни представительств, ни филиалов. Facebook планировал открыть представительство в России, но, возможно, скорректирует свои планы на этот счет.

В первую очередь нововведение важно для глобального бизнеса – то есть международных компаний, поскольку практически все их внутреннее программное обеспечение (корпоративные бухгалтерские системы, интранеты, кадровые системы и т. д.) носит глобальный характер и часто размещается за рубежом. Кроме того, это важно для иностранных веб-сервисов – таких, например, как Twitter и Facebook, не локализовавших системы. Также новелла повлияет на компании – разработчики веб-сервисов, которые изначально решили локализовать системы на территории Европы, хотя при этом работают на российскую аудиторию.

За невыполнение требований по локализации, как и требований законодательства РФ в области персональных данных, Роскомнадзор также может блокировать сайты или ограничивать обработку персональных данных в нелокализованных базах, на что указано в п. 4 ч. 3 ст. 23 Федерального закона «О персональных данных». В настоящее время представители регулятора могут проверить локализацию сайта путем выездных проверок, устанавливая на месте местонахождение базы данных, содержащей персональную информацию о россиянах. Они могут осуществить проверку, используя внешние веб-сервисы – вбив адрес сайта и проверив, где находится интернет-сервис. Отмечу, что веб-сервисы, используемые при проведении проверок, не принадлежат Роскомнадзору и являются частными или коммерческими инициативами компаний.

Один из самых наглядных примеров – блокировка сервиса LinkedIn, до сих пор не разблокированного, несмотря на переговоры компании Microsoft, которой принадлежит сервис, с представителями надзорного органа. Роскомнадзор явно продемонстрировал, что если потребуется, то он может осуществить блокировку нелокализованного веб-сервиса на территории РФ.

На данный момент штрафы и ответственность в виде блокировки действительно серьезные. Полагаю, что в связи с этим будут прецеденты, поскольку представители Роскомнадзора заявили представителю Ассоциации европейского бизнеса в ходе X международной конференции «Защита персональных данных» о том, что штрафы за отсутствие локализации более щадящие, чем, к примеру, в Евросоюзе (до 20 млн евро или 4% от оборота компании за минувший год).

Поэтому компаниям, чьи информационные системы с персональными данными находятся за пределами РФ, стоит проработать вопрос об исполнении требований о локализации баз данных с персональными данными россиян на территории России.

Во-первых, необходимо выяснить, какие информационные системы и их базы данных попадают под требования о локализации.

Во-вторых, установить, какие из систем являются веб-сайтами. Если за отсутствие локализации внутренних информационных систем (например, ERP или бухгалтерские системы) возможно наложение штрафов, приостановка обработки персональных данных в них и такие системы можно выявить только при очной проверке, то информационные системы, являющиеся веб-сайтами, можно еще и заблокировать за отсутствие локализации, а определить их извне Роскомнадзору проще простого – надзорный орган может выявлять нарушения выполнения требований по обработке персональных данных просто на основе анализа сайта, что позволяет ему осуществлять новый вид надзора – меры систематического наблюдения. Именно веб-сайты стоит локализовать с самого начала, так как зафиксировать отсутствие их локализации легче всего.

В-третьих, определить возможные способы исполнения требования о локализации для каждой попадающей под такие требования информационной системы. Так, существуют более 9 способов исполнения требования, находящихся в юридической плоскости (статус оператора у иностранного юрлица, данные не являются персональными и т.д.), в сфере ИТ (техническая локализация) и в аспекте бизнеса и рисков (принять риск и ничего не делать или отказаться от использования информационной системы).

Выявить информационные системы, попадающие под указанные требования, и выбрать наиболее оптимальный способ локализации помогут компании, специализирующиеся на защите персональных данных и выполнении требований законодательства в области персональных данных.

В заключение отмечу, что в целом у Роскомнадзора появляется все больше рычагов осуществления контроля и надзора в этой сфере. И персональные данные действительно надо локализовывать, так как это – мировой тренд: более чем в 30 странах введены требования по локализации той или иной информации, о чем свидетельствуют данные исследования Фонда информационных технологий и инноваций.

Рассказать:
Другие мнения
Залесов Алексей
Залесов Алексей
Адвокат, управляющий партнер АБ г. Москвы «А. Залесов и партнеры», патентный поверенный
У кого патент, тот и прав?
Право интеллектуальной собственности
О незащищенности изобретателей в патентном праве
25 Января 2022
Зафесов Руслан
Зафесов Руслан
Адвокат АБ «Забейда и партнеры»
Дебиторская задолженность как предмет сокрытия
Уголовное право и процесс
Применение ст. 199.2 УК РФ требует более четких разъяснений
19 Января 2022
Мунтян Алексей
Мунтян Алексей
Соучредитель и член Правления Сообщества профессионалов в области приватности
Надзорный капитализм» формирует цифровое будущее
Гражданское право и процесс
Россию ожидает крупнейшая за десятилетие реформа законодательства о персональных данных
18 Января 2022
Александров Алексей
Эксперт службы Правового консалтинга ГАРАНТ
Срок исполнения обязательства по денежному требованию из лицензионного договора, не устанавливающего срока оплаты
Гражданское право и процесс
На вопрос читателя «АГ» отвечает эксперт службы Правового консалтинга «ГАРАНТ»
18 Января 2022
Лапшина Анна
Юрист практики IP Eversheds Sutherland
Риски коммерциализации персональных данных
Гражданское право и процесс
Распространенные ошибки, допускаемые операторами при обработке персональных данных
18 Января 2022
Абцешко Наталия
Абцешко Наталия
Руководитель Группы международных проектов юридической фирмы VEGAS LEX
Грамотно составить документацию
Гражданское право и процесс
Наиболее актуальная практика по обеспечению комплаенса внутренних бизнес-процессов компаний, связанных с защитой и обработкой персональных данных
18 Января 2022
Яндекс.Метрика