×

Локализация персональных данных россиян – какие проблемы ожидают компании?

Комментарий к вступившим в действие поправкам в КоАП

Вступил в силу Федеральный закон от 2 декабря 2019 г. № 405-ФЗ о внесении изменений в отдельные законодательные акты РФ (в частности, в КоАП РФ), предусматривающий высокие штрафные санкции для физических, должностных и юридических лиц за отсутствие локализации баз с персональными данными граждан РФ на территории России. Три года назад, 17 ноября 2016 г., за такое нарушение сервис LinkedIn был заблокирован на территории России.

Читайте также
Принят закон о повторной ответственности за нарушение норм КоАП о персональных данных
Документом предусматривается максимальный штраф для юридических лиц, к которым приравниваются и индивидуальные предприниматели, в размере 18 млн рублей
22 ноября 2019 Новости

Законом предусмотрено (ч. 8 и 9 ст. 13.11 КоАП РФ), что при первом нарушении штраф будет составлять от 1 млн до 6 млн руб. для юридических лиц, а при повторном – от 6 млн до 18 млн руб. Цель, преследуемая Роскомнадзором, – повлиять на крупный иностранный бизнес на пути к локализации данных на территории России, поскольку последние суды и конфликты с Facebook и Twitter не привели ни к чему, кроме штрафов в 3000 руб., что, на мой взгляд, выглядит несерьезно.

По мнению регулятора, новые штрафы должны изменить ситуацию и заставить иностранные интернет-сервисы локализовывать базы с персональными данными граждан РФ на территории России. Но при этом неясно, каким образом Роскомнадзор будет принуждать к уплате российских штрафов иностранные компании, не имеющие в нашей стране ни дочерних юрлиц, ни представительств, ни филиалов. Facebook планировал открыть представительство в России, но, возможно, скорректирует свои планы на этот счет.

В первую очередь нововведение важно для глобального бизнеса – то есть международных компаний, поскольку практически все их внутреннее программное обеспечение (корпоративные бухгалтерские системы, интранеты, кадровые системы и т. д.) носит глобальный характер и часто размещается за рубежом. Кроме того, это важно для иностранных веб-сервисов – таких, например, как Twitter и Facebook, не локализовавших системы. Также новелла повлияет на компании – разработчики веб-сервисов, которые изначально решили локализовать системы на территории Европы, хотя при этом работают на российскую аудиторию.

За невыполнение требований по локализации, как и требований законодательства РФ в области персональных данных, Роскомнадзор также может блокировать сайты или ограничивать обработку персональных данных в нелокализованных базах, на что указано в п. 4 ч. 3 ст. 23 Федерального закона «О персональных данных». В настоящее время представители регулятора могут проверить локализацию сайта путем выездных проверок, устанавливая на месте местонахождение базы данных, содержащей персональную информацию о россиянах. Они могут осуществить проверку, используя внешние веб-сервисы – вбив адрес сайта и проверив, где находится интернет-сервис. Отмечу, что веб-сервисы, используемые при проведении проверок, не принадлежат Роскомнадзору и являются частными или коммерческими инициативами компаний.

Один из самых наглядных примеров – блокировка сервиса LinkedIn, до сих пор не разблокированного, несмотря на переговоры компании Microsoft, которой принадлежит сервис, с представителями надзорного органа. Роскомнадзор явно продемонстрировал, что если потребуется, то он может осуществить блокировку нелокализованного веб-сервиса на территории РФ.

На данный момент штрафы и ответственность в виде блокировки действительно серьезные. Полагаю, что в связи с этим будут прецеденты, поскольку представители Роскомнадзора заявили представителю Ассоциации европейского бизнеса в ходе X международной конференции «Защита персональных данных» о том, что штрафы за отсутствие локализации более щадящие, чем, к примеру, в Евросоюзе (до 20 млн евро или 4% от оборота компании за минувший год).

Поэтому компаниям, чьи информационные системы с персональными данными находятся за пределами РФ, стоит проработать вопрос об исполнении требований о локализации баз данных с персональными данными россиян на территории России.

Во-первых, необходимо выяснить, какие информационные системы и их базы данных попадают под требования о локализации.

Во-вторых, установить, какие из систем являются веб-сайтами. Если за отсутствие локализации внутренних информационных систем (например, ERP или бухгалтерские системы) возможно наложение штрафов, приостановка обработки персональных данных в них и такие системы можно выявить только при очной проверке, то информационные системы, являющиеся веб-сайтами, можно еще и заблокировать за отсутствие локализации, а определить их извне Роскомнадзору проще простого – надзорный орган может выявлять нарушения выполнения требований по обработке персональных данных просто на основе анализа сайта, что позволяет ему осуществлять новый вид надзора – меры систематического наблюдения. Именно веб-сайты стоит локализовать с самого начала, так как зафиксировать отсутствие их локализации легче всего.

В-третьих, определить возможные способы исполнения требования о локализации для каждой попадающей под такие требования информационной системы. Так, существуют более 9 способов исполнения требования, находящихся в юридической плоскости (статус оператора у иностранного юрлица, данные не являются персональными и т.д.), в сфере ИТ (техническая локализация) и в аспекте бизнеса и рисков (принять риск и ничего не делать или отказаться от использования информационной системы).

Выявить информационные системы, попадающие под указанные требования, и выбрать наиболее оптимальный способ локализации помогут компании, специализирующиеся на защите персональных данных и выполнении требований законодательства в области персональных данных.

В заключение отмечу, что в целом у Роскомнадзора появляется все больше рычагов осуществления контроля и надзора в этой сфере. И персональные данные действительно надо локализовывать, так как это – мировой тренд: более чем в 30 странах введены требования по локализации той или иной информации, о чем свидетельствуют данные исследования Фонда информационных технологий и инноваций.

Рассказать:
Другие мнения
Герасимов Николай
Герасимов Николай
Адвокат АП Республики Башкортостан
Для решения проблемы «сталкинга» необходим комплексный подход
Уголовное право и процесс
О необходимости введения дополнительных правовых способов защиты от преследования
02 октября 2024
Ахундзянов Артем
Ахундзянов Артем
Адвокат АП г. Москвы, МКА «РОСАР»
Системные проблемы судебных экспертиз
Производство экспертизы
О реализации конституционных принципов состязательности и равноправия сторон в уголовном процессе
25 сентября 2024
Глотов Максим
Глотов Максим
Адвокат АП Московской области, председатель Московской коллегии адвокатов «Могильницкий и партнеры»
Поправки в ст. 458 УПК: спорные аспекты
Уголовное право и процесс
Почему совершенствование института заочного производства по уголовным делам предпочтительнее
18 сентября 2024
Тонков Евгений
Тонков Евгений
Член Комиссии Совета ФПА РФ по защите прав адвокатов, председатель Комиссии АП Ленинградской области по защите профессиональных прав адвокатов, к.ю.н., доцент СЗИУ РАНХИГС
Возможно ли исключить фальсификации протоколов судебных заседаний из уголовного процесса?
Уголовное право и процесс
Технически простые изменения в УПК РФ могут изменить ситуацию к лучшему для стороны защиты
03 сентября 2024
Окшин Максим
Окшин Максим
Юрист АБ «Мушаилов, Узденский, Рыбаков и партнеры»
«Портфолио» для осужденного
Уголовно-исполнительное право
Особенности правового сопровождения отбывания наказания в виде лишения свободы
20 августа 2024
Овчинников Владимир
Овчинников Владимир
Адвокат АП Ставропольского края, член Союза журналистов РФ
Равноправие сторон – реальность или иллюзия?
Уголовное право и процесс
Какие изменения, касающиеся отвода защитника от участия в уголовном деле, целесообразно внести в УПК
16 августа 2024
Яндекс.Метрика