×

Локализация персональных данных россиян – какие проблемы ожидают компании?

Комментарий к вступившим в действие поправкам в КоАП

Вступил в силу Федеральный закон от 2 декабря 2019 г. № 405-ФЗ о внесении изменений в отдельные законодательные акты РФ (в частности, в КоАП РФ), предусматривающий высокие штрафные санкции для физических, должностных и юридических лиц за отсутствие локализации баз с персональными данными граждан РФ на территории России. Три года назад, 17 ноября 2016 г., за такое нарушение сервис LinkedIn был заблокирован на территории России.

Читайте также
Принят закон о повторной ответственности за нарушение норм КоАП о персональных данных
Документом предусматривается максимальный штраф для юридических лиц, к которым приравниваются и индивидуальные предприниматели, в размере 18 млн рублей
22 Ноября 2019 Новости

Законом предусмотрено (ч. 8 и 9 ст. 13.11 КоАП РФ), что при первом нарушении штраф будет составлять от 1 млн до 6 млн руб. для юридических лиц, а при повторном – от 6 млн до 18 млн руб. Цель, преследуемая Роскомнадзором, – повлиять на крупный иностранный бизнес на пути к локализации данных на территории России, поскольку последние суды и конфликты с Facebook и Twitter не привели ни к чему, кроме штрафов в 3000 руб., что, на мой взгляд, выглядит несерьезно.

По мнению регулятора, новые штрафы должны изменить ситуацию и заставить иностранные интернет-сервисы локализовывать базы с персональными данными граждан РФ на территории России. Но при этом неясно, каким образом Роскомнадзор будет принуждать к уплате российских штрафов иностранные компании, не имеющие в нашей стране ни дочерних юрлиц, ни представительств, ни филиалов. Facebook планировал открыть представительство в России, но, возможно, скорректирует свои планы на этот счет.

В первую очередь нововведение важно для глобального бизнеса – то есть международных компаний, поскольку практически все их внутреннее программное обеспечение (корпоративные бухгалтерские системы, интранеты, кадровые системы и т. д.) носит глобальный характер и часто размещается за рубежом. Кроме того, это важно для иностранных веб-сервисов – таких, например, как Twitter и Facebook, не локализовавших системы. Также новелла повлияет на компании – разработчики веб-сервисов, которые изначально решили локализовать системы на территории Европы, хотя при этом работают на российскую аудиторию.

За невыполнение требований по локализации, как и требований законодательства РФ в области персональных данных, Роскомнадзор также может блокировать сайты или ограничивать обработку персональных данных в нелокализованных базах, на что указано в п. 4 ч. 3 ст. 23 Федерального закона «О персональных данных». В настоящее время представители регулятора могут проверить локализацию сайта путем выездных проверок, устанавливая на месте местонахождение базы данных, содержащей персональную информацию о россиянах. Они могут осуществить проверку, используя внешние веб-сервисы – вбив адрес сайта и проверив, где находится интернет-сервис. Отмечу, что веб-сервисы, используемые при проведении проверок, не принадлежат Роскомнадзору и являются частными или коммерческими инициативами компаний.

Один из самых наглядных примеров – блокировка сервиса LinkedIn, до сих пор не разблокированного, несмотря на переговоры компании Microsoft, которой принадлежит сервис, с представителями надзорного органа. Роскомнадзор явно продемонстрировал, что если потребуется, то он может осуществить блокировку нелокализованного веб-сервиса на территории РФ.

На данный момент штрафы и ответственность в виде блокировки действительно серьезные. Полагаю, что в связи с этим будут прецеденты, поскольку представители Роскомнадзора заявили представителю Ассоциации европейского бизнеса в ходе X международной конференции «Защита персональных данных» о том, что штрафы за отсутствие локализации более щадящие, чем, к примеру, в Евросоюзе (до 20 млн евро или 4% от оборота компании за минувший год).

Поэтому компаниям, чьи информационные системы с персональными данными находятся за пределами РФ, стоит проработать вопрос об исполнении требований о локализации баз данных с персональными данными россиян на территории России.

Во-первых, необходимо выяснить, какие информационные системы и их базы данных попадают под требования о локализации.

Во-вторых, установить, какие из систем являются веб-сайтами. Если за отсутствие локализации внутренних информационных систем (например, ERP или бухгалтерские системы) возможно наложение штрафов, приостановка обработки персональных данных в них и такие системы можно выявить только при очной проверке, то информационные системы, являющиеся веб-сайтами, можно еще и заблокировать за отсутствие локализации, а определить их извне Роскомнадзору проще простого – надзорный орган может выявлять нарушения выполнения требований по обработке персональных данных просто на основе анализа сайта, что позволяет ему осуществлять новый вид надзора – меры систематического наблюдения. Именно веб-сайты стоит локализовать с самого начала, так как зафиксировать отсутствие их локализации легче всего.

В-третьих, определить возможные способы исполнения требования о локализации для каждой попадающей под такие требования информационной системы. Так, существуют более 9 способов исполнения требования, находящихся в юридической плоскости (статус оператора у иностранного юрлица, данные не являются персональными и т.д.), в сфере ИТ (техническая локализация) и в аспекте бизнеса и рисков (принять риск и ничего не делать или отказаться от использования информационной системы).

Выявить информационные системы, попадающие под указанные требования, и выбрать наиболее оптимальный способ локализации помогут компании, специализирующиеся на защите персональных данных и выполнении требований законодательства в области персональных данных.

В заключение отмечу, что в целом у Роскомнадзора появляется все больше рычагов осуществления контроля и надзора в этой сфере. И персональные данные действительно надо локализовывать, так как это – мировой тренд: более чем в 30 странах введены требования по локализации той или иной информации, о чем свидетельствуют данные исследования Фонда информационных технологий и инноваций.

Рассказать:
Другие мнения
Якушева Елена
Якушева Елена
Адвокат, партнер АБ «Плешаков, Ушкалов и партнеры»
Наравне с налоговым органом
Налоговое право
Кредиторам следует отстаивать свои права, несмотря на растущее преимущество налогового органа в процедуре банкротства
14 Сентября 2021
Шамшина Анастасия
Шамшина Анастасия
Адвокат, руководитель рабочей группы Коллегии адвокатов г. Москвы «РКТ»
От казны добра не ищут
Налоговое право
Усиление позиций уполномоченного органа по текущим налогам в рамках дела о банкротстве: как бороться кредиторам
14 Сентября 2021
Новиков Алексей
Новиков Алексей
Управляющий партнер, адвокат Criminal Defense Firm
Уголовно-правовые риски блогеров
Уголовное право и процесс
Первостепенный фактор, отличающий блогеров, – публичность
14 Сентября 2021
Антонов Михаил
Антонов Михаил
Адвокат, партнер юридической фирмы «Аспектум.», профессор юридического факультета Национального исследовательского университета «Высшая школа экономики» (г. Санкт-Петербург)
К чему приводит терминологическая неясность
Арбитражное право и процесс
О логических и лингвистических дефектах в разъяснениях Пленума ВС РФ
31 Августа 2021
Исаенко Владимир
Исаенко Владимир
Адвокат практики банкротства «ИНФРАЛЕКС»
Важное разъяснение
Арбитражное право и процесс
Электронная переписка признана в качестве надлежащего доказательства направления юридически значимого сообщения
31 Августа 2021
Прокофьев Илья
Прокофьев Илья
Адвокат, заместитель председателя Московской коллегии адвокатов «Центрюрсервис»
Искать мирный способ урегулирования разногласий
Семейное право
Два пути – внесение изменений в законодательство в плане ужесточения ответственности и внушение конфликтующим родителям необходимости договариваться
31 Августа 2021
Яндекс.Метрика