×

Локализация персональных данных россиян – какие проблемы ожидают компании?

Комментарий к вступившим в действие поправкам в КоАП
Лагутин Максим
Лагутин Максим
Ведущий эксперт по защите персональных данных Б-152

Вступил в силу Федеральный закон от 2 декабря 2019 г. № 405-ФЗ о внесении изменений в отдельные законодательные акты РФ (в частности, в КоАП РФ), предусматривающий высокие штрафные санкции для физических, должностных и юридических лиц за отсутствие локализации баз с персональными данными граждан РФ на территории России. Три года назад, 17 ноября 2016 г., за такое нарушение сервис LinkedIn был заблокирован на территории России.

Читайте также
Принят закон о повторной ответственности за нарушение норм КоАП о персональных данных
Документом предусматривается максимальный штраф для юридических лиц, к которым приравниваются и индивидуальные предприниматели, в размере 18 млн рублей
22 Ноября 2019 Новости

Законом предусмотрено (ч. 8 и 9 ст. 13.11 КоАП РФ), что при первом нарушении штраф будет составлять от 1 млн до 6 млн руб. для юридических лиц, а при повторном – от 6 млн до 18 млн руб. Цель, преследуемая Роскомнадзором, – повлиять на крупный иностранный бизнес на пути к локализации данных на территории России, поскольку последние суды и конфликты с Facebook и Twitter не привели ни к чему, кроме штрафов в 3000 руб., что, на мой взгляд, выглядит несерьезно.

По мнению регулятора, новые штрафы должны изменить ситуацию и заставить иностранные интернет-сервисы локализовывать базы с персональными данными граждан РФ на территории России. Но при этом неясно, каким образом Роскомнадзор будет принуждать к уплате российских штрафов иностранные компании, не имеющие в нашей стране ни дочерних юрлиц, ни представительств, ни филиалов. Facebook планировал открыть представительство в России, но, возможно, скорректирует свои планы на этот счет.

В первую очередь нововведение важно для глобального бизнеса – то есть международных компаний, поскольку практически все их внутреннее программное обеспечение (корпоративные бухгалтерские системы, интранеты, кадровые системы и т. д.) носит глобальный характер и часто размещается за рубежом. Кроме того, это важно для иностранных веб-сервисов – таких, например, как Twitter и Facebook, не локализовавших системы. Также новелла повлияет на компании – разработчики веб-сервисов, которые изначально решили локализовать системы на территории Европы, хотя при этом работают на российскую аудиторию.

За невыполнение требований по локализации, как и требований законодательства РФ в области персональных данных, Роскомнадзор также может блокировать сайты или ограничивать обработку персональных данных в нелокализованных базах, на что указано в п. 4 ч. 3 ст. 23 Федерального закона «О персональных данных». В настоящее время представители регулятора могут проверить локализацию сайта путем выездных проверок, устанавливая на месте местонахождение базы данных, содержащей персональную информацию о россиянах. Они могут осуществить проверку, используя внешние веб-сервисы – вбив адрес сайта и проверив, где находится интернет-сервис. Отмечу, что веб-сервисы, используемые при проведении проверок, не принадлежат Роскомнадзору и являются частными или коммерческими инициативами компаний.

Один из самых наглядных примеров – блокировка сервиса LinkedIn, до сих пор не разблокированного, несмотря на переговоры компании Microsoft, которой принадлежит сервис, с представителями надзорного органа. Роскомнадзор явно продемонстрировал, что если потребуется, то он может осуществить блокировку нелокализованного веб-сервиса на территории РФ.

На данный момент штрафы и ответственность в виде блокировки действительно серьезные. Полагаю, что в связи с этим будут прецеденты, поскольку представители Роскомнадзора заявили представителю Ассоциации европейского бизнеса в ходе X международной конференции «Защита персональных данных» о том, что штрафы за отсутствие локализации более щадящие, чем, к примеру, в Евросоюзе (до 20 млн евро или 4% от оборота компании за минувший год).

Поэтому компаниям, чьи информационные системы с персональными данными находятся за пределами РФ, стоит проработать вопрос об исполнении требований о локализации баз данных с персональными данными россиян на территории России.

Во-первых, необходимо выяснить, какие информационные системы и их базы данных попадают под требования о локализации.

Во-вторых, установить, какие из систем являются веб-сайтами. Если за отсутствие локализации внутренних информационных систем (например, ERP или бухгалтерские системы) возможно наложение штрафов, приостановка обработки персональных данных в них и такие системы можно выявить только при очной проверке, то информационные системы, являющиеся веб-сайтами, можно еще и заблокировать за отсутствие локализации, а определить их извне Роскомнадзору проще простого – надзорный орган может выявлять нарушения выполнения требований по обработке персональных данных просто на основе анализа сайта, что позволяет ему осуществлять новый вид надзора – меры систематического наблюдения. Именно веб-сайты стоит локализовать с самого начала, так как зафиксировать отсутствие их локализации легче всего.

В-третьих, определить возможные способы исполнения требования о локализации для каждой попадающей под такие требования информационной системы. Так, существуют более 9 способов исполнения требования, находящихся в юридической плоскости (статус оператора у иностранного юрлица, данные не являются персональными и т.д.), в сфере ИТ (техническая локализация) и в аспекте бизнеса и рисков (принять риск и ничего не делать или отказаться от использования информационной системы).

Выявить информационные системы, попадающие под указанные требования, и выбрать наиболее оптимальный способ локализации помогут компании, специализирующиеся на защите персональных данных и выполнении требований законодательства в области персональных данных.

В заключение отмечу, что в целом у Роскомнадзора появляется все больше рычагов осуществления контроля и надзора в этой сфере. И персональные данные действительно надо локализовывать, так как это – мировой тренд: более чем в 30 странах введены требования по локализации той или иной информации, о чем свидетельствуют данные исследования Фонда информационных технологий и инноваций.

Рассказать:
Другие мнения
Гейко Павел
Гейко Павел
Адвокат АК «СанктаЛекс»
Является ли цифровая валюта «опасным» имуществом?
Интернет-право
Предложенные законодателем поправки полезны и необходимы, но требуют дополнительной проработки
25 Ноября 2020
Хужин Марат
Хужин Марат
Адвокат BGP LITIGATION
Перспективы онлайн-допросов
Уголовное право и процесс
Для использования электронных доказательств есть серьезные препятствия, которые нужно преодолевать систематически
18 Ноября 2020
Ерофеев Константин
Ерофеев Константин
Адвокат АП г. Санкт-Петербурга
Богословское заключение и светское государство: правовые аспекты
Семейное право
Допустимы ли на территории России межконфессиональные браки?
17 Ноября 2020
Васильева Наталья
Васильева Наталья
Партнер АБ «Бартолиус»
Суды опираются на позиции ВС РФ
Гражданское право и процесс
Разъяснения Пленума ВС РФ способствуют более единообразному развитию судебной практики
17 Ноября 2020
Береснева Анна
Магистр РШЧП`2019
Новые разъяснения ВС РФ
Гражданское право и процесс
Об основаниях прекращения обязательств
17 Ноября 2020
Новиков Алексей
Новиков Алексей
Управляющий партнер, адвокат Criminal Defense Firm
Устранить недостатки и коллизии законодательного регулирования
Уголовное право и процесс
О праве на реплику в корреспонденции с участием в прениях
17 Ноября 2020