Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Деньги
Сервисы
Карьера
Личный опыт
Крипто
AI
Образование
Маркетплейсы
Дизайн
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Алексей Грибанов
Право

Локализация обработки персональных данных граждан России: за что хотят ввести штрафы до 18 млн рублей?

10 сентября Госдума приняла в первом чтении законопроект о введении штрафов за нарушение требования о локализации обработки персональных данных граждан России (далее - требование о локализации). Законопроект предусматривает, что за первое нарушение требования о локализации компания может быть оштрафована на 2 - 6 млн рублей, а за повторное - на 6 - 18 млн рублей. Таким образом, компаниям, которые обрабатывают персональные данные граждан России, имеет смысл проверить, соблюдают ли они требование о локализации, и при необходимости принять меры для снижения своих правовых рисков.

В данной заметке рассказывается, (1) в чем состоит требование о локализации, (2) в каких случаях оно применяется к иностранным компаниям без физического присутствия в России, (3) возможна ли передача данных, подлежащих локализации, в зарубежные страны и (4) каковы реальные риски компаний, нарушающих требование о локализации.

В чем состоит требование о локализации?

В соответствии с требованием о локализации при сборе персональных данных, в том числе с использованием интернета, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан России с использованием баз данных, находящихся на территории России.

Требование о локализации не применяется, если обработка персональных данных:

  • необходима для выполнения требований закона;
  • осуществляется в связи с участием лица в судебном процессе;
  • необходима для исполнения государственными органами своих полномочий; или
  • необходима для осуществления журналистской или творческой деятельности, если при этом не нарушаются права и законные интересы субъектов персональных данных.

Для правильного понимания требования о локализации нужно знать значение следующих терминов:

  • Персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Поэтому требование о локализации не касается, например, на анонимизированные данные.
  • Граждане Российской Федерации. Поскольку закон не указывает, как оператор должен определять гражданство субъектов, оператор может самостоятельно выбрать способ определения гражданства субъектов с учетом специфики своей деятельности (например, по IP-адресам субъектов).
  • Оператор - это юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Следовательно, требование о локализации не распространяется, например, на «обработчиков данных», то есть на лиц, которые обрабатывают персональные данные по поручению оператора, - провайдеров «облачных» сервисов, организации, осуществляющие расчет заработной платы в порядке аутсорсинга и т. п.
  • Сбор персональных данных - это целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц. Поэтому требование о локализации не распространяется, например, на персональные данные, полученные оператором от другого оператора, а не от субъекта персональных данных.
  • Запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных. Закон не определяет значение этих терминов. Но важно отметить, что требование о локализации распространяется только на указанные операции с персональными данными и не касается других операций, таких как использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
  • База данных - это упорядоченный массив данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных). Так, например, базой данных можно считать таблицу в формате Excel, Word, в которой содержатся персональные данные граждан.

В каких случаях требование о локализации применяется к иностранным компаниям без физического присутствия в России?

Требование о локализации применяется к иностранным компаниям без физического присутствия в России, если они осуществляют деятельность, направленную на территорию России. Например, интернет-сайт может считаться направленным на территорию России, если:

  • сайт использует доменное имя, связанное с Россией (.ru, .рф., .su, .москва., moscow и т.п.) или
  • у сайта есть русскоязычная версия при условии, что (1) сайт позволяет платить за товары в рублях, (2) на сайте можно заключить договор с исполнением в России (например, с доставкой товаров в Россию), (3) на сайт ведет реклама на русском языке или (4) другие обстоятельства явно демонстрируют интерес владельца сайта к российской аудитории.

Возможна ли передача данных, подлежащих локализации, в зарубежные страны?

Требование о локализации не препятствует передаче персональных данных в зарубежные страны. Персональные данные гражданина России, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней, могут далее передаваться в базы данных, расположенные за пределами России, администрируемые иными лицами. Главное, чтобы при такой передаче соблюдались общие требования к трансграничной передаче персональных данных (например, для передачи данных в США часто необходимо письменное согласие субъекта).

Каковы реальные риски компаний, нарушающих требование о локализации?

Реальные риски компаний, нарушающих требования о локализации, лучше всего видны на примерах из судебной практики:

  • Социальная сеть LinkedIn заблокирована в России с 2016 года за нарушение требования о локализации при сборе персональных данных пользователей.
  • В апреле 2019 года компании Twitter и Facebook были оштрафованы на 3 000 рублей каждая за то, что они не предоставили Роскомнадзору информацию, подтверждающую исполнение требования о локализации (блок-схемы размещения рабочих мест, на которых осуществляется хранение персональных данных российских пользователей; справки о постановке на балансовый учёт приобретенных серверных мощностей; договоры купли-продажи серверных мощностей; в случае аренды технических площадок (ЦОД, серверные мощности) на территории России - договоры аренды с компаниями, представляющими соответствующие услуги). Именно дела Twitter и Facebook поспособствовали внесению законопроекта о высоких штрафах за нарушение требования о локализации, который упоминался в начале этой заметки, так как Роскомнадзор хочет иметь более действенные инструменты воздействия на нарушителей, чем штрафы в размере 3 000 рублей.

* * *

Таким образом, требование о локализации возлагает существенные обязательства на российские и иностранные зарубежные компании, которые обрабатывают персональные данные граждан России. Законопроект о высоких штрафах за нарушение требования о локализации демонстрирует интерес российского государства к этой теме. В свете сказанного компаниям, которые обрабатывают персональные данные российских граждан, можно рекомендовать проверить соблюдение ими требования о локализации и при необходимости принять дополнительные меры для его соблюдения.

Начать дискуссию