Локализовать данные российских пользователей что это значит
Перейти к содержимому

Локализовать данные российских пользователей что это значит

  • автор:

Локализация обработки персональных данных граждан России: за что хотят ввести штрафы до 18 млн рублей?

10 сентября Госдума приняла в первом чтении законопроект о введении штрафов за нарушение требования о локализации обработки персональных данных граждан России (далее — требование о локализации). Законопроект предусматривает, что за первое нарушение требования о локализации компания может быть оштрафована на 2 — 6 млн рублей, а за повторное — на 6 — 18 млн рублей. Таким образом, компаниям, которые обрабатывают персональные данные граждан России, имеет смысл проверить, соблюдают ли они требование о локализации, и при необходимости принять меры для снижения своих правовых рисков.

В данной заметке рассказывается, (1) в чем состоит требование о локализации, (2) в каких случаях оно применяется к иностранным компаниям без физического присутствия в России, (3) возможна ли передача данных, подлежащих локализации, в зарубежные страны и (4) каковы реальные риски компаний, нарушающих требование о локализации.

В соответствии с требованием о локализации при сборе персональных данных, в том числе с использованием интернета, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан России с использованием баз данных, находящихся на территории России.

Требование о локализации не применяется, если обработка персональных данных:

  • необходима для выполнения требований закона;
  • осуществляется в связи с участием лица в судебном процессе;
  • необходима для исполнения государственными органами своих полномочий; или
  • необходима для осуществления журналистской или творческой деятельности, если при этом не нарушаются права и законные интересы субъектов персональных данных.

Для правильного понимания требования о локализации нужно знать значение следующих терминов:

  • Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Поэтому требование о локализации не касается, например, на анонимизированные данные.
  • Граждане Российской Федерации. Поскольку закон не указывает, как оператор должен определять гражданство субъектов, оператор может самостоятельно выбрать способ определения гражданства субъектов с учетом специфики своей деятельности (например, по IP-адресам субъектов).
  • Оператор — это юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Следовательно, требование о локализации не распространяется, например, на «обработчиков данных», то есть на лиц, которые обрабатывают персональные данные по поручению оператора, — провайдеров «облачных» сервисов, организации, осуществляющие расчет заработной платы в порядке аутсорсинга и т. п.
  • Сбор персональных данных — это целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц. Поэтому требование о локализации не распространяется, например, на персональные данные, полученные оператором от другого оператора, а не от субъекта персональных данных.
  • Запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных. Закон не определяет значение этих терминов. Но важно отметить, что требование о локализации распространяется только на указанные операции с персональными данными и не касается других операций, таких как использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
  • База данных — это упорядоченный массив данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных). Так, например, базой данных можно считать таблицу в формате Excel, Word, в которой содержатся персональные данные граждан.

Требование о локализации применяется к иностранным компаниям без физического присутствия в России, если они осуществляют деятельность, направленную на территорию России. Например, интернет-сайт может считаться направленным на территорию России, если:

  • сайт использует доменное имя, связанное с Россией (.ru, .рф., .su, .москва., moscow и т.п.) или
  • у сайта есть русскоязычная версия при условии, что (1) сайт позволяет платить за товары в рублях, (2) на сайте можно заключить договор с исполнением в России (например, с доставкой товаров в Россию), (3) на сайт ведет реклама на русском языке или (4) другие обстоятельства явно демонстрируют интерес владельца сайта к российской аудитории.

Требование о локализации не препятствует передаче персональных данных в зарубежные страны. Персональные данные гражданина России, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней, могут далее передаваться в базы данных, расположенные за пределами России, администрируемые иными лицами. Главное, чтобы при такой передаче соблюдались общие требования к трансграничной передаче персональных данных (например, для передачи данных в США часто необходимо письменное согласие субъекта).

Реальные риски компаний, нарушающих требования о локализации, лучше всего видны на примерах из судебной практики:

  • Социальная сеть LinkedIn заблокирована в России с 2016 года за нарушение требования о локализации при сборе персональных данных пользователей.
  • В апреле 2019 года компании Twitter и Facebook были оштрафованы на 3 000 рублей каждая за то, что они не предоставили Роскомнадзору информацию, подтверждающую исполнение требования о локализации (блок-схемы размещения рабочих мест, на которых осуществляется хранение персональных данных российских пользователей; справки о постановке на балансовый учёт приобретенных серверных мощностей; договоры купли-продажи серверных мощностей; в случае аренды технических площадок (ЦОД, серверные мощности) на территории России — договоры аренды с компаниями, представляющими соответствующие услуги). Именно дела Twitter и Facebook поспособствовали внесению законопроекта о высоких штрафах за нарушение требования о локализации, который упоминался в начале этой заметки, так как Роскомнадзор хочет иметь более действенные инструменты воздействия на нарушителей, чем штрафы в размере 3 000 рублей.

Таким образом, требование о локализации возлагает существенные обязательства на российские и иностранные зарубежные компании, которые обрабатывают персональные данные граждан России. Законопроект о высоких штрафах за нарушение требования о локализации демонстрирует интерес российского государства к этой теме. В свете сказанного компаниям, которые обрабатывают персональные данные российских граждан, можно рекомендовать проверить соблюдение ими требования о локализации и при необходимости принять дополнительные меры для его соблюдения.

Локализовать данные российских пользователей что это значит

До 1 июля 2021 года Роскомнадзор обязал крупные международные компании, российские организации, социальные сети и веб-сервисы локализовать персональные данные пользователей РФ, однако требование федеральной службы некоторыми компаниями не было выполнено.

«В настоящее время более 600 иностранных компаний перенесли базы данных пользователей на территорию Российской Федерации», — отмечает Милош Вагнер, заместитель главы Роскомнадзора, курирующий вопросы по защите прав субъектов персональных данных. Зарубежные интернет-ресурсы в соответствии с российским законодательством обязаны хранить персональные данные граждан РФ только на территории России.

Данное требование прописано в ФЗ № 152 «О персональных данных». За их нарушение предусмотрен административный штраф для физических лиц — от 30 тыс. до 50 тыс. рублей, для должностных лиц — от 100 тыс. до 200 тыс. рублей, для юридических лиц — от 1 млн до 6 млн рублей, за повторное нарушение для юридических лиц — от 6 млн до 18 млн рублей.

Суммы штрафов, введенные регулятором, должны повлиять на ситуацию и обязать иностранные интернет-сервисы перенести базы данных с информацией о гражданах РФ на территорию России. Однако до сих пор непонятно, каким образом Роскомнадзор будет требовать оплаты российских штрафов иностранными предприятиями, у которых нет в нашей стране ни дочерних организаций, ни филиалов, ни представительств.

На какие компании распространяется требование о локализации?

Данные требования в первую очередь затронут глобальный бизнес. Транснациональные корпорации чаще всего размещают свое внутреннее программное обеспечение, а именно интрасети, корпоративные бухгалтерские системы, HR-системы, за пределами Российской Федерации. Это касается и иностранных веб-сервисов, которые решили не локализовывать системы в РФ.

Также закон о персональных данных повлияет на функционирование компаний, занимающихся разработкой веб-сервисов, которые изначально приняли решение размещать свои системы в юрисдикциях других государств, работая при этом с российской аудиторией.

Минкомсвязи выделил следующие факторы, определяющие направленность деятельности на территорию Российской Федерации:

  • используется национальный домен (.рф, .ru, .москва, .spb.ru, .moscow и др.);
  • имеется возможность для пользователей цифрового софта осуществлять расчеты в российских рублях;
  • существует русскоязычная версия сайта в интернете, которая была создана владельцем данного сайта (или по его поручению);
  • на интернет-ресурсе может использоваться реклама на русском языке или гиперссылки, направляющие на сайты с российским доменом;
  • с помощью ИТ-продукта у пользователя из России есть возможность заказать доставку товаров или оказание услуг.

Что будет с компаниями и их сервисами, не выполнившими требования законодательства РФ в области персональных данных?

Помимо штрафов, суммы которых указаны выше, Роскомнадзор может заблокировать сайт или ограничить обработку персональных данных в нелокализованных базах. В данный момент сотрудники регулятора проверяют локализацию сайта или интернет-сервиса с помощью выездных проверок, в процессе которых устанавливается реальное местонахождение базы данных, содержащей персональную информацию о гражданах РФ. Также для осуществления проверки по определению местонахождения базы данных используются внешние веб-сервисы, не принадлежащие Роскомнадзору.

Одним из первых известных примеров блокировки интернет-сервиса на территории России является приостановление работы соцсети деловых контактов LinkedIn. В связи с нарушением требования регулятора о хранении и обработке информации о пользователях, в том числе полученную через интернет-ресурсы, на территории Российской Федерации ИТ-продукт Microsoft был внесен Роскомнадзором в реестр нарушителей закона о персональных данных, доступ к сайту на территории РФ был заблокирован. Несмотря на долгие переговоры представителей международной компании и Роскомнадзора, доступ к сайту до сих пор заблокирован.

В настоящее время установленные суммы штрафов и ответственность в виде блокировки несут действительно деструктивный характер для бизнеса. Исходя из этого, организациям, которые используют информационные системы, находящиеся за пределами территории Российской Федерации, для хранения и обработки персональной информации о пользователях, следует задуматься об исполнении требований Роскомнадзора о локализации интернет-сервисов.

Проблемы, возникшие у российских компаний, использующих иностранные сервисы

Иностранные облачные и интернет-сервисы давно и активно используются российскими компаниями. Корпоративная почта, CRM, ERP и HR-системы, бухгалтерские системы, разрабатываемыми иностранными ИТ-гигантами, удобны в использовании, и пользователи отдают предпочтение именно зарубежным решениям для бизнеса нежели отечественным.

Но с появлением правовых нововведений в сфере обработки и хранения персональных данных некоторым российским компаниям, возможно, придется отказаться от использования иностранных сервисов. Однако в Российской Федерации отсутствуют аналоги зарубежных сервисов и систем, помогающих вести бизнес. В России нет ни качественного отечественного маркетингового софта, ни систем рассылок (таких как Unisender или Mailchimp), ни ERP-систем.

В связи с отсутствием отечественных аналогов не понятно, как делать массовую рассылку клиентам, как осуществлять взаимодействие между департаментами или собирать информацию в ERP-системах, которая имеет обширный функционал. Если в какой-то момент РКН решит заблокировать или ограничить доступ к иностранным сервисам и системам, предоставляющих подобные услуги, то работа многих компаний остановится.

Рассматривая переход на новую платформу, база данных которой располагается на территории России, стоит отметить, что большое количество данных при переходе может быть бесследно утеряно: невозможно одномоментно настроить функционал системы под конкретную задачу, и долгое время придется адаптировать новый рабочий сервис под бизнес-процесс.

Как выстраивать дальнейшую работу бизнеса?

  • 1. Стоит определить, какие информационные системы и их базы данных попадают под требование о локализации

Следует провести анализ информации по каждой системе (адреса баз данных, состав обрабатываемых данных, возможность изменения/добавления новых данных в систему) и составить карту потоков данных.

  • 2. Необходимо выяснить, какие из систем относятся к веб-сайтам

Если локализация отсутствует у внутренних информационных систем, к которым относятся кадровые и бухгалтерские системы, ERP и корпоративная электронная почта, то тут есть вероятность получения штрафа. Возможно, придется приостановить обработку персональной информации в них. Нарушения во внутренних системах можно выявить только в ходе очной проверки.

Внешние информационные системы в виде веб-сайтов могут заблокировать за невыполнение требований о локализации. На основе анализа сайта регулятор проверяет выполнение требований по хранению и обработке персональных данных: определить месторасположение интернет-сервиса очень просто. Меры систематического наблюдения Роскомнадзором за сайтами в настоящее время являются неотъемлемым видом контроля за информационными системами.

Не следует придерживаться ошибочного мнения, что требования о локализации затрагивают только предприятия, входящие в международные группы компаний, или филиалы иностранных корпораций. Правовые новеллы также распространяются на российские компании, использующие в процессе своей работы информационные системы для хранения и обработки персональных данных.

  • 3. Выбрать для каждой информационной системы, подпадающей под требования, наиболее предпочтительный способ исполнения законодательства о локализации

В юридической плоскости существует более девяти способов исполнения данных требований: например, обосновать, что данные не являются персональными, указать на то, что статус оператора — у иностранного юридического лица, переложить ответственности на подрядчика-провайдера информационной системы и так далее; в сфере информационных технологий — технологическая локализация; в аспекте бизнес-рисков можно принять риски и ничего не делать или вовсе отказаться от использования информационной системы.

  • 4. Можно арендовать дублирующую базу данных у провайдеров, предоставляющих базы данных на территории РФ

Например, компания пользуется сервером для обработки информации о клиентах, принадлежащим международной корпорации. Международная компания еще не локализовала свои серверы на территории России. И чтобы продолжить пользоваться им первоочередно, нужно обрабатывать и обезличивать информацию о пользователях на серверах, расположенных на территории РФ, а затем отправлять на сервер, принадлежащей иностранной компании.

Однако к новым затратам на содержание дублирующих баз данных готов не каждый бизнес. И поэтому ряд российский организаций в связи с оптимизацией данных расходов будет вынужден отказаться от использования нелокализованных сервисов и искать решение на российском ИТ-рынке. Переход на отечественное ПО, интернет- и облачные сервисы может вызвать большие трудности для предпринимателей — им придется менять привычный алгоритм работы.

Таким образом, иностранным компаниям, работающим на российскую аудиторию, и отечественным компаниям, использующим в процессе работы иностранный софт, необходимо выполнить в ближайшем будущем все законодательные требования по локализации персональных данных граждан Российской Федерации. Основные рекомендации, что можно предпринять предпринимателям, чтобы не получить административный штраф:

Локализация персональных данных российских граждан

GetALawyer team

Сервис поиска юристов для бизнеса GetALawyer публикует комментарии, статьи и типовые консультации своих юристов. Одним из самых популярных вопросов последнего времени был вопрос о локализации персональных данных российских граждан. Его актуальность подтвердило также недавнее дело против социальной сети LinkedIn. Сегодня мы публикуем анализ требований о локализации, подготовленный нашими юристами.

Требования нового закона

21 июля 2014 года был принят Федеральный закон №242-ФЗ “О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях” (так называемый “Закон о локализации”), который в значительной степени затронул Интернет-сервисы и многие международные компании, имеющие, например, HR-центры за рубежом.

Закон о локализации предусматривает, что при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети “Интернет”, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан России с использованием баз данных, находящихся на территории Российской Федерации.

Формулировки Закона о локализации еще до его вступления в силу повлекли широкий общественный резонанс.

В частности, основными вопросами, на которые не знали ответа ни юристы, ни регулятор являлись следующие: как с практической точки зрения исполнять требования закона, в ситуации, когда данные российских граждан передаются за рубеж? Допускается ли в принципе трансграничная передача и создание так называемых “зеркальных” баз данных за рубежом?

Разъяснения Минкомсвязи России

Учитывая отсутствие правоприменительной практики, а также двусмысленность формулировок закона, операторы персональных данных стали направлять запросы в Роскомнадзор России и другие органы с просьбой дать разъяснения применения Закона о локализации. Однако ответы регулятора носили в основном абстрактный характер и на их основе сложно было выстроить систему соответствия Закону о локализации в организации.

Позднее Минкомсвязь России на своем официальном сайте опубликовало разъяснения Закона о локализации (http://minsvyaz.ru/ru/personaldata/). Разъяснения охватывают широкий круг вопросов: действие во времени, распространение на иностранные компании, трансграничная передача персональных данных и т.д. В частности, разъяснения фактически допускают возможность организации на территории России так называемой “первичной базы данных”, куда изначально должны попадать персональные данные и где должны актуализироваться, а также существование за рубежом так называемой “вторичной базы данных”, например, для осуществления резервного копирования и т.д.

Данный вывод имеет принципиальное значение для большинства международных компаний и Интернет-сервисов, так как позволяет при выполнении определенных операций продолжать деятельность и принципиально не менять архитектуру построения баз данных.

Кроме того, разъяснения касаются такого вопроса как предоставление доступа к базе данных российских граждан с территории иностранного государства. В соответствии с позицией Минкомсвязи предоставление такого доступа законодательством не запрещено.

Таким образом, сегодня наиболее распространенными способами работать в соответствии с Законом о локализации являются следующие:

1. Локализация “первичной базы данных” в России, затем передача персональных данных за рубеж и организация там “вторичной базы данных”.

2. Организация хранения персональных данных российских граждан в России. В этом случае зарубежным контрагентами или зарубежным офисам предоставляется право доступа к таким базам данных.

3. Обезличивание персональных данных и их передача за рубеж в обезличенном виде.

Сейчас многие провайдеры IT услуг предлагают своим клиентам готовые решения для реализации описанных способов соблюдения Закона о локализации.

Сфера действия Закона о локализации

Разъяснения Минкомсвязи России отдельно затронули вопрос о действии Закона о локализации в отношении иностранных компаний, которые, не имея присутствия в России, тем не менее ведут свою деятельность на российском рынке. Если деятельность таких компаний направлена на территорию России, о чем, например, может свидетельствовать использование доменных имен .ru, .рф; наличие русскоязычной версии сайта; возможность осуществлять расчеты в рублях; использование рекламы на русском языке и пр., то на такие компании распространяется требование Закона о локализации.

Следует отметить, что текущая практика основывается на разъяснениях Минкомсвязи России, которое осуществляет функции по выработки государственной политики в области в области персональных данных. Однако органом, уполномоченным осуществлять контроль за исполнением Закона о локализации, является Роскомнадзор. Нельзя исключить, что позиция Роскомнадзора может отличаться от позиции Минкомсязи России.

Наши юристы продолжают следить за развитием правоприменительной практики и готовы ответить на Ваши вопросы.

К чему приводит отказ локализовать персональные данные

В целях обеспечения информационной безопасности были внесены поправки к Федеральному Закону № 242, обязующие компании обрабатывать и хранить персональные данные россиян с использованием баз данных, размещенных на территории РФ. Поправки вступили в силу 1 сентября 2015 года, однако ответственность за персональные данные была установлена только в 2019 году. За нарушение закона в части локализации предусмотрено наказание в виде штрафа для юридических лиц в размере до 6 млн рублей (ч. 8 ст. 13.11 КоАП РФ), в случае повторного нарушения – до 18 млн рублей (ч. 9 ст. 13.11 КоАП РФ).

Согласно критерию территориальной принадлежности компаний, ответственных за персональные данные россиян, выработанному в статье 1212 Гражданского кодекса РФ, плотно связанного с законом о персональных данных, обязанности по локализации обработки персональных данных распространяются и на иностранных операторов при условии использования доменного имени, связанного с РФ или его субъектами, а также при наличии русскоязычной версии сайта. Таким образом, под ограничения попали все крупнейшие компании, хранившие персональные данные россиян за рубежом: Microsoft, Samsung, HP, Twitter, Facebook, WhatsApp и др.

На сегодняшний день хранение персональных данных российских пользователей локализовали порядка 600 представительств зарубежных компаний в РФ, среди которых Apple, Microsoft, LG, Samsung, PayPal, Booking и другие. Тем не менее, ряд крупнейших иностранных компаний проигнорировали требования закона по обеспечению информационной безопасности данных граждан РФ.

Еще в 2015 году Роскомнадзор начал проверки компаний на предмет нарушения информационной безопасности и направил компаниям официальные уведомления о необходимости соблюдения законодательства РФ в области персональных данных. В связи с отсутствием официального ответа на уведомление таких иностранных компаний, как Twitter и Facebook, Роскомнадзор в 2019 году был вынужден инициировать в отношении них административное производство.

13 февраля 2020 года мировым судьей Таганского районного суда города Москвы компании Твиттер Инк. и Фейсбук Инк. за отказ локализовать персональные данные россиян на территории России были признаны виновными в правонарушениях, предусмотренных ч. 8 ст. 13.11 КоАП. Каждой корпорации было назначено наказание в виде административного штрафа в размере 4 миллионов рублей. Компания Facebook штраф оплатила, в том время как Twitter не оплатил. А в июле 2021 года тот же суд признал компанию Google виновной в совершении административного правонарушения по ч. 8 ст. 13.11 КоАП РФ. Штраф в 3 млн руб. стал первым для Google по этой статье.

Затем 26 августа 2021 года снова Таганский районный суд Москвы рассмотрел административные протоколы, составленные Роскомнадзором в отношении американских интернет-сервисов Facebook, WhatsApp и Twitter, согласно предписанию по обеспечению информационной безопасности не локализовавших на территории РФ базы данных российских пользователей к 1 июля 2021 года. Решением суда WhatsApp был назначен штраф в размере 4 млн рублей по ч. 8 ст. 13.11 КоАП РФ. А компаниям Facebook и Twitter 15 млн рублей и 17 млн рублей, соответственно, за повторные нарушения требований о локализации персональных данных по ч. 9 ст. 13.11 КоАП РФ.

Кроме того, этим летом Госдума РФ одобрила законопроект, обязывающий крупные зарубежные ИТ-компании с ежедневной аудиторией в РФ от 500 тыс. человек открывать свои представительства в России. Такие организации должны будут с 1 января 2022 года создать филиалы, открыть представительства или учредить российские юридические лица, которые в полном объеме будут представлять интересы головных компаний во взаимодействии с Роскомнадзором.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *