Забыл про локализацию — штраф до 18 млн: бизнесу напомнили про хранение данных в РФ

Запрет на хранение данных за границей? Не совсем так

По словам Юлии Андрейцевой, обязанность, которая накладывается на оператора данной нормой, заключается в том, что в тех сценариях обработки персональных данных, в которых присутствует сбор, оператор должен первично записывать и в целом впоследствии актуализировать персональные данные, обновлять их, изменять, уточнять с использованием баз данных, которые находятся на территории страны.

Таким образом, формулировка, облетевшая весь интернет, о «полном запрете на хранение персональных данных россиян за границей» является ошибочной. Вносимые изменения в часть 5 статьи 18 ФЗ «О персональных данных» носят скорее технико-юридический характер, чем практический и влекущий какие-то реальные последствия для операторов.

«Содержание самого требования не изменилось. Просто ранее требование было сформулировано через позитивную обязанность оператора при сборе персональных данных обеспечивать соблюдение требований локализации. Теперь оно сформулировано через прямой запрет», — пояснили RB.RU Андрейцева.

За что теперь спросят особенно строго?

Нововведения коснутся всех компаний, от малого до крупного бизнеса, которые так или иначе обрабатывают персональные данные россиян. Это как российские, так и иностранные компании, которые предоставляют услуги на территории России. Применительно к иностранным компаниям важным критерием остается направленность деятельности на территорию РФ – наличие русскоязычной версии сайта, возможность расчетов за товары или услуги в рублях, возможность исполнения заключенного на сайте договора на территории РФ (например, доставки товара в РФ) и так далее. В том числе это относится к интернет-сервисам и различным платформам, на которых пользователям необходимо зарегистрироваться, а значит оставить свои данные.

В первую очередь, бизнесу необходимо понимать, что нововведения подтолкнут Роскомнадзор усилить контроль над деятельностью компаний, особенно в первое время, когда бизнес будет только «прощупывать» новые требования и перестраивать бизнес-процессы. Контроль усилится в особенности за сайтами операторов – при проверке соблюдения требований локализации Роскомнадзор обращает внимание на место хостинга и сайта и использование на нем сервисов, которые могут нарушать требования локализации (например, Google Analytics).

«Поэтому необходимо быть готовыми к анализированию вашей системы обработки персональных данных со стороны регулятора, а также к требованиям доказать факт локализации данных на базах, находящихся в России. В связи с этим наилучшим вариантом будет организовать команду быстрого реагирования на потенциальные запросы регулятора и настроить систему внутреннего контроля для соблюдения всех существующих и новых норм», — добавила эксперт.

6 млн — за первый раз, 18 млн — за повтор

«Нарушение требований локализации, о которых говорят поправки, влечет за собой существенные штрафы. Статья 13.11 КоАП РФ в части 8 и части 9 предполагает штраф до 6 млн рублей за первое нарушение и до 18 млн рублей за повторное нарушение требований локализации», — рассказывает эксперт.

При этом можно отметить, что существующая практика на сегодняшний день говорит о том, что штрафам в большей степени подвергаются иностранные компании, а не российские операторы (например, LinkedIn Corporation, Google LLC). Однако стоит помнить, что закон равен для всех и каждый бизнес, не предпринявший необходимые шаги уже сейчас, может дорого за это заплатить.

Что делать бизнесу, чтобы не попасть под раздачу

По мнению эксперта, первый шаг — это аудит данных. Нужно определить, где и как вы храните персональные данные, в каких процессах и в каком моменте этого процесса происходит непосредственный сбор данных. Простройте цепочку передачи данных: в каких объемах вы их передаете, что является источников передачи и по каким маршрутам происходит передача персональных данных. Также необходимо составить карту использования иностранных сервисов.

Затем нужно подумать над возможными вариантами локализации данных, а именно подобрать российских партнеров, создать поэтапный план перехода на новую инфраструктуру, а после протестировать новое решение.

Еще одна рекомендация – пересмотрите сервисы, которыми вы пользуетесь, также лучше перейти на сотрудничество с теми ИТ-поставщиками, которые соблюдают требования, найти отечественные аналоги.

Эксперт пояснила, как организовать трансграничную передачу данных. По ее словам, требование к ней не изменились. Если локализация проходила через базы данных на территории нашей страны, то ограничений нет.

Однако всё же есть некоторые правила, которым необходимо следовать:

1. До подачи уведомления получить от лиц, в адрес которых планируется осуществление трансграничной передачи, информацию о мерах защиты и условиях прекращения обработки.
2. Подать уведомление в Роскомнадзор. Если страна из списка «адекватных», передачу можно осуществить в день после подачи заявления, в противном случае придется подождать 10 рабочих дней. Таким образом, бизнесу нужно следить за изменениями в списке «адекватных» стран.

Фото на обложке: Kmpzzz / Shutterstock / FOTODOM