Роскомнадзор обязал компании локализовать данные пользователей РФ. Кого касается требование и как избежать штрафов?

До 1 июля 2021 года Роскомнадзор обязал крупные международные компании, российские организации, социальные сети и веб-сервисы локализовать персональные данные пользователей РФ, однако требование федеральной службы некоторыми компаниями не было выполнено.

«В настоящее время более 600 иностранных компаний перенесли базы данных пользователей на территорию Российской Федерации», — отмечает Милош Вагнер, заместитель главы Роскомнадзора, курирующий вопросы по защите прав субъектов персональных данных. Зарубежные интернет-ресурсы в соответствии с российским законодательством обязаны хранить персональные данные граждан РФ только на территории России. 

Данное требование прописано в ФЗ № 152 «О персональных данных». За их нарушение предусмотрен административный штраф для физических лиц — от 30 тыс. до 50 тыс. рублей, для должностных лиц — от 100 тыс. до 200 тыс. рублей, для юридических лиц — от 1 млн до 6 млн рублей, за повторное нарушение для юридических лиц — от 6 млн до 18 млн рублей. 

Суммы штрафов, введенные регулятором, должны повлиять на ситуацию и обязать иностранные интернет-сервисы перенести базы данных с информацией о гражданах РФ на территорию России. Однако до сих пор непонятно, каким образом Роскомнадзор будет требовать оплаты российских штрафов иностранными предприятиями, у которых нет в нашей стране ни дочерних организаций, ни филиалов, ни представительств.

На какие компании распространяется требование о локализации?

Данные требования в первую очередь затронут глобальный бизнес. Транснациональные корпорации чаще всего размещают свое внутреннее программное обеспечение, а именно интрасети, корпоративные бухгалтерские системы, HR-системы, за пределами Российской Федерации. Это касается и иностранных веб-сервисов, которые решили не локализовывать системы в РФ. 

Также закон о персональных данных повлияет на функционирование компаний, занимающихся разработкой веб-сервисов, которые изначально приняли решение размещать свои системы в юрисдикциях других государств, работая при этом с российской аудиторией.

Минкомсвязи выделил следующие факторы, определяющие направленность деятельности на территорию Российской Федерации:

• используется национальный домен (.рф, .ru, .москва, .spb.ru, .moscow и др.);
• имеется возможность для пользователей цифрового софта осуществлять расчеты в российских рублях;
• существует русскоязычная версия сайта в интернете, которая была создана владельцем данного сайта (или по его поручению);
• на интернет-ресурсе может использоваться реклама на русском языке или гиперссылки, направляющие на сайты с российским доменом;
• с помощью ИТ-продукта у пользователя из России есть возможность заказать доставку товаров или оказание услуг.

Что будет с компаниями и их сервисами, не выполнившими требования законодательства РФ в области персональных данных?

Помимо штрафов, суммы которых указаны выше, Роскомнадзор может заблокировать сайт или ограничить обработку персональных данных в нелокализованных базах. В данный момент сотрудники регулятора проверяют локализацию сайта или интернет-сервиса с помощью выездных проверок, в процессе которых устанавливается реальное местонахождение базы данных, содержащей персональную информацию о гражданах РФ. Также для осуществления проверки по определению местонахождения базы данных используются внешние веб-сервисы, не принадлежащие Роскомнадзору. 

Одним из первых известных примеров блокировки интернет-сервиса на территории России является приостановление работы соцсети деловых контактов LinkedIn. В связи с нарушением требования регулятора о хранении и обработке информации о пользователях, в том числе полученную через интернет-ресурсы, на территории Российской Федерации ИТ-продукт Microsoft был внесен Роскомнадзором в реестр нарушителей закона о персональных данных, доступ к сайту на территории РФ был заблокирован. Несмотря на долгие переговоры представителей международной компании и Роскомнадзора, доступ к сайту до сих пор заблокирован.

В настоящее время установленные суммы штрафов и ответственность в виде блокировки несут действительно деструктивный характер для бизнеса. Исходя из этого, организациям, которые используют информационные системы, находящиеся за пределами территории Российской Федерации, для хранения и обработки персональной информации о пользователях, следует задуматься об исполнении требований Роскомнадзора о локализации интернет-сервисов.

Проблемы, возникшие у российских компаний, использующих иностранные сервисы

Иностранные облачные и интернет-сервисы давно и активно используются российскими компаниями. Корпоративная почта, CRM, ERP и HR-системы, бухгалтерские системы, разрабатываемыми иностранными ИТ-гигантами, удобны в использовании, и пользователи отдают предпочтение именно зарубежным решениям для бизнеса нежели отечественным. 

Но с появлением правовых нововведений в сфере обработки и хранения персональных данных некоторым российским компаниям, возможно, придется отказаться от использования иностранных сервисов. Однако в Российской Федерации отсутствуют аналоги зарубежных сервисов и систем, помогающих вести бизнес. В России нет ни качественного отечественного маркетингового софта, ни систем рассылок (таких как Unisender или Mailchimp), ни ERP-систем. 

В связи с отсутствием отечественных аналогов не понятно, как делать массовую рассылку клиентам, как осуществлять взаимодействие между департаментами или собирать информацию в ERP-системах, которая имеет обширный функционал. Если в какой-то момент РКН решит заблокировать или ограничить доступ к иностранным сервисам и системам, предоставляющих подобные услуги, то работа многих компаний остановится. 

Рассматривая переход на новую платформу, база данных которой располагается на территории России, стоит отметить, что большое количество данных при переходе может быть бесследно утеряно: невозможно одномоментно настроить функционал системы под конкретную задачу, и долгое время придется адаптировать новый рабочий сервис под бизнес-процесс. 

Как выстраивать дальнейшую работу бизнеса?

• 1. Стоит определить, какие информационные системы и их базы данных попадают под требование о локализации

Следует провести анализ информации по каждой системе (адреса баз данных, состав обрабатываемых данных, возможность изменения/добавления новых данных в систему) и составить карту потоков данных.

• 2. Необходимо выяснить, какие из систем относятся к веб-сайтам

Если локализация отсутствует у внутренних информационных систем, к которым относятся кадровые и бухгалтерские системы, ERP и корпоративная электронная почта, то тут есть вероятность получения штрафа. Возможно, придется приостановить обработку персональной информации в них. Нарушения во внутренних системах можно выявить только в ходе очной проверки. 

Внешние информационные системы в виде веб-сайтов могут заблокировать за невыполнение требований о локализации. На основе анализа сайта регулятор проверяет выполнение требований по хранению и обработке персональных данных: определить месторасположение интернет-сервиса очень просто. Меры систематического наблюдения Роскомнадзором за сайтами в настоящее время являются неотъемлемым видом контроля за информационными системами.

Не следует придерживаться ошибочного мнения, что требования о локализации затрагивают только предприятия, входящие в международные группы компаний, или филиалы иностранных корпораций. Правовые новеллы также распространяются на российские компании, использующие в процессе своей работы информационные системы для хранения и обработки персональных данных.

• 3. Выбрать для каждой информационной системы, подпадающей под требования, наиболее предпочтительный способ исполнения законодательства о локализации

В юридической плоскости существует более девяти способов исполнения данных требований: например, обосновать, что данные не являются персональными, указать на то, что статус оператора — у иностранного юридического лица, переложить ответственности на подрядчика-провайдера информационной системы и так далее; в сфере информационных технологий — технологическая локализация; в аспекте бизнес-рисков можно принять риски и ничего не делать или вовсе отказаться от использования информационной системы. 

• 4. Можно арендовать дублирующую базу данных у провайдеров, предоставляющих базы данных на территории РФ

Например, компания пользуется сервером  для обработки информации о клиентах, принадлежащим международной корпорации. Международная компания еще не локализовала свои серверы на территории России. И чтобы продолжить пользоваться им первоочередно, нужно обрабатывать и обезличивать информацию о пользователях на серверах, расположенных на территории РФ, а затем отправлять на сервер, принадлежащей иностранной компании. 

Однако к новым затратам на содержание дублирующих баз данных готов не каждый бизнес. И поэтому ряд российский организаций в связи с оптимизацией данных расходов будет вынужден отказаться от использования нелокализованных сервисов и искать решение на российском ИТ-рынке. Переход на отечественное ПО, интернет- и облачные сервисы может вызвать большие трудности для предпринимателей — им придется менять привычный алгоритм работы.

Таким образом, иностранным компаниям, работающим на российскую аудиторию, и отечественным компаниям, использующим в процессе работы иностранный софт, необходимо выполнить в ближайшем будущем все законодательные требования по локализации персональных данных граждан Российской Федерации. Основные рекомендации, что можно предпринять предпринимателям, чтобы не получить административный штраф:

• провести инвентаризацию информационных систем и определить их месторасположение;
• выбрать для каждой из систем наиболее оптимальный способ выполнения требований о локализации данных;
• воспользоваться вышеперечисленными способами локализации.

Фото на обложке: whiteMocca/shutterstock.com