Обзоры законодательства
Локализовать нельзя помиловать
- Авторы: Антонина Шишанова, Вадим Ковалёв
- Услуги: Интеллектуальная собственность, Защита данных
- Дата: 19.09.2023
На прошлой неделе Тверской суд Москвы оштрафовал стриминговый сервис Twitch на тринадцать миллионов рублей за повторный отказ в исполнении требования о локализации персональных данных граждан РФ на территории России. Сервис знакомств Tinder постигла та же участь: суд оштрафовал иностранную компанию на десять миллионов рулей.
Ранее суд уже привлекал владельцев данных сервисов (американские компании Twitch Interactive и Match Group) к ответственности за отказ локализовать персональные данные россиян. Правда, в июне 2022 года наказание для нарушителей было относительно «мягким»: административный штраф в размере двух миллионов рублей.
Интересно, что сервисы полностью прекратили деятельность в России. Twitch приостановил выплаты российским стримерам еще в прошлом году, а Tinder завершил уход с российского рынка в конце июня этого года. Таким образом, оштрафованные компании не имеют присутствия в России, и шансы исполнения судебных решений и реального взыскания административных штрафов невелики.
Однако эти кейсы показывают, что курс на ужесточение контроля и ответственности за нарушение законодательства о персональных данных продолжается.
Напомним, что представляют из себя требования о локализации персональных данных на территории России, на кого эти требования распространяются и как они соотносятся с требованием о трансграничной передаче персональных данных.
1. Что такое локализация персональных данных?
В соответствии с п. 5 ст. 18 Федерального закона «О персональных данных», при сборе персональных данных оператор обязан обеспечить запись, накопление, хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории России.
В качестве «базы данных» могут выступать любые систематизированные массивы данных, от бумажной картотеки до таблицы Excel, главное, чтобы базы данных физически находились в России.
Как неоднократно указывал Роскомнадзор, данная мера позволяет обеспечить необходимый уровень защищённости персональных данных российских пользователей.
При этом закон следует понимать максимально широко:
- правило распространяется на всех операторов – как на российских, так и на иностранных юридических лиц, осуществляющих направленную на территорию Российской Федерации деятельность (даже без фактического присутствия на территории России, как показали многочисленные примеры привлечения к ответственности LinkedIn, Twitter, Facebook, Tinder, Twitch и прочих);
- подразумеваются все возможные виды сбора персональных данных, в том числе с помощью сайта оператора;
- если гражданство субъектов персональных данных нельзя точно установить, то под правило попадают персональные данные всех лиц, сбор которых осуществляется в России (в том числе на сайтах, которые ориентируются на российских пользователей).
2. НА КОГО РАСПРОСТРАНЯЕТСЯ ТРЕБОВАНИЕ О ЛОКАЛИЗАЦИИ?
Исходя из вышесказанного, если компания осуществляет сбор персональных данных россиян или на территории России, то на нее уже автоматически распространяется требование о локализации баз данных в России.
Дополнительно Минцифры в прошлом уже разъясняло, что даже такие случаи, как, например, использование в компании почтового сервиса, серверная инфраструктура которого расположена за рубежом и на который могут приходить электронные письма, содержащие персональные данные граждан РФ, требуют локализации базы данных.
В законе предусмотрен ограниченный перечень исключений, указанный в пп. 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных». Так, требование о локализации не применяется к обработке персональных данных в следующих случаях:
- обработка персональных данных необходима для достижения целей, предусмотренных международным договоров РФ или законом;
- обработка персональных данных осуществляется в рамках судопроизводства;
- обработка персональных данных необходима для предоставления государственных и муниципальных услуг;
- обработка персональных данных необходима для осуществления деятельности журналиста или СМИ либо иной научной, литературной и творческой деятельности.
Таким образом, указанные исключения распространяются на узкий круг операторов, и большинство все же должно исполнить требование о локализации баз данных на территории России.
3. КАКИЕ ДЕЙСТВИЯ ПРЕДПРИНЯТЬ ОПЕРАТОРУ ДЛЯ ВЫПОЛНЕНИЯ ТРЕБОВАНИЯ О ЛОКАЛИЗАЦИИ?
Чтобы убедиться, что требования о локализации персональных данных учитываются в компании, рекомендуется совершить следующие действия:
ü Установить, будет ли осуществляться сбор и хранение персональных данных граждан РФ (или сбор персональных данных на территории России в целом), подпадет ли такая обработка под исключения или нет.
ü Определить наиболее оптимальные способы первичного сбора и хранения персональных данных с учетом исполнения требования о локализации баз данных на территории России, например:
- размещение базы данных в электронном виде на российских серверах (в том числе в «облаке»);
- хранение части персональных данных в бумажном виде в виде системного массива (картотеки) на территории России.
При этом мы рекомендуем в первую очередь принять вышеуказанные меры в отношении сайтов оператора, с помощью которых осуществляется сбор и иная обработка персональных данных граждан РФ. Сайты наиболее уязвимы для проверок, поскольку Роскомнадзор может выявить нарушение требования о локализации сайта путем онлайн-мониторинга.
ü Впоследствии, после первичного размещения базы данных на территории России, допускается дублирование баз данных на иностранных серверах. Нужно иметь в виду, что в случае передачи таких данных в иностранные базы данных необходимо будет соблюдать требования о трансграничной передаче персональных данных.
Необходимо помнить о том, что в случае проверки Роскомнадзора оператор должен доказать, что он осуществил первичное размещение базы данных на территории России.
В противном случае, если служба установит, что база данных первоначально была размещена за рубежом, оператору грозит привлечение к ответственности в соответствии с ч. 8 ст. 13.11 КоАП РФ и наложение административного штрафа до шести миллионов рублей (для юридических лиц).
За повторное нарушение требования о локализации персональных данных на оператора может быть наложен административный штраф до восемнадцати миллионов рублей (для юридических лиц).
4. ЛОКАЛИЗАЦИЯVS ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА
Закон допускает последующую передачу «локализованных» персональных данных россиян в иностранные базы данных, но, разумеется, с полным соблюдением правил о трансграничной передаче данных, о которых мы рассказывали ранее.
При этом в случае каких-либо изменений или обновлений базы данных, которая дублируется на иностранных серверах (так называемые «вторичные» базы), необходимо первоначально внести изменения в российскую базу данных («первичную» базу) и только после этого осуществлять трансграничную передачу во «вторичную» базу.
Параллельное обновление баз данных, равно как и внесение изменений напрямую во «вторичную» базу данных, будет нарушать требование о локализации персональных данных.
Команда Capital Legal Services будет рада помочь вам с выполнением требований законодательства о персональных данных, разработать необходимую документацию, а также провести аудит вашего бизнеса и определить наиболее эффективные способы локализации персональных данных.
Данный обзор подготовили управляющий юрист корпоративной практики CLS Вадим Ковалёв, старший юрист практики интеллектуальной собственности CLS Антонина Шишанова и помощник юриста Марина Прыгунова.