ФАС России Опора России

Сервер переезжает

01 / 09 ‘15

Российская Газета: Сегодня вступают в силу поправки в ФЗ «О персональных данных», обязывающие компании обеспечить обработку персональных данных россиян в базах данных в России. Помимо российских компаний и зарубежных представительств (филиалов) в РФ требование о локализации должны исполнять иностранные компании, не имеющие официального присутствия в РФ, но ведущие бизнес, который направлен на территорию РФ, через Интернет. Об этом, например, может свидетельствовать использование доменных имен .ru, .рф; наличие русскоязычной версии сайта; возможность осуществлять расчеты в рублях.

«Первичная» база данных может быть в любой форме, в том числе бумажной, поэтому требование о локализации будет исполнено, если в России в бумажном виде хранятся персональные данные, которые затем в электронном виде передаются за границу. В то же время обработка данных может осуществляться за границей, если база в РФ является наиболее полной и актуальной (недопустимо нахождение за пределами РФ данных, которые одновременно не находятся в РФ).

Главная проблема требования о локализации персональных данных — отсутствие эффективных мер ответственности за несоблюдение этого требования, которые бы оправдали для многих компаний высокие расходы на реструктуризацию IT-систем. Так, ст. 13.11 КоАП сейчас предусматривает максимальный штраф за нарушение правил обработки персональных данных в размере 10 тыс. руб. На самом деле одна только консультация специалиста по информационной безопасности относительно потенциальной реструктуризации IT-системы обойдется компании в десятки раз дороже, не говоря уже о самой реализации проекта. Принятые в начале этого года в первом чтении поправки в КоАП, увеличивающие в несколько раз размер ответственности, существенно картину не поменяют. Специальная ответственность в виде внесения сайта нарушителя в «Реестр нарушителей прав субъектов персональных данных» и последующей блокировки этого сайта тоже вызывает массу вопросов. Согласно закону, блокировке будут подлежать сайты, «содержащие информацию, обрабатываемую с нарушением законодательства РФ в области персональных данных».

Иными словами, речь идет о сайтах, содержащих персональные данные. К ним могут относиться «базы данных граждан России онлайн», «телефонные книги» и прочие сайты, которые незаконно размещают на массивы персональных данных. Таким образом, термин «содержащий персональные данные» не позволяет блокировать корпоративные сайты, а также сайты, которые собирают персональные данные, но не публикуют их (интернет-магазины и пр.).

Требование о локализации персональных данных россиян может «заработать» только в том случае, если правила игры будут прозрачны и едины для всех и будет существовать механизм ответственности, обладающий достаточной «мотивационной» силой для всех компаний.