Прошло два года с даты вступления в силу поправок в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), устанавливающих обязанность оператора локализовать базы данных, содержащие персональные данные россиян. Пока рано говорить о том, что в России уже сложилась практика привлечения к ответственности за несоблюдение требования локализации. Однако уже сейчас понятно, что законодатель, ужесточая ответственность и вводя новые требования, равно как и правоприменительные органы, настроены весьма серьезно, ведь одним из самых громких итогов этих двух лет является блокировка доступа к LinkedIn в России. Каковы требования к локализации баз данных в России, когда иностранные компании должны эти требования соблюдать и что грозит за их несоблюдение – об этом в данной статье.
Что такое персональные данные?
Закон о персональных данных дает весьма широкое определение, согласно которому персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Что означат локализация?
Локализация применительно к персональным данным означает использование баз данных, находящихся на территории Российской Федерации.
Когда возникает обязанность локализовать базы данных?
Согласно ч. 5 ст. 18 Закона о персональных данных «при сборе персональных данных, в том-числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации». Из этого правила есть исключения, которые содержатся в ч. 1 ст. 6 Закона о персональных данных пунктах 2 (обработка для достижения целей, предусмотренных международным договором Российской Федерации, или для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей), 3 (обработка в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах), 4 (обработка при предоставлении государственных или муниципальных услуг) и 8 (обработка для осуществления профессиональной деятельности журналиста, законной деятельности СМИ, научной, литературной и иной творческой деятельности, если не нарушаются права и законные интересы субъекта персональных данных).
Таким образом, в соответствии с ч. 5 ст. 18 Закона о персональных данных обязанность локализовать базы данных возникает только в том случае (и при соблюдении остальных условий), если имеет место сбор персональных данных. Нет сбора –нет обязанности локализации.
Термин «сбор» не определен в Законе о персональных данных. Согласно разъяснениям Министерства связи и массовых коммуникаций Российской Федерации1 (далее –Разъяснения) под сбором следует понимать «целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц». Если персональные данные собрало иное лицо (например, работодатель), а в дальнейшем передало их для обработки иностранному лицу, у такого иностранного лица отсутствует обязанность локализовать базы данных, так как он не осуществлял сбор персональных данных.
Формулировка ч. 5 ст. 18 Закона о персональных данных говорит о сборе данных граждан РФ. При этом указанный Закон не поясняет, как должно определяться гражданство субъекта. Минкомсвязь России также предоставило данный вопрос оператору для самостоятельного решения. Вопрос определения гражданства рекомендуется отразить в документах оператора (например, в политике обработки персональных данных). Игнорирование данного вопроса, по мнению Минкомсвязи России, позволяет считать требование о локализации применимым ко всем персональным данным, сбор которых осуществлен на территории Российской Федерации.
Следует отметить, что даже согласие субъекта на обработку его персональных данных на зарубежных серверах не освобождает оператора от обязанности локализации. Такая позиция подтверждается Разъяснениями.
Распространяется ли требование локализации на иностранные компании?
Даже если иностранная компания ведет свою деятельность через Интернет без физического присутствия на территории России, на такую компанию могут распространяться требования локализации, если соблюден главный критерий –деятельность такой иностранной компании направлена на территорию РФ.
О направленности деятельности на территорию России, по мнению Минкомсвязи России, могут свидетельствовать:
–использование доменного имени, связанного с Российской Федерацией (.ru, .рф., .su, .москва., .moscow и т. п.);
–наличие русскоязычной версии интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом, за исключением функции автоматизированного переводчика, в сочетании со следующими условиями (одним их них):
-
возможность производить расчеты в российских рублях;
-
возможность доставки товара, оказания услуги или пользования цифровым контентом на территории России, а также иные случаи исполнения договора на территории Российской Федерации;
-
использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту;
-
иные обстоятельства, явно свидетельствующие о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию.
Таким образом, если налицо факторы, свидетельствующие о направленности деятельности иностранной компании на территорию России, а иностранная компания через свой сайт осуществляет сбор персональных данных граждан Российской Федерации, такая иностранная компания обязана локализовать базы данных, содержащие персональные данные россиян (при условии неприменимости исключений, предусмотренных Законом о персональных данных и кратко обозначенных выше).
Отметим также, что если деятельность иностранной организации направлена на территорию России (в соответствии с указанными выше критериями), то к такой организации применимы не только требования локализации, но и иные требования Закона о персональных данных, в том числе требования о направлении уведомления в уполномоченный орган об обработке персональных данных, об издании документа, определяющего политику оператора в отношении обработки персональных данных, о назначении лица, ответственного за обработку персональных данных и т. д.
Ответственность за невыполнение локализации
Кодекс Российской Федерации об административных правонарушениях (далее –КоАП РФ) предусматривает несколько статей, предусматривающих ответственность за несоблюдение требований законодательства о персональных данных. Это прежде всего новая редакция статьи 13.11 КоАП РФ, содержащая семь составов административных правонарушений, а также статьи 5.39 (отказ в предоставлении информации), 13.14 (разглашение информации с ограниченным доступом) и 19.7 КоАП РФ (непредставление сведений).
Административные штрафы, предусмотренные указанными выше статьями, невелики по сравнению с европейскими штрафами. Так, максимальный штраф по ст. 13.11 КоАП РФ составляет всего 75 тыс. руб. (около 1100 евро на 01.09.2017). Кроме того, взыскать штраф с иностранной компании, не имеющей физического присутствия на территории Российской Федерации, весьма проблематично.
Однако у Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее –Роскомнадзор), которая является уполномоченным органом по защите прав субъектов персональных данных, есть в арсенале гораздо более действенный способ воздействия на нарушителей –блокирование интернет-ресурса.
Таким образом, для иностранных компаний, обязанных локализовать базы данных, но не исполнивших данную обязанность, основной мерой ответственности за несоблюдение Закона о персональных данных является блокирование доступа к информации, обрабатываемой с нарушением законодательства о персональных данных.
Роскомнадзор также ведет реестр нарушителей прав субъектов персональных данных. В соответствии с ч. 5 ст. 15.5 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» основанием для внесения информации в реестр является нарушение оператором законодательства о персональных данных, подтвержденное вступившим в силу решением суда.
Рекомендации иностранным компаниям
В целях минимизации риска блокирования интернет-ресурса в России рекомендуется прежде всего оценить, отвечает ли иностранная организация критериям осуществления деятельности на территории Российской Федерации. Если налицо факторы, свидетельствующие о направленности деятельности такой организации на территорию Российской Федерации, следует не только локализовать базы данных, содержащие персональные данные граждан России, но и соблюдать иные требования законодательства о персональных данных, а также быть готовыми к эффективному взаимодействию с Роскомнадзором.
1 Разъяснения доступны по ссылке: http: //minsvyaz.ru/ru/personaldata/#1438546529980.