Локализация персональных данных: когда иностранной компании нужно задуматься о соблюдении российских законов
В данной статье мы расскажем, что представляет собой обязанность локализации персональных данных в России, и на какие иностранные компании она распространяется
В чем заключается обязанность локализации персональных данных в России?
Локализации персональных данных на территории России означает осуществление отдельных видов обработки персональных данных в базах данных, которые находятся на территории России. Эта обязанность касается таких видов обработки, как запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных.
По смыслу закона под базой данных понимается любой упорядоченный массив данных, независимо от вида материального носителя информации и используемых средств обработки (архивы, картотеки, электронные базы данных, в том числе таблицы в формате Excel, Word, содержащие персональные данные).
По смыслу закона под базой данных понимается любой упорядоченный массив данных, независимо от вида материального носителя информации и используемых средств обработки (архивы, картотеки, электронные базы данных, в том числе таблицы в формате Excel, Word, содержащие персональные данные).
На какие иностранные компании распространяется обязанность?
Обязанность локализации в РФ определенных этапов обработки персональных данных распространяется на все иностранные компании, осуществляющие деятельность в России, в том числе те, которые работают без образования представительств и иных форм юр. лиц.
Что касается деятельности иностранных компаний в сети Интернет, то согласно разъяснениям Минцифры России, Роскомнадзора и мнениям судов, обязанность локализации возникает в случае направленности соответствующего Интернет-сайта на территорию РФ, о чем, в том числе может свидетельствовать:
Что касается деятельности иностранных компаний в сети Интернет, то согласно разъяснениям Минцифры России, Роскомнадзора и мнениям судов, обязанность локализации возникает в случае направленности соответствующего Интернет-сайта на территорию РФ, о чем, в том числе может свидетельствовать:
- использование российского доменного имени (.ru, .su, .рф) и/или
- наличие русскоязычной версии сайта
Дополнительными критериями направленности сайта являются (обязательно наличие хотя бы одного):
- наличие рекламы на русском языке
- возможность осуществления расчетов в российских рублях
- возможность исполнения заключенного на сайте договора на территории РФ (доставки товара, оказания услуги или пользование цифровым контентом на территории РФ, что особенно актуально для интернет-магазинов, сервисных служб, IT-сервисов, распространяющихся на смартфоны, а также игровых платформ)
- иные обстоятельства, явно свидетельствующие о намерении владельца Интернет-сайта включить российский рынок в свою бизнес-стратегию.
Как передавать персональные данные российских граждан за рубеж?
Непосредственная передача персональных данных на сервер, находящийся за пределами РФ, нарушает требование о локализации.
Нарушением будет также параллельный ввод персональных данных в российскую информационную систему и информационную систему, расположенную за рубежом. Предоставление удаленного доступа к базам данных, находящихся на территории Российской Федерации, с территории другого государства не запрещается.
Для соблюдения законодательства необходимо организовать сбор и актуализацию персональных данных российских пользователей в базе данных, расположенной в РФ, в частности, не допускать первичный сбор персональных данных, например, из веб-форм, сразу на сервер, находящийся в иностранном государстве.
Последующая передача персональных данных из российской базы данных в зарубежную должна соответствовать требованиям к трансграничной передачи данных. Без особых условий и ограничений может осуществляться трансграничная передача персональных данных в страны-участницы Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или в страны, включенные Роскомнадзором в перечень обеспечивающих адекватную защиту прав субъектов персональных данных (туда включены, например, Израиль, Канада, Казахстан, Южная Корея, Сингапур, ЮАР, Япония и др.).
Если персональные данные передаются в иные страны (например, в Китай или США) необходимо получать отдельное согласие на трансграничную передачу персональных данных. Такое согласие можно не получать, в частности, когда персональные данные передаются для исполнения договора, стороной которого является субъект персональных данных.
Нарушением будет также параллельный ввод персональных данных в российскую информационную систему и информационную систему, расположенную за рубежом. Предоставление удаленного доступа к базам данных, находящихся на территории Российской Федерации, с территории другого государства не запрещается.
Для соблюдения законодательства необходимо организовать сбор и актуализацию персональных данных российских пользователей в базе данных, расположенной в РФ, в частности, не допускать первичный сбор персональных данных, например, из веб-форм, сразу на сервер, находящийся в иностранном государстве.
Последующая передача персональных данных из российской базы данных в зарубежную должна соответствовать требованиям к трансграничной передачи данных. Без особых условий и ограничений может осуществляться трансграничная передача персональных данных в страны-участницы Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или в страны, включенные Роскомнадзором в перечень обеспечивающих адекватную защиту прав субъектов персональных данных (туда включены, например, Израиль, Канада, Казахстан, Южная Корея, Сингапур, ЮАР, Япония и др.).
Если персональные данные передаются в иные страны (например, в Китай или США) необходимо получать отдельное согласие на трансграничную передачу персональных данных. Такое согласие можно не получать, в частности, когда персональные данные передаются для исполнения договора, стороной которого является субъект персональных данных.
Какая ответственность предусмотрена за несоблюдение требований?
Роскомнадзор осуществляет проверку соблюдения обязанности о локализации в отношении иностранных юр. лиц и в случае ее несоблюдения может инициировать судебный процесс по вопросу ограничения доступа к Интернет-ресурсу иностранного юр. лица, информация о таком Интернет-ресурсе будет включена в Реестр нарушителей прав субъектов персональных данных. Например, такое ограничение было применено в отношении компании LinkedIn Corporation.
За нарушение требования о локализации на иностранное юр. лицо может быть наложен административный штраф в размере от 1 до 6 млн. рублей (часть 8 статьи 13.11 Кодекса РФ об административных правонарушениях). Например, к такой ответственности уже были привлечены компании Twitter, Inc. и Facebook.
За нарушение требования о локализации на иностранное юр. лицо может быть наложен административный штраф в размере от 1 до 6 млн. рублей (часть 8 статьи 13.11 Кодекса РФ об административных правонарушениях). Например, к такой ответственности уже были привлечены компании Twitter, Inc. и Facebook.
