Персональные данные граждан РФ должны храниться в России

Новые положения о персональных данных вступили в силу: практический опыт выполнения требований закона. / Фальк Тишендорф и Андрей Слепов, БАЙТЕН БУРКХАРДТ

© Rainer Sturm/pixelio.de

1 сентября 2015 года вступили в силу изменения в закон № 152-ФЗ «О персональных данных». Теперь при сборе персональных данных граждан РФ (как с использованием интернета, так и без) компания-оператор обязана обеспечить хранение, изменение и иные виды обработки указанных данных, используя базы данных, находящиеся на территории России. Ответственный за соблюдение закона Роскомнадзор уже сейчас планирует проверки в нескольких компаниях на период с сентября по декабрь 2015 года.

Трактовки Роскомнадзора не являются обязательными
Более года бизнес-сообщество (в том числе и с представителями Роскомнадзора) оживленно обсуждало варианты толкования требований закона. Роскомнадзор озвучивал свою позицию по наиболее спорным положениям закона. При этом, однако, необходимо учитывать, что Роскомнадзор, в принципе, не уполномочен давать обязательные разъяснения положений закона. Но так как речь идет о компетентном надзорном органе, его позиция тем не менее имеет практическое значение. В соответствии с этой позицией, допустимы копирование и передача сохраненных в России данных за рубеж при условии их извлечения и обновления с использованием российских баз данных. В случае нарушений закона сайт может быть заблокирован в России на основании судебного решения, если он ориентирован на российскую аудиторию (о чем свидетельствует, например, наличие оферты на русском языке).

Компании выбирают различные решения
Ввиду того, что трактовки Роскомнадзора не являются обязательными, по этим, а также и по многим другим вопросам остается дождаться, как закон будет толковаться в судебной практике. Одновременно с этим, учитывая, что закон уже вступил в силу, компании-операторы персональных данных должны самостоятельно принять решение о том, каким трактовкам закона они будут следовать, и как будут реализовывать положения закона. Это ведет к тому, что компании выбирают различные подходы к решению вопроса соблюдения требований закона.

Некоторые компании покупают или арендуют серверные мощности в России для хранения своих баз данных. Данную опцию выбирают, как правило, крупные компании, которые хранят значительный объем персональных данных: в первую очередь это компании из сферы электронной коммерции. Данный вариант связан со значительными временными, ресурсными и денежными затратами. Однако именно это решение позволяет в наибольшей степени соответствовать требованиям закона и избежать или существенно снизить риски для предприятий, которые ввиду своей основной деятельности в первую очередь подпадают под регулирование закона.

В центре внимания – правовые риски
Некоторые компании выбирают комбинированный подход, предполагающий сочетание технических и организационных мер. Этот подход требует меньших затрат, однако сопряжен с большим уровнем правовых рисков, если существующие базы персональных данных российских граждан не полностью переносятся в Россию. Среди некоторых мер, которые не предполагают полный перенос серверных мощностей в Россию, можно выделить следующие:

  • Персональные данные первоначально попадают и сохраняются в информационной системе, расположенной в России. Далее они посредством различных технических решений в том же или меньшем объеме передаются в информационные системы, расположенные за рубежом. В качестве альтернативы за пределами России (например, по месту нахождения-штаб-квартиры) находятся серверные мощности, поддерживающие функционирование информационной системы (например, почтовый шлюз), но непосредственно не осуществляющие хранение персональных данных, которые остаются в России.

  • Первоначальный сбор и сохранение данных в информационной системе в России (например, на почтовом сервере). При этом допускается копирование данных из такой системы в виде резервной копии и передача такой копии за рубеж. Условиями функционирования такой системы с учетом требований законодательства является необходимость производить обновление данных (например, адресов электронной почты) и их извлечение (например, просмотр электронных писем из архива) с использованием базы данных, расположенной в России.

  • Первоначальный сбор и сохранение данных в информационной системе в России (например, с использованием CRM-системы). При этом допускается предоставление через соответствующие каналы связи доступа сотрудникам иностранных компаний группы к данным в такой системе. Правила доступа должны быть урегулированы локально. Российские сотрудники должны дать письменное согласие на передачу своих данных третьим лицам.

Последствия несоблюдения закона
Некоторые компании, которые сохраняют и обрабатывают незначительный объем данных, считают связанные с локализацией серверов высокие расходы неоправданными и полагают, что не обязаны соблюдать требования закона. Но они должны осознавать, что в случае несоблюдения закона возможна не только блокировка сайта компании, но и предусмотрено административное наказание в виде денежного штрафа в размере 10 000 рублей, сумма которого, вероятно, будет существенно увеличена в ближайшее время.

Кроме того, ответственность несет также руководитель организации. Если речь идет об иностранных гражданах, необходимо учитывать, что в случае наложения на них двух и более административных штрафов в течение трех лет им может быть отказано во въезде в Россию.

Не стоит забывать и о том, что выявленное нарушение закона должно быть исправлено в установленный в предписании срок. Неисполнение предписания может привести к приостановке деятельности компании и тем самым нанести урон бизнесу.

Своевременный анализ во избежание проблем
Всем компаниям, которые еще углубленно не занялись этим вопросом, настоятельно рекомендуется провести инвентаризацию существующих информационных систем, мест нахождения баз данных и объемов/видов обрабатываемых данных. После этого следует провести сравнительный анализ, который позволит каждой компании в каждом конкретном случае найти технические решения, которые будут соответствовать положениям закона и не причинят ущерб деятельности компании.