Вы на портале
Персональные данные

Локализация персональных данных в России: стоит ли бояться белорусским операторам?

Требование о локализации персональных данных начало действовать в Российской Федерации с сентября 2015 г. Оно означает, что при работе на российском рынке компании, которые каким-либо образом собирают персональные данные россиян, обязаны хранить и обновлять данные с помощью российских серверов — облачных или локальных сервисов.

С этого времени пассивная позиция Роскомнадзора сменилась активным взаимодействием с операторами. От простого запроса информации о локализации ведомство перешло к требованиям о предоставлении информации и обращению в суд (дела Twitter и Facebook).

Распространяется ли требование о локализации на белорусские компании? Нюансы раскрывает юрист компании Revera Consulting Group Ирина Демидик.

Демидик Ирина

Юрист Revera Consulting Group

6918 Shape 1 copy 6Created with Avocode.

Требование о локализации персональных данных

Обязанность операторов персональных данных хранить и обновлять (записывать, систематизировать, накапливать, хранить, уточнять (обновлять, изменять), извлекать) персональные данные россиян с помощью российских серверов предусмотрена ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон № 152). В декабре 2019 г. ст. 13.11 КоАП РФ была дополнена частями 8 и 9, которые предусматривают значительные штрафы за нарушение требований о локализации. Так, невыполнение юридическим лицом требования о локализации грозит штрафом в размере от 1 до 6 млн рос. руб. (приблизительно от 16 до 96 тыс. долл. США), при повторном нарушении —штрафом от 6 до 18 млн рос. руб. (приблизительно от 96 до 286 тыс. долл. США).

Ужесточение позиций и активность российских госорганов вынуждают переоценивать риски работы на российском рынке и задуматься, в каких случаях белорусские компании обязаны локализовывать базы данных в России. Это усугубляется направлением запросов Роскомнадзора  и белорусским операторам, что подтверждает интерес госоргана в контроле деятельности иностранных субъектов.

Справочно.
Роскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — обеспечивает, организует и осуществляет государственный контроль и надзор за соответствием обработки персональных данных требованиям законодательства о персональных данных.

Когда локализация обязательна?

Прежде чем начинать процесс локализации баз данных, предлагаем разобраться, в каких случаях требование о локализации может распространяться на белорусские компании.

Российское законодательство и правоприменительная практика требует локализовывать персональные данные при совпадении следующих критериев:

1) на иностранную компанию распространяются требования российского законодательства о персональных данных;

2) иностранная компания собирает персональные данные о российских гражданах;

3) сбор персональных данных не охватывается исключениями, предусмотренными российским законодательством.

Рассмотрим данные критерии подробнее.

Критерий 1. На иностранную компанию распространяются требования российского законодательства о персональных данных.

Федеральный закон № 152, в отличие от европейского GDPR , не закрепляет специальные положения о сфере действия законодательства о персональных данных по территории и кругу лиц. По общему правилу действие требований ограничивается деятельностью российских субъектов на территории Российской Федерации.

Справочно.
Действие европейского Общего регламента по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г.) — GDPR — распространяется, помимо прочего, на иностранные компании, обрабатывающие персональные данные физических лиц, находящихся на территории Европейского союза (в том числе граждан иностранных государств и лиц без гражданства).

Госорганы поддерживают позицию о распространении требований российского законодательства на иностранных субъектов, деятельность которых направлена на территорию Российской Федерации (критерий направленности деятельности), что следует из общих положений законодательства Российской Федерации о защите прав потребителей.

Данный критерий актуален для интернет-сайтов, доступ к которым имеют российские граждане. Для отграничения сайтов, направленных на российский рынок, от сайтов, «случайно» обрабатывающих персональные данные россиян, российская практика выработала специальные признаки, свидетельствующие о направленности интернет-сервисов на российский рынок:

• базовые критерии:

— использование домена .ru, .рф., .su, .москва., moscow и т.п.;

— наличие русскоязычной версии сайта  (работает вместе с дополнительными критериями);

• дополнительные критерии:

— возможность производить расчеты в российских рублях;

— исполнение договора, заключенного через Интернет, на территории РФ (доставка товара, оказание услуг или пользование контентом на территории РФ);

— реклама сайта на территории РФ;

— наличие иных обстоятельств, явно свидетельствующих о намерении владельца интернет-сайта включить российский рынок в развитие своего бизнеса.

Таким образом, российские требования к обработке персональных данных, в том числе требования о локализации, могут распространяться и на белорусских субъектов. Но это возможно только в том случае, если деятельность операторов явно направлена на российский рынок, что должно оцениваться в каждом конкретном случае отдельно.

Критерий 2. Белорусская компания собирает персональные данные о российских гражданах.

Требование о локализации применяется в случаях, когда оператор собирает персональные данные о российских гражданах.

Под сбором персональных данных регуляторы понимают «целенаправленный процесс получения персональных данных», что может осуществляться самим оператором персональных данных либо привлеченными для этого третьими лицами. 

К случаям сбора не относится случайное попадание персональных данных, например, через получение писем по электронной почте, предоставление контактных данных работников контрагента при заключении или исполнении договоров.

Также белорусский оператор не обязан локализовывать в России данные о «негражданах» Российской Федерации. Критерии для отнесения к «гражданам» оператор может устанавливать самостоятельно — в законодательстве отдельных критериев не предусмотрено. 

Справочно.
Поскольку оператор обычно не запрашивает сведения о гражданстве посетителя сайта, критериями отнесения пользователей к гражданам Российской Федерации могут быть, например, контактный адрес (для доставки или заключения договора), город проживания (отмеченный в Личном кабинете) или IP-адрес устройства, с которого пользователь посещает сайт.

Критерий 3. Исключения в применении требования о локализации

Российское законодательство закрепляет ряд случаев, когда сбор данных возможен без соблюдения требования о локализации, в том числе если обработка персональных данных осуществляется:

— для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

— в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

— для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций;

— для осуществления профессиональной деятельности журналиста и (или) законной деятельности СМИ либо научной, литературной или иной творческой деятельности.

Как видно, указанные исключения являются специфическими и в большинстве случаев не могут применяться в обычной деятельности компаний. К исключениям не относится сбор персональных данных с целью заключения и исполнения договора с субъектом персональных данных, что приводит к необходимости соблюдения требования о локализации (при условии, что деятельность направлена на российского потребителя).

Резюме.
Требование о локализации может применяться и к белорусским операторам при обработке персональных данных россиян, что нужно оценивать при выходе на российский рынок. При этом следует понимать риск понуждения к исполнению такого требования и быть готовым к локализации баз данных в случае направления предупреждений госорганов. Хотя прогнозировать интенсивность применения штрафных санкций к иностранным компаниям на текущий момент сложно, российская практика идет по пути применения механизмов воздействия на иностранных субъектов в случаях отказа от выполнения требований.

Дополнительно по теме:
>>Воронкевич С. GDPR: все только начинается?
>>Негареш С., Салей И. Персональные данные и блокчейн: «тест на совместимость»
>>Что юристу необходимо знать о персональных данных и их защите в Беларуси

6918 Shape 1 copy 6Created with Avocode.
Последнее
по теме