- WhatsApp был назначен штраф в размере 4 млн руб. за первичное нарушение (ч. 8 ст. 13.11 КоАП РФ).
- Facebook* получил 15 млн руб. штрафа за повторные нарушения требований о локализации ПД (ч. 9 ст. 13.11 КоАП РФ).
- Twitter** – 17 млн руб. так же за повторные нарушения (ч. 9 ст. 13.11 КоАП РФ).
Первично Facebook* и Twitter** штрафовали за отказ локализовать данные в 2020 году — на 4 млн руб. каждую компанию. Facebook* оплатила штраф, а вот Twitter** пытался оспорить штрафную санкцию.
Война за локализацию
Напомним, в июне этого года контролирующее ведомство пошло на новый виток борьбы за локализацию данных, поставив ультиматум иностранным технологическим компаниям, собирающих персональные данные россиян, о перенесении хранения этой личной информации на территорию РФ. Не так давно — в июле — за отказ локализовать данные уже был оштрафован Google на 3 млн руб.
Пока статьи, на основании которых суд принимает решение (ч. 8-9 ст. 13.11КоАП РФ), предполагают лишь штрафные санкции. Дело уже дошло до рассмотрения повторных нарушений. Как будут развиваться события дальше — пока сказать сложно. С одной стороны, в России с 2016 года заблокирована соцсеть LinkedIN, и именно за отказ локализовать данные пользователей на территории РФ. А с другой, многие технологические гиганты, действующие на территории РФ, соблюли требования российского законодательства и разместили базы данных по отечественным пользователям на территории страны, — это, например, eBay, PayPal, Uber, Viber, Alibaba и AliExpress. По словам замглавы Роскомнадзора Милоша Вагнера, вообще уже более 600 иностранных компаний уже локализовали данные россиян.
Как по закону
Требование хранить персональные данные россиян, в том числе получаемые через интернет, в базах данных, расположенных на территории страны, вступило в силу 1 сентября 2015 года.
Согласно ч. 5 ст. 18 закона «О персональных данных» Российской Федерации:
«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона»
Т. е. юридическим лицам, которые работают с персональными данными граждан РФ, запрещено собирать и хранить эти данные за рубежом – они обязаны локализовать базы данных исключительно на территории РФ.
Подобное требование, с одной стороны, усложняет работу иностранных юридических лиц. Но с другой стороны, его цель — защита персональных данных россиян.
Однако, «Общий регламент защиты персональных данных» (GDPR) Европейского Союза, самый требовательный из всех существующих, локализацию не вводит.
Рассказываем, где и как устроена защита персональных данных граждан.
Мировой опыт
По практике локализации данных пользователей в мире сделал обзор юрист iFreedomLab Левон Саргсян:
Следует отметить, что полная либерализация законодательства по передаче данных, как и полный запрет на их передачу встречаются крайне редко.
Так, в Китае Народный банк (прим. — Центробанк страны) запретил банковским институтам хранить, обрабатывать или анализировать за границей личную финансовую информацию, полученную внутри страны — введен полный запрет передачи персональных данных за пределы КНР. Также в стране запрещена передача медицинских данных.
В Саудовской Аравии конфиденциальные данные государственных органов и потребительские данные частных фирм также не могут передаваться за пределы страны ни при каких случаях.
Во Вьетнаме владельцев новостных ресурсов, социальных сетей, а также онлайн-игр обязали локализовать копии данных.
Малайзия также ввела запрет на передачу персональных данных за пределы страны. Впрочем, в той же Малайзии согласие субъекта персональных данных достаточное условие (наряду с дополнительными условиями) для получения возможности трансграничной передачи данных.
Австралия же запретила передачу персональных данных за рубеж в отношении данных о здоровье.
В Европе основной закон относительно ПД «Общий регламент защиты персональных данных (GDPR)» Европейского союза не устанавливает требований по локализации ПД. Стоит отметить, что сегодня именно GDPR считается в мире наиболее строгим и проработанным документом, регулирующим обращение ПД. Однако при все строгости этого закона, вместо локализации для защиты данных на территории ЕС предлагаются такие варианты. Так, согласно GDPR, компании должны обеспечивать безопасность персональных данных любого человека внутри ЕС, а если есть необходимость эти данные передать за пределы ЕС, то это возможно только в те страны или организации, которые подписались на эквивалентную защиту конфиденциальности — т. е. их требования к защите ПД должны быть как минимум как в GDPR.
Критерии защиты описаны в 32 статье GDPR:
— псевдонимизация и шифрование персональных данных;
— обеспечение постоянной конфиденциальности, целостности, доступности и устойчивости систем и сервисов обработки;
— способность своевременно восстанавливать доступность персональных данных в случае возникновения физического или технического инцидента;
— регулярное тестирование, оценка и измерение эффективности технических и организационных мер по обеспечению безопасности обработки.
В том числе регламент устанавливает обязанность взаимодействовать с субъектом персональных данных по поводу обработки его данных — обязательно запрашивать разрешение на операции с ПД (а также и далее коммуницировать с субъектом ПД) в краткой, прозрачной, понятной и легко доступной форме, с использованием ясного и простого языка.
*доступ к Facebook заблокирован в РФ 4.03.022 решением РКН, а 21.03.2022 организация Meta Platforms Inc., владеющая социальными сетями Facebook и Instagram, признана судом РФ экстремистской организацией
**доступ к Twitter в РФ ограничен 24.02.2022 г. на основании требования Генпрокуратуры