01.09.2015 00:23
Digital

В РФ вступили в силу требования о локализации персональных данных

Текст:  Наталия Беломестнова
Российская Бизнес-газета - : №34 (1013)
Сегодня вступают в силу поправки в ФЗ "О персональных данных", обязывающие компании обеспечить обработку персональных данных россиян в базах данных в России. Помимо российских компаний и зарубежных представительств (филиалов) в РФ требование о локализации должны исполнять иностранные компании, не имеющие официального присутствия в РФ, но ведущие бизнес, который направлен на территорию РФ, через Интернет. Об этом, например, может свидетельствовать использование доменных имен .ru, .рф; наличие русскоязычной версии сайта; возможность осуществлять расчеты в рублях.
Читать на сайте RG.RU
Роскомнадзор опроверг слухи об отказе Facebook хранить данные в России

"Первичная" база данных может быть в любой форме, в том числе бумажной, поэтому требование о локализации будет исполнено, если в России в бумажном виде хранятся персональные данные, которые затем в электронном виде передаются за границу. В то же время обработка данных может осуществляться за границей, если база в РФ является наиболее полной и актуальной (недопустимо нахождение за пределами РФ данных, которые одновременно не находятся в РФ).

Главная проблема требования о локализации персональных данных - отсутствие эффективных мер ответственности за несоблюдение этого требования, которые бы оправдали для многих компаний высокие расходы на реструктуризацию IT-систем. Так, ст. 13.11 КоАП сейчас предусматривает максимальный штраф за нарушение правил обработки персональных данных в размере 10 тыс. руб. На самом деле одна только консультация специалиста по информационной безопасности относительно потенциальной реструктуризации IT-системы обойдется компании в десятки раз дороже, не говоря уже о самой реализации проекта. Принятые в начале этого года в первом чтении поправки в КоАП, увеличивающие в несколько раз размер ответственности, существенно картину не поменяют. Специальная ответственность в виде внесения сайта нарушителя в "Реестр нарушителей прав субъектов персональных данных" и последующей блокировки этого сайта тоже вызывает массу вопросов. Согласно закону, блокировке будут подлежать сайты, "содержащие информацию, обрабатываемую с нарушением законодательства РФ в области персональных данных".

Иными словами, речь идет о сайтах, содержащих персональные данные. К ним могут относиться "базы данных граждан России онлайн", "телефонные книги" и прочие сайты, которые незаконно размещают на массивы персональных данных. Таким образом, термин "содержащий персональные данные" не позволяет блокировать корпоративные сайты, а также сайты, которые собирают персональные данные, но не публикуют их (интернет-магазины и пр.).

Требование о локализации персональных данных россиян может "заработать" только в том случае, если правила игры будут прозрачны и едины для всех и будет существовать механизм ответственности, обладающий достаточной "мотивационной" силой для всех компаний.

Интернет