Локализация баз данных что это
Локализация персональных данных
Ох, сколько уже было сказано о персональных данных! Интернет предпринимателей особенно взбудоражила история с локализацией. И до сих пор не совсем понятно, как и к кому этот 242 ФЗ применяется. Поэтому мы с коллегами из Б152 решили на примерах все разобрать и предложить варианты хранения данных, подходящие совершенно разным компаниям.
Напомним, что он вступил в силу 1 сентября 2015 года, хотя принят был еще летом 2014-го. О нем много разговоров, но судебной практики пока нет. Поэтому мы обратимся к опыту иностранных коллег.
Суть закона заключается в том, что отныне юридическим лицам, которые работают с персональными данными граждан РФ, запрещено собирать и хранить эти данные за рубежом – они обязаны локализовать базы данных на территории России. Закон этот вносит важные изменения в ФЗ № 152 «О персональных данных», вступивший в силу еще в 2007 году.
По части жестких требований к локализации ПДн мы далеко не одиноки. На территории других стран подобные законы действуют уже не один год.
Вьетнам
В 2013 году во Вьетнаме владельцев нескольких конкретных видов ресурсов (новостных, социальных сетей и онлайн-игр) обязали локализовать копии данных. Для чего это было сделано, нетрудно догадаться. Конечно же, для предоставления их компетентным органам и облегчения рассмотрения претензий пользователей. Запрета на параллельную обработку персональных данных за рубежом власти Вьетнама не ввели.
Китай
Китайцы подошли более сурово к вопросу трансграничной передачи данных, правда, в отношении только одного вида персональной информации. На два года опередив вьетнамцев, Китайский народный банк опубликовал Уведомление банковским институтам о защите персональной финансовой информации. Этот документ запретил кредитным организациям хранить, обрабатывать или анализировать за границей личную финансовую информацию, полученную внутри страны.
Индия
В том же 2011 году Министерство коммуникаций и информационных технологий Индии утвердило Правила по процедурам и практикам. Такое размытое название документа подразумевает под собой вполне конкретные цели, а именно – обеспечение безопасности специальных категорий персональных данных. В Правилах определены эти самые специальные категории, в список включили пароли, финансовую информацию (включая данные о банковском счете или кредитной карте), сведения о здоровье, сексуальной ориентации и биометрические данные.
Для этих категорий ПДн установили требование, согласно которому передача их любой другой компании или физическому лицу, находящемуся в Индии или в другом государстве, возможна только при условии обеспечения последними должного уровня защиты. И возможно все это только в рамках выполнения договора, заключенного с субъектом данных, или в случае получения от него согласия на передачу.
Малайзия
Финальной на сегодня глубиной нашего погружения в историю будет 2010 год, когда закон о защите персональных данных Малайзии ввел запрет на передачу ПДн за пределы страны. Осуществлять трансграничную передачу персональных данных можно лишь при соблюдении определенных условий и в ряде исключительных случаев. Например: согласие субъекта ПДн, необходимость исполнения договора между субъектом и оператором, необходимость исполнения контракта между оператором и третьим лицом, который был заключен по запросу или в интересах субъекта ПДн.
Однако подобные нововведения касаются не только азиатских стран. Запрет на передачу персональных данных за рубеж был введен в Австралии, правда, только в отношении данных о здоровье.
Вот только на фоне ФЗ-242 все вышеупомянутые законы и указания – детские сказки. Наш закон более суров и специфичен.
Больше всего споров возникает вокруг того, что этот закон запрещает хранение ПДн российских граждан за рубежом, но параллельное хранение, на первый взгляд, невозможно отследить. К тому же закон не содержит правовых инструментов, решающих эту проблему.
Минкомсвязи внес ясность в вопрос трансграничной передачи. Согласно их разъяснениям, ПДн граждан, изначально внесенные в базы данных на территории России, могут быть переданы за рубеж в соответствии с положением о трансграничной передаче данных. Также ведомство подтвердило возможность предоставления удаленного доступа к российским БД с территории других государств.
Перейдем к практике.
Судебных решений пока нет, слишком мало времени прошло. Пока мы можем лишь сказать, что изменения коснулись всех компаний, которые работают на территории РФ. Как им быть и что делать? Как строить теперь свою работу?
В первую очередь не надо паниковать. А что делать дальше – советуют наши коллеги из Б-152.
Итак, что делать если:
1. Вы иностранная компания, которая работает на территории РФ, в том числе через отдельное юридическое лицо или филиал.
Вариант 1. Передать данные за рубеж в обезличенном виде.
Это значит, что персональные данные будут находиться на серверах в России, но каждому физическому лицу будет присвоен ID, который и передается за рубеж. Таким образом персональные данные отделяются от субъекта, и их невозможно будет соотнести с конкретным человеком. Такой подход предлагает Microsoft для работы со своими сервисами и Microsoft Azure.
Вариант 2. Трансграничная передача данных с хранением первичной актуальной базы на территории России.
Как мы уже сказали, закон не запрещает обрабатывать данные за границей, но только в том случае, если база данных в РФ является наиболее полной и актуальной. То есть если сбор и хранение первоначально происходит в БД на территории России, то персональные данные можно передавать за рубеж и использовать там. На данный момент это один из самых востребованных способов локализации персональных данных.
И самый простой вариант его реализации – использование буферного сервера в России. В этом случае данные сначала попадают на этот сервер, и только потом – за рубеж. Позиция регуляторов позволяет это сделать, ведь соблюдено главное требование – первичная база данных находится в России.
Напомним, что базой данных, с точки зрения Минкомсвязи и Роскомнадзора, считаются в том числе бумажные базы. Например, это может быть шкаф с личными делами сотрудников в виде картотеки или таблица в excel.
2. Вы российская компания
Самый очевидный способ – перенести базы персональных данных, их обработку, сбор и хранение на территорию РФ, используя российские дата-центры.
Однако варианты с трансграничной передачей и обезличиванием вам тоже подойдут.
За нарушение норм локализации отдельной ответственности не предусмотрено. А значит, действует ст. 13.11 КоАП РФ, устанавливающая санкции за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных. Штраф за это совсем небольшой, для юридических лиц он составляет не более 10 тыс. руб.
Но это не единственная мера воздействия. Альтернативой является возможность внесения доменных имен и сетевых адресов в реестр нарушителей прав субъектов персональных данных. Что, пожалуй, более существенно, нежели штраф.
Локализация персональных данных в России
Компаниям для заключения договоров, размещения рекламы, использования аутсорсинга, принятия на работу сотрудников не обойтись без получения личных данных о гражданах.
С 2015 года организации должны использовать для локализации персональных данных отечественные серверы.
Разъяснение некоторых определений:
Локализация — сбор, систематизация и хранение конфиденциальной информации в базах данных на российской территории.
Персональные данные (ПДн) — любая информация о самом человеке и событиях его жизни:
База данных. Несмотря на множество существующих трактовок, смысл понятия сводится к упорядоченному массиву информации вне зависимости от типа материального носителя и способов обработки.
Правомерно сформированная конфиденциальная информация должна не только находиться, но и актуализироваться внутри страны.
Граждане. Законодательство о локализации принято с целью защитить конфиденциальную информацию о российских гражданах. Поэтому круг лиц, на которых распространяется защита закона — только граждане России.
На практике сложность может представлять определение гражданства лица. Даже если форма регистрации содержит графу о гражданстве, проверить действительность записи невозможно.
Оператор. Любое лицо, муниципальный или государственный орган, которые ведут сбор и обработку ПДн.
Сбор ПДн — деятельность, в ходе которой оператор получает личную информацию от гражданина либо через привлечённых посредников. Полученные данные используются для дальнейших операций с ними: хранения, обработки, передачи.
Условие о локализации появилась после принятия ФЗ от 21.07.2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных…».
Виды обработки конфиденциальных данных с учётом локализации внесены в закрытый перечень: запись, актуализация и иные способы.
Базы персональных данных должны формироваться и храниться в актуальном состоянии на территории России.
Ответственность за правонарушение установлена ч. 8 и 9 ст. 13.11 КоАП РФ. Наказание для юридических лиц и индивидуальных предпринимателей — штраф до шести миллионов рублей. За повторное нарушение — от шести до восемнадцати миллионов рублей.
Требование о локализации
Получение ПДн и последующее обновление с ними правомерны, если при этом задействованы базы данных, размещённые в России.
Обеспечивать локализацию не нужно, если случай предусмотрен ч. 1 ст. 6 Закона о персональных данных (для исполнения международных договоров; для участия в судопроизводстве).
Нет необходимости заниматься локализацией для:
Не нуждаются в локализации определённые операции с информацией: удаление, распространение, псевдонимизация и ряд других. Подобные действия можно проводить и локализовать за рубежом.
Если обработчик — иностранное лицо, действующее в интересах оператора на основе договора, требование о локализации обязательно только для оператора.
Обязаны ли зарубежные организации соблюдать локализацию?
Зарубежные предприятия обязаны подчиняться условию о локализации в случаях:
Иначе говоря, соблюдать локализацию персональных данных в РФ необходимо отечественным и зарубежным компаниям, если они действуют в пределах России.
Понять, что организация занимается предпринимательством в России, можно по признакам, которые указывают на отношение к РФ:
Допустима ли передача локализованных ПДн за рубеж?
Трансграничная передача данных при определённых условиях не нарушает закон. Однако первоначально информация должна собираться в базах данных, размещённых в РФ.
Законно перемещение ПДн в государства — стороны Конвенции Совета Европы о защите физических лиц и в государства, способные обеспечить адекватную защиту. Перечень таких государств утверждается РКН.
Параллельный ввод данных разрешён в определённых случаях, например, когда это предусмотрено международными договорённостями, в интересах правосудия и т. п.
Последствия нарушения компаниями условия о локализации
Хотя основная мера, к которой прибегает РКН — предупреждение и требование прекратить нарушение, компаниям, особенно международным, стоит тщательно проверять соблюдение требований локализации. В арсенале контролирующего органа имеются и более строгие меры — штрафы, блокировка сайта.
Важным для компаний судебным решением стало постановление Мосгорсуда от 4 августа 2016 года по жалобе ответчика LinkedIn на решение Таганского райсуда г. Москвы.
Это первое судебное решение по локализации с участием ответчика — транснациональной корпорации, не размещённой в России.
Суд установил, что организация собирала ПДн россиян без письменного согласия, умышленно игнорируя российские базы данных.
Разрешая дело, суд отклонил доводы LinkedIn о том, что она не является надлежащим ответчиком — операциями с ПДн занималается не LinkedIn Corporation, а LinkedIn Ireland Unlimited Company; организация формально не присутствует на российской территории, и по этой причине российская юрисдикция на неё не распространяется.
В итоге LinkedIn была заблокирована для русскоязычных пользователей.
Решение было обжаловано, однако Мосгорсуд в кассации поддержал указанное решение.
31 января 2020 года Роскомнадзор (РКН) возбудил административные дела против соцсетей Twitter и Facebook. Позднее компании были оштрафованы мировым судьёй Таганского района г. Москвы на четыре миллиона рублей каждая за несоблюдение условий локализации ПДн.
Решением Таганского райсуда города Москвы от 19 декабря 2018 года была признана незаконной деятельность интернет – ресурса «Умное голосование», запущенного А. Навальным (https://2019.vote/). Регистратор доменного имени
2019.vote — компания Gandi SAS (Французская Республика). На дату выхода настоящего материала, ресурс по указанному доменному имени отсутствует.
Суд, помимо прочего, посчитал, что услуги по предоставлению вычислительной мощности для размещения баз данных оказывались посредством серверных мощностей Cloudflare, Inc. (Соединенные Штаты Америки).
Судебное решение позволило интернет-ресурс и его копии включить в Реестр нарушителей прав субъектов персональных данных.
Чтобы не нарушить закон
РКН систематически проводит аудит российских и международных организаций, работающих в России. Проверки не избежали Microsoft, Samsung Electronics Rus Company, Вконтакте, Lamoda и другие организации.
Несоблюдение закона о локализации может привести не только к штрафу, но и к блокировке интернет-ресурса.
Следовать закону компании поможет понимание, что практически все базы данных можно разделить на две группы:
«Главная» — первичная база, всегда находится в РФ. Там же она актуализируется. И только потом может передаваться за границу.
Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса
Вот уже более девяти месяцев действует так называемый закон о локализации персональных данных (Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»; далее – Закон № 242-ФЗ). Он обязывает операторов обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных россиян с использованием баз данных, находящихся на территории России. Первоначально требования закона были недостаточно точно конкретизированы, в результате чего у представителей бизнеса возникло множество вопросов. Однако большую их часть удалось разрешить еще до вступления Закона № 242-ФЗ в силу. Оставалось ждать, как принятый закон будет реализовываться на практике. И теперь, чуть меньше года спустя, можно выделить ряд наиболее распространенных проблем, с которыми столкнулся бизнес в процессе его применения.
Идентификация баз данных
До 1 сентября 2015 года компании уведомляли Роскомнадзор о категории персональных данных, перечне действий с ними, целях их обработки, обеспечении безопасности и др. С указанной даты у них появилась еще одна обязанность – сообщать о месте нахождения базы данных информации, содержащей персональные данные россиян (п. 10.1 ч. 3 ст. 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Все эти сведения должны быть отражены в уведомлении, подаваемом в Роскомнадзор.
Таким образом, теперь любой оператор персональных данных должен знать, какие именно информационные системы, содержащие базы данных, он использует и где они расположены.
 |
Наталья Иващенко, к.ю.н., руководитель межотраслевой группы юридической компании «Пепеляев Групп» :
«До вступления в силу законодательного требования о локализации персональных данных Роскомнадзор на практике ограничивался документальной проверкой соблюдения требований Закона № 242-ФЗ. Поскольку требований к месту расположения персональных данных не предъявлялось, то компании сообщали о тех персональных данных, которые содержались во внутренних информационных системах, которые для них были очевидны (например, база данных сотрудников компании). После ужесточения регулирования компании начали задумываться о том, какие в принципе базы данных они используют, и в каком месте они расположены. Законодательные изменения послужили драйвером для инвентаризации используемых баз данных».
Чтобы идентифицировать базу данных для ее переноса на российские серверы, следует провести аудит ее содержимого. Если обнаружено наличие персональных данных россиян: ФИО, дата рождения, паспортные данные и т. д., эту информацию необходимо локализовать. При этом, как отмечает руководитель группы разработки IT-компании «AT Consulting» Михаил Алексеев, перенести базу данных можно как полностью, так и частично (когда речь идет о переносе не всей информации, а только находящихся в этой базе персональных данных). «Первый вариант наиболее прост и удобен в реализации, а также более экономически оправдан. Со вторым могут возникнуть технические проблемы, поскольку приложениям в этом случае придется работать сразу с двумя базами данных, – добавляет он. – В документах локализуемая база данных должна быть однозначно определена своим IP, портом и именем».
Если оператор не уведомит Роскомнадзор о тех базах данных, которые он использует при обработке персональных данных россиян, это может стать основанием для проверки со стороны регулятора. При этом, уточняет Наталья Иващенко, Роскомнадзор может не ограничиться лишь документальной проверкой, а провести опрос сотрудников, а на его основе осуществить проверку с использованием технических средств и выявить «незаявленные» базы данных. Это может повлечь за собой административную ответственность юридического лица в виде штрафа в размере до 10 тыс. руб. (ст. 13.11 КоАП РФ). При этом компания не освобождается от обязанности устранить выявленное нарушение.
Для соблюдения требований закона Наталья Иващенко рекомендует предпринять следующие шаги:
Использование персональных данных материнской компанией за рубежом
Многие иностранные холдинги сталкиваются с проблемой локализации, когда встает вопрос об использовании персональных данных россиян головной организацией, находящейся за пределами России. В данном случае важно понимать, какие именно действия осуществляются с персональными данными за рубежом. Как уточняет руководитель группы правовой защиты информации компании «Пепеляев Групп» Дмитрий Зыков, лишь «первоначальный» сбор персональных российских граждан за границей является нарушением закона (ч. 5 ст. 18 закона о персональных данных). Таким образом, соответствующая информация при этом обязательно должна быть локализована.
А вот персональные данные россиян, собранные представительством или филиалом этой организации в России, а потом переданные зарубежной материнской компании, вполне могут использоваться для дальнейшей обработки, хранения и т. д.
Передача персональных данных аутсорсинговой компании
В последнее время услуги аутсорсинга становятся все более востребованными. Однако передавая провайдеру определенные функции, ему нередко дают и доступ к персональным данным. Переходит ли при этом к аутсорсеру обязанность по их локализации? Ведь, по общему правилу, ответственным лицом за соблюдение требований о защите персональных данных он не является. В этом случае также важно определить, каким образом будет использоваться полученная информация.
Так, если компания-оператор персональных данных предоставляет аутсорсинговой организации только доступ к своим базам данных для выполнения определенных функций по договору (например, для осуществления рекламных рассылок), то в этом случае, подчеркивает Дмитрий Зыков, ответственность по защите персональных данных остается на самом заказчике. При этом он должен получить согласие субъекта персональных данных на использование сведений о нем третьими лицами по поручению.
Если же компания передает свою базу данных организации-аутсорсеру (например, в целях оказания бухгалтерских услуг, ведения кадрового делопроизводства и др.), в договоре необходимо отдельно прописать, что провайдер аутсорсинговых услуг принимает на себя обязательство по применению мер защиты полученных персональных данных и обеспечению конфиденциальности информации. В таком случае аутсорсинговая организация становится оператором персональных данных, который обязан, в том числе, соблюдать требования закона о локализации соответствующих данных.
Локализация баз данных на территории Российской Федерации: первые толкования
Буркова Анастасия Юрьевна, кандидат юридических наук.
А.Ю. Буркова комментирует новый Закон, вступающий в силу с 1 сентября 2015 г. В соответствии с ним персональные данные российских граждан должны обрабатываться с использованием баз данных, находящихся на территории Российской Федерации.
Ключевые слова: персональные данные, база данных, субъект персональных данных, Минкомсвязь России, Роскомнадзор.
«5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».
По сути, законодатель закрепил локализацию баз данных, которые содержат персональные данные, в России.
Хотя пункт 5 ст. 18 Закона о ПД сравнительно небольшой по размеру, его применение вызывает многочисленные вопросы. Рассмотрим некоторые из них и их толкование регуляторами.
Какие персональные данные подпадают под действие пункта 5 ст. 18 Закона о ПД?
Сайт Минкомсвязи России: http://minsvyaz.ru/ru/personaldata/#1438175374828.
Федеральный закон «О персональных данных»: Научно-практический комментарий / Под ред. А.А. Приезжевой. М., 2015. С. 15.
Распространяется пункт 5 ст. 18 Закона о ПД только на граждан Российской Федерации или и на иностранцев, находящихся в России?
Сайт Минкомсвязи России: http://minsvyaz.ru/ru/personaldata/#1438175374828.
Сайт Минкомсвязи России: http://minsvyaz.ru/ru/personaldata/#1438175374828; сайт Роскомнадзора: http://www.pd-info.ru/.
Сайт Роскомнадзора: http://www.pd-info.ru/.
Что такое база данных?
Закон говорит о локализации персональных данных в базах данных, находящихся в России.
Сайт Роскомнадзора: http://www.pd-info.ru/.
Распространяется ли Закон на базы данных, сформированные за рубежом до 1 сентября 2015 г.?
Сайт Минкомсвязи России: http://minsvyaz.ru/ru/personaldata/#1438175374828.
Вместе с тем актуализация, систематизация, обновление таких данных после 1 сентября 2015 г. может осуществляться только с использованием баз данных, находящихся в России.
Разрешается ли трансграничная передача персональных данных согласно Закону с 1 сентября 2015 г.?
Сайт Минкомсвязи России: http://minsvyaz.ru/ru/personaldata/#1438175374828.
Интересно также отметить, что передача за границу персональных данных российскому же лицу не рассматривается как трансграничная передача персональных данных.
Порядок передачи данных иностранному лицу зависит от того, передаются персональные данные в эквивалентные страны или в страны, не обеспечивающие адекватную защиту прав субъектов персональных данных.
Федеральный закон «О персональных данных»: Научно-практический комментарий / Под ред. А.А. Приезжевой. С. 74.
При трансграничной передаче персональных данных ответственность за действия, совершаемые в отношении переданных персональных данных, несет иностранный оператор в соответствии с применимым к нему законодательством.
Сайт Роскомнадзора: http://www.pd-info.ru/.
Какие возможны исключения из действия Закона?
Требования пункта 5 ст. 18 Закона о ПД не применяются в случаях, когда:
Скорее всего, здесь идет речь о приведении в исполнение за рубежом судебных актов, принятых в России;
Какие действия, связанные с обработкой персональных данных, должны обязательно проводиться в России, а какие можно осуществлять за рубежом?
В статье 18 Закона о ПД говорится, что оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
Сравним этот перечень с определением обработки персональных данных, содержащимся в статье 3 Закона о ПД:
Можно сделать вывод, что следующие действия могут совершаться без использования баз данных, находящихся на территории Российской Федерации: сбор, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Сайт Минкомсвязи России: http://minsvyaz.ru/ru/personaldata/#1438175374828.
В этом определении определяющими являются следующие факторы:
На этом основании Минкомсвязь России делает следующие выводы :
Именно лицо, осуществляющее сбор персональных данных, несет ответственность за соблюдение требований части 5 ст. 18 Закона о ПД. Не несут такую ответственность лица, получившие персональные данные не в результате целенаправленных действий, а также лица, которые просто предоставили свои вычислительные мощности для последующей обработки персональных данных.
Можно ли передавать данные из одной базы данных в России в другую базу данных за рубежом?
Как было отмечено выше, передача персональных данных не требует обязательной локализации. В связи с этим трансграничная передача данных разрешена и после 1 сентября 2015 г.
Передача возможна из одной базы данных, которая имеется в России, в другую базу данных, находящуюся за пределами нашей страны. При этом в российской базе данных должен содержаться больший объем персональных данных или равный находящемуся за пределами территории Российской Федерации.
Сайт Минкомсвязи России: http://minsvyaz.ru/ru/personaldata/#1438175374828.
Сайт Роскомнадзора: http://www.pd-info.ru/.
Можно ли передавать из России персональные данные, которые обрабатываются согласно российскому законодательству?
К данным, которые обрабатываются согласно российскому законодательству, относятся в том числе:
Согласно статье 6 Закона о ПД, если обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, такая обработка осуществляется даже без согласия субъекта персональных данных.
Трансграничная передача таких данных возможна, однако далее в позициях Минкомсвязи России и Роскомнадзора имеются расхождения.
Как считает Минкомсвязь России, если обработка персональных данных осуществляется на основании закона, положения части 5 ст. 18 Закона о ПД не должны применяться.
Сайт Роскомнадзора: http://www.pd-info.ru/.
Могут ли российские физические лица напрямую передавать информацию в иностранные базы данных?
И Минкомсвязь России, и Роскомнадзор считают, что это возможно, но опять же позиции у них разные.
Сайт Минкомсвязи России: http://minsvyaz.ru/ru/personaldata/#1438175374828.
Сайт Роскомнадзора: http://www.pd-info.ru/.
Могут ли российские компании, которые передали персональные за границу в иностранную базу данных, иметь доступ и использовать эту базу данных в последующем?
Сайт Роскомнадзора: http://www.pd-info.ru/.
Могут ли иностранные компании иметь доступ в российские базы данных?
Сайт Минкомсвязи России: http://minsvyaz.ru/ru/personaldata/#1438175374828.
Требует ли Закон для иностранных лиц, не имеющих физического присутствия в России, локализовать базы данных российских лиц?
Как правило, иностранные лица не являются операторами в России, и на них не распространяется требование локализовать базы данных.
В этих случаях иностранное лицо считается полноценным оператором по российскому законодательству и обязано локализовать процессы обработки персональных данных в России, за исключением случаев, прямо указанных в Законе.
Несет ли иностранное лицо ответственность за нарушение правил обработки персональных данных, переданных из России?
По общему принципу иностранное лицо не является оператором обработки персональных данных в России, поэтому не несет ответственность по российскому законодательству за нарушения. Например, если головное предприятие открыло дочернюю компанию в России, дочернее предприятие, обрабатывая персональные данные, является оператором. Трансграничная передача персональных данных головному предприятию происходит на условиях договора между головным предприятием и дочерней компании и в соответствии с целями обработки персональных данных.
Если головное предприятие, например, нарушит условия хранения переданной ему информации, оно не будет нести ответственность перед российским регулятором, а только по договору перед дочерней компанией и по законодательству того государства, где головное предприятие находится.
Пока в своих комментариях ни Минкомсвязь России, ни Роскомнадзор не коснулись темы ответственности иностранных юридических лиц, не имеющих физического присутствия в России, которые обязаны локализовать базы данных в России. Представляется, такая ответственность будет такой же, как ответственность российского оператора, но как такие нормы будут применяться к компании, находящейся за рубежом, непонятно.
Библиография
Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.).
Федеральный закон от 21 июля 2014 г. N 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
Апелляционное определение судебной коллегии по гражданским делам Московского городского суда от 6 сентября 2012 г. по делу N 11-17136.
Апелляционное определение Московского городского суда от 22 мая 2014 г. N 33-14709.