Что такое локализация данных россиян
Локализация персональных данных в России
Компаниям для заключения договоров, размещения рекламы, использования аутсорсинга, принятия на работу сотрудников не обойтись без получения личных данных о гражданах.
С 2015 года организации должны использовать для локализации персональных данных отечественные серверы.
Разъяснение некоторых определений:
Локализация — сбор, систематизация и хранение конфиденциальной информации в базах данных на российской территории.
Персональные данные (ПДн) — любая информация о самом человеке и событиях его жизни:
База данных. Несмотря на множество существующих трактовок, смысл понятия сводится к упорядоченному массиву информации вне зависимости от типа материального носителя и способов обработки.
Правомерно сформированная конфиденциальная информация должна не только находиться, но и актуализироваться внутри страны.
Граждане. Законодательство о локализации принято с целью защитить конфиденциальную информацию о российских гражданах. Поэтому круг лиц, на которых распространяется защита закона — только граждане России.
На практике сложность может представлять определение гражданства лица. Даже если форма регистрации содержит графу о гражданстве, проверить действительность записи невозможно.
Оператор. Любое лицо, муниципальный или государственный орган, которые ведут сбор и обработку ПДн.
Сбор ПДн — деятельность, в ходе которой оператор получает личную информацию от гражданина либо через привлечённых посредников. Полученные данные используются для дальнейших операций с ними: хранения, обработки, передачи.
Условие о локализации появилась после принятия ФЗ от 21.07.2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных…».
Виды обработки конфиденциальных данных с учётом локализации внесены в закрытый перечень: запись, актуализация и иные способы.
Базы персональных данных должны формироваться и храниться в актуальном состоянии на территории России.
Ответственность за правонарушение установлена ч. 8 и 9 ст. 13.11 КоАП РФ. Наказание для юридических лиц и индивидуальных предпринимателей — штраф до шести миллионов рублей. За повторное нарушение — от шести до восемнадцати миллионов рублей.
Требование о локализации
Получение ПДн и последующее обновление с ними правомерны, если при этом задействованы базы данных, размещённые в России.
Обеспечивать локализацию не нужно, если случай предусмотрен ч. 1 ст. 6 Закона о персональных данных (для исполнения международных договоров; для участия в судопроизводстве).
Нет необходимости заниматься локализацией для:
Не нуждаются в локализации определённые операции с информацией: удаление, распространение, псевдонимизация и ряд других. Подобные действия можно проводить и локализовать за рубежом.
Если обработчик — иностранное лицо, действующее в интересах оператора на основе договора, требование о локализации обязательно только для оператора.
Обязаны ли зарубежные организации соблюдать локализацию?
Зарубежные предприятия обязаны подчиняться условию о локализации в случаях:
Иначе говоря, соблюдать локализацию персональных данных в РФ необходимо отечественным и зарубежным компаниям, если они действуют в пределах России.
Понять, что организация занимается предпринимательством в России, можно по признакам, которые указывают на отношение к РФ:
Допустима ли передача локализованных ПДн за рубеж?
Трансграничная передача данных при определённых условиях не нарушает закон. Однако первоначально информация должна собираться в базах данных, размещённых в РФ.
Законно перемещение ПДн в государства — стороны Конвенции Совета Европы о защите физических лиц и в государства, способные обеспечить адекватную защиту. Перечень таких государств утверждается РКН.
Параллельный ввод данных разрешён в определённых случаях, например, когда это предусмотрено международными договорённостями, в интересах правосудия и т. п.
Последствия нарушения компаниями условия о локализации
Хотя основная мера, к которой прибегает РКН — предупреждение и требование прекратить нарушение, компаниям, особенно международным, стоит тщательно проверять соблюдение требований локализации. В арсенале контролирующего органа имеются и более строгие меры — штрафы, блокировка сайта.
Важным для компаний судебным решением стало постановление Мосгорсуда от 4 августа 2016 года по жалобе ответчика LinkedIn на решение Таганского райсуда г. Москвы.
Это первое судебное решение по локализации с участием ответчика — транснациональной корпорации, не размещённой в России.
Суд установил, что организация собирала ПДн россиян без письменного согласия, умышленно игнорируя российские базы данных.
Разрешая дело, суд отклонил доводы LinkedIn о том, что она не является надлежащим ответчиком — операциями с ПДн занималается не LinkedIn Corporation, а LinkedIn Ireland Unlimited Company; организация формально не присутствует на российской территории, и по этой причине российская юрисдикция на неё не распространяется.
В итоге LinkedIn была заблокирована для русскоязычных пользователей.
Решение было обжаловано, однако Мосгорсуд в кассации поддержал указанное решение.
31 января 2020 года Роскомнадзор (РКН) возбудил административные дела против соцсетей Twitter и Facebook. Позднее компании были оштрафованы мировым судьёй Таганского района г. Москвы на четыре миллиона рублей каждая за несоблюдение условий локализации ПДн.
Решением Таганского райсуда города Москвы от 19 декабря 2018 года была признана незаконной деятельность интернет – ресурса «Умное голосование», запущенного А. Навальным (https://2019.vote/). Регистратор доменного имени
2019.vote — компания Gandi SAS (Французская Республика). На дату выхода настоящего материала, ресурс по указанному доменному имени отсутствует.
Суд, помимо прочего, посчитал, что услуги по предоставлению вычислительной мощности для размещения баз данных оказывались посредством серверных мощностей Cloudflare, Inc. (Соединенные Штаты Америки).
Судебное решение позволило интернет-ресурс и его копии включить в Реестр нарушителей прав субъектов персональных данных.
Чтобы не нарушить закон
РКН систематически проводит аудит российских и международных организаций, работающих в России. Проверки не избежали Microsoft, Samsung Electronics Rus Company, Вконтакте, Lamoda и другие организации.
Несоблюдение закона о локализации может привести не только к штрафу, но и к блокировке интернет-ресурса.
Следовать закону компании поможет понимание, что практически все базы данных можно разделить на две группы:
«Главная» — первичная база, всегда находится в РФ. Там же она актуализируется. И только потом может передаваться за границу.
Локализация обработки персональных данных граждан России: за что хотят ввести штрафы до 18 млн рублей?
В данной заметке рассказывается, (1) в чем состоит требование о локализации, (2) в каких случаях оно применяется к иностранным компаниям без физического присутствия в России, (3) возможна ли передача данных, подлежащих локализации, в зарубежные страны и (4) каковы реальные риски компаний, нарушающих требование о локализации.
В соответствии с требованием о локализации при сборе персональных данных, в том числе с использованием интернета, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан России с использованием баз данных, находящихся на территории России.
Требование о локализации не применяется, если обработка персональных данных:
Для правильного понимания требования о локализации нужно знать значение следующих терминов:
Требование о локализации применяется к иностранным компаниям без физического присутствия в России, если они осуществляют деятельность, направленную на территорию России. Например, интернет-сайт может считаться направленным на территорию России, если:
Требование о локализации не препятствует передаче персональных данных в зарубежные страны. Персональные данные гражданина России, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней, могут далее передаваться в базы данных, расположенные за пределами России, администрируемые иными лицами. Главное, чтобы при такой передаче соблюдались общие требования к трансграничной передаче персональных данных (например, для передачи данных в США часто необходимо письменное согласие субъекта).
Локализация обработки персональных данных граждан России: значение баз данных как объектов интеллектуальной собственности
1. В чем состоит требование о локализации обработки персональных данных граждан России и при каких условиях оно применяется к компаниям
Согласно части 5 статьи 18 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» («Закон о персональных данных») при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о персональных данных:
При толковании приведенных правовых норм следует учитывать разъяснения Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, доступные на сайте министерства, а также комментарий сотрудников Роскомнадзора, доступный на сайте уполномоченного органа.
Для правильного понимания требования о локализации важно обратить внимание на значение понятий, используемых в приведенных правовых нормах:
Таким образом, требование о локализации не распространяется на персональные данные, полученные оператором не в результате сбора персональных данных (например, на персональные данные, полученные от другого оператора).
Следовательно, требование о локализации не распространяется на данные, не являющиеся персональными данными (например, на анонимизированные данные).
Следовательно, требование о локализации не распространяется на другие операции с персональными данными, такие как использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Согласно разъяснениям Министерства цифрового развития требование о локализации применяется к иностранным компаниям, которые не имеют физического присутствия в России, если они осуществляют деятельность, направленную на территорию России. Например, о наличии направленности интернет-сайта на территорию Российской Федерации могут свидетельствовать следующие обстоятельства:
2. Реальные риски компаний, связанные с нарушением требования о локализации персональных данных
Реальные риски компаний, связанные с нарушением требования о локализации, лучше всего видны на примерах из правоприменительной практики:
По мнению суда, компания LinkedIn нарушила требование о локализации при сборе информации о пользователях социальной сети, а также гражданах Российской Федерации, не являющихся пользователями социальной сети.
Таким образом, до принятия законопроекта № 729516-7 о введении штрафов за нарушение требования о локализации компаниям, которые нарушают эти требования, грозят блокировки интернет-ресурсов, используемых для незаконной обработки данных, а также относительно небольшие штрафы за непредоставлении информации, подтверждающей выполнение требования о локализации. Как отмечалось ранее, если законопроект № 729516-7 будет принят, на нарушителей смогут налагаться штрафы до 18 миллионов рублей.
3. Как можно снизить издержки на выполнение требования о локализации персональных данных с учетом законодательства о базах данных как объектах интеллектуальной собственности
Некоторые особенности законодательства о базах данных как объектах интеллектуальной собственности могут помочь снизить издержки на выполнение требований о локализации.
Помимо прочего, данное требование предполагает, что оператор обязан обеспечить извлечение персональных данных с использованием базы данных, находящейся в России. Законодательство о персональных данных не определяет понятие «извлечение персональных данных». В связи с этим возможно утверждать, что под извлечением персональных данных на основе пункта 1 статьи 1334 ГК РФ следует понимать перенос всего содержания базы данных с персональными данными или существенной части составляющих ее персональных данных на другой информационный носитель с использованием любых технических средств и в любой форме. Статья 1334 ГК описывает исключительное право изготовителя базы данных как объекта смежных прав.
Такое толкование предполагает, что требование о локализации не распространяется на случаи переноса несущественной части персональных данных из базы данных с персональными данными, расположенной за рубежом, в другую базу данных, расположенную за рубежом. Указанные случаи могут иметь место в информационных системах персональных данных, предусматривающих их трансграничную передачу. Таким образом, приведенное толкование позволило бы компаниям снизить издержки на выполнение требования о локализации, поскольку оно значительно сужает понятие «извлечение персональных данных», на которое распространяется требование о локализации.
Следует отметить, что предложенное толкование не проверено правоприменительной практикой и может встретить неприятие со стороны Роскомнадзора и судов. В связи с этим при его использовании следует учитывать соответствующие риски.
На страже безопасности, или Локализация персональных данных
Наделавший немало шума закон о локализации персональных данных россиян вступил в силу с 1 сентября и действует уже два месяца (Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»; далее – Закон № 242-ФЗ). Закон требует, чтобы при сборе персональных данных, в том числе посредством Интернета, оператор обеспечивал запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных россиян с использованием баз данных, находящихся на территории России (ст. 2 Закона № 242-ФЗ, ч. 5 ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Однако исполнить это требование оказалось не так просто, поскольку многие нюансы законодатель не уточнил, что вызвало немало вопросов у представителей бизнеса.
Тем не менее, к моменту вступления Закона № 242-ФЗ в силу, многие из этих вопросов нашли ответ – во многом этому поспособствовали размещенное на сайте Минкомсвязи России официальное разъяснение ведомства, а также активная позиция юристов. Дискуссия продолжается и по сей день – так, ряд наиболее значимых вопросов был затронут экспертами на конференции, организованной газетой The Moscow Times в конце сентября. Разберемся в наиболее важных выводах и рекомендациях, высказанных специалистами.
Прежде чем углубляться в вопросы реализации этого закона, председатель Временной комиссии Совета Федерации по развитию информационного общества Людмила Бокова призывает понять, какие именно цели преследует этот закон. «Нужно понимать актуальность и необходимость этого документа, так как только в условиях нахождения персональных данных российских граждан на территории своей страны государство может гарантировать их надлежащую защиту», – заявляет она. Вместе с тем Людмила Бокова отмечает, что любой правовой акт должен отвечать принципу правовой определенности, поскольку только в этом случае правовая мера будет действительно эффективной и способной достичь той цели, которая преследуется в законе. Однако еще до вступления в силу Закона № 242-ФЗ стало ясно, что он данному требованию не отвечает, это и вызвало потребность в разъяснении целого ряда нюансов, связанных с применением этого акта.
Что такое база данных?
В тексте Закона № 242-ФЗ не уточнено, какие именно базы данных, содержащие персональные данные россиян, должны находиться на территории нашей страны. В связи с этим возник закономерный вопрос, может ли база данных быть представлена в любой форме, в том числе бумажной, или все-таки к ней предъявляются какие-то объективные требования?
Отвечая на него, Минкомсвязь России напоминает, что базой данных является совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью ЭВМ (абз. 2 ч. 2 ст. 1260 ГК РФ). В связи с этим ведомство уточняет, что с помощью ЭВМ одновременно должны быть обеспечены поиск и любая обработка соответствующей информации, что представляется возможным только при условии наличия данных в электронной форме.
Кому необходимо выполнять требования закона?
Если руководствоваться положениями Закона 242-ФЗ, очевидно, что его требования адресованы оператору персональных данных, однако руководитель группы правовой защиты информации юридической компании «Пепеляев Групп» Дмитрий Зыков отмечает, что перечень таких лиц гораздо шире и, хотя прямо в тексте закона это не указано, по его смыслу требования о локализации обязаны соблюдать следующие субъекты.
Оператор персональных данных (например, работодатель) – то есть лицо, самостоятельно или совместно с другими организующее и/или осуществляющее обработку персональных данных, а также определяющее цели такой обработки, состав персональных данных и действия, с ними совершаемые (п. 2 ст. 3 закона о персональных данных). Отдельно стоит упомянуть об иностранных организациях, чьи представительства действуют на территории России. Как правило, персональные данные работников таких представительств направляются в головную компанию, находящуюся за рубежом. Но несмотря на то, что такая ситуация встречается достаточно часто, большинство руководителей не учитывают один существенный нюанс – операторами персональных данных иностранные компании в этом случае не являются.
 |
Дмитрий Зыков, руководитель группы правовой защиты информации юридической компании «Пепеляев Групп»:
«Лицом, которое в силу закона обязано осуществлять обработку этих данных является исключительно работодатель, то есть то лицо, с которым соответствующий работник заключил трудовой договор. Вопрос: на каком основании персональные данные передаются в головную иностранную организацию? Точно не в рамках осуществления трудовых отношений между российским юридическим лицом и российским гражданином. Для каких целей эта передача осуществляется? Чаще всего такая передача осуществляется исключительно в интересах самого иностранного юридического лица – для статистических целей, аналитики, даже для принятия решений по кадровым перемещениям российских работников в рамках российского юридического лица. Но по закону прямого подчинения российского работника иностранному юридическому лицу нет. Более того, если мы говорим, что иностранное юридическое лицо действует в интересах российского юридического лица, то у нас опять же по закону требуется поручение российского юридического лица третьей стороне осуществить какие-либо действия с персональными данными. И появляется еще одна категория лиц, которые участвуют в обработке персональных данных – лицо, не являющееся оператором, но которое осуществляет соответствующую обработку (ч. 3 ст. 6 закона о персональных данных). И в этом случае так называемым заказчиком должно быть выдано исполнителю-обработчику соответствующее поручение».
Обладатель информации (например, компания, обладающая сведениями о коммерческой тайне контрагента) – то есть лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать к ней доступ (п. 5 ст. 2 Федерального закона от от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; далее – закон об информации).
Оператор операционной системы (например, пейролл-провайдеры, которые осуществляют обработку персональных данных работников в целях администрирования и расчетов с персоналом компании) – гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных, то есть собственник технических средств, используемых для обработки содержащейся в базах данных информации или лицо, с которым он заключил договор об эксплуатации информационной системы (п. 12 ст. 2, ч. 2 ст. 13 закона об информации). Под это понятие подпадают не только операторы персональных данных, но и лица, которые помогают им заниматься теми или иными вопросами.
Получается, что требования по локализации персональных данных должно выполнять любое лицо, которое имеет на основании закона право так или иначе распоряжаться соответствующей информацией вне зависимости от того, считается ли он оператором персональных данных или нет.
Обязательно ли локализовать иностранные базы данных, если персональные данные уже локализованы в России?
Из текста Закона № 242-ФЗ не вполне ясно, распространяется ли требование о локализации на случаи внесения персональных данных россиян в зарубежные базы данных, если эти данные ранее уже были локализованы. Этот вопрос актуален, прежде всего, для тех операторов, которые задействуют в своей деятельности несколько баз данных, в том числе зарубежных. В том случае, когда персональные данные уже обработаны ими на территории России, локализация каждой из таких иностранных баз данных приведет к существенному и необоснованному увеличению затрат.
В связи с этим Минкомсвязь России уточняет, если в отношении определенного набора персональных данных ранее уже были выполнены требования закона, то повторная локализация таких данных не требуется, поскольку цели закона достигнуты. Соответственно, если персональные данные были при сборе записаны в базу данных, расположенную на территории России, то впоследствии они могут вноситься оператором в принадлежащую ему электронную базу данных, находящуюся за пределами нашей страны.
Допускается ли параллельная обработка персональных данных россиян с помощью российских и зарубежных баз данных одновременно?
Минкомсвязь России придерживается мнения, что обработка персональных данных россиян на территории другого государства возможна, но только если:
такая деятельность подпадает под предусмотренные законом случаи – например, для достижения целей, предусмотренных международным договором, для осуществления правосудия, для исполнения полномочий органов государственной власти, для осуществления профессиональной деятельности журналиста и др. (п. 2-4, п. 8 ч. 1 ст. 6, ч. 5 ст. 18 закона о персональных данных);
на территории России находятся базы данных, в которых содержится равный или больший находящегося за пределами нашей страны объем персональных данных. Таким образом, если персональные данные субъекта претерпели какие-либо изменения, то уточнения необходимо внести, прежде всего, в информацию, содержащуюся в российских базах данных, и уже потом, если это необходимо, актуализировать ее за рубежом.
Допустима ли трансграничная передача персональных данных?
Поскольку Закон № 242-ФЗ не затронул положений о трансграничной передаче данных, Минкомсвязь России делает вывод, что она возможна. Персональные данные граждан, первоначально внесенные в базу данных на территории нашей страны, могут, как отметило ведомство, далее передаваться в базы данных, расположенные за пределами России с соблюдением положений о трансграничной передаче данных. Такие «вторичные» базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр. Более того, Минкомсвязь России отдельно подчеркнула, что предоставление удаленного доступа к российским базам данных с территории другого государства не запрещается.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу, обеспечивающим адекватную защиту прав субъектов персональных данных (ст. 3, ст. 12 закона о персональных данных).
Как определить, что персональные данные принадлежат россиянам?
Далеко не все операторы используют конкретизирующую информацию, которая могла бы подтвердить гражданство субъекта (паспортные или иные данные). Поэтому существует риск того, что ограничить круг лиц, чьи персональные данные должны быть локализованы, гражданами России не удастся.
Разрешая этот вопрос, Минкомсвязь России отметила, что поскольку вопрос о порядке определения гражданства субъектов персональных данных в нормативном порядке не урегулирован, операторы могут решать данный вопрос самостоятельно, а если этот вопрос оператором не решен, то применение требований Закона № 242-ФЗ возможно ко всем персональным данным, сбор которых был осуществлен на территории России.
На данный момент все наиболее существенные вопросы, связанные с локализацией персональных данных россиян, действительно нашли свои ответы. «Большая часть того, что было необходимо бизнесу для комфортного ведения своей деятельности, было учтено. Так или иначе я отношу эту работу к маленькой, но победе. Понимание и ясность в исполнении закона сдвинулось в нашу пользу со стороны запретительной и непонятной в сторону, очевидную к исполнению», – отмечает Интернет-омбудсмен Дмитрий Мариничев.
Однако юристы советуют не воспринимать позицию Минкомсвязи России как панацею. «Насколько комментарии ведомства можно считать официальными и подлежащими применению, остается вопросом, потому что так или иначе эти разъяснения не имеют законной силы – силы, равной закону. И со временем толкование закона может меняться. Надеемся, что в ближайшие полгода практика применения закона сложится, и уже можно будет понимать, насколько успешно закон будет функционировать», – рассуждает Дмитрий Зыков.
Надежда, что в будущем разъяснения примут характер закона, есть – работа над толкованием Закона № 242-ФЗ продолжается, и наиболее актуальные проблемы его применения становятся предметом обсуждения Временной комиссии Совета Федерации по развитию информационного общества. «На площадке комиссии мы стараемся найти ответы на все вопросы, чтобы оператору было понятнее, что делать, – делится Людмила Бокова. – И вполне возможно, что в дальнейшем сформулированные выводы найдут свое отражение в нормативном регулировании».