локализация данных что это значит
Локализация персональных данных
Ох, сколько уже было сказано о персональных данных! Интернет предпринимателей особенно взбудоражила история с локализацией. И до сих пор не совсем понятно, как и к кому этот 242 ФЗ применяется. Поэтому мы с коллегами из Б152 решили на примерах все разобрать и предложить варианты хранения данных, подходящие совершенно разным компаниям.
Напомним, что он вступил в силу 1 сентября 2015 года, хотя принят был еще летом 2014-го. О нем много разговоров, но судебной практики пока нет. Поэтому мы обратимся к опыту иностранных коллег.
Суть закона заключается в том, что отныне юридическим лицам, которые работают с персональными данными граждан РФ, запрещено собирать и хранить эти данные за рубежом – они обязаны локализовать базы данных на территории России. Закон этот вносит важные изменения в ФЗ № 152 «О персональных данных», вступивший в силу еще в 2007 году.
По части жестких требований к локализации ПДн мы далеко не одиноки. На территории других стран подобные законы действуют уже не один год.
Вьетнам
В 2013 году во Вьетнаме владельцев нескольких конкретных видов ресурсов (новостных, социальных сетей и онлайн-игр) обязали локализовать копии данных. Для чего это было сделано, нетрудно догадаться. Конечно же, для предоставления их компетентным органам и облегчения рассмотрения претензий пользователей. Запрета на параллельную обработку персональных данных за рубежом власти Вьетнама не ввели.
Китай
Китайцы подошли более сурово к вопросу трансграничной передачи данных, правда, в отношении только одного вида персональной информации. На два года опередив вьетнамцев, Китайский народный банк опубликовал Уведомление банковским институтам о защите персональной финансовой информации. Этот документ запретил кредитным организациям хранить, обрабатывать или анализировать за границей личную финансовую информацию, полученную внутри страны.
Индия
В том же 2011 году Министерство коммуникаций и информационных технологий Индии утвердило Правила по процедурам и практикам. Такое размытое название документа подразумевает под собой вполне конкретные цели, а именно – обеспечение безопасности специальных категорий персональных данных. В Правилах определены эти самые специальные категории, в список включили пароли, финансовую информацию (включая данные о банковском счете или кредитной карте), сведения о здоровье, сексуальной ориентации и биометрические данные.
Для этих категорий ПДн установили требование, согласно которому передача их любой другой компании или физическому лицу, находящемуся в Индии или в другом государстве, возможна только при условии обеспечения последними должного уровня защиты. И возможно все это только в рамках выполнения договора, заключенного с субъектом данных, или в случае получения от него согласия на передачу.
Малайзия
Финальной на сегодня глубиной нашего погружения в историю будет 2010 год, когда закон о защите персональных данных Малайзии ввел запрет на передачу ПДн за пределы страны. Осуществлять трансграничную передачу персональных данных можно лишь при соблюдении определенных условий и в ряде исключительных случаев. Например: согласие субъекта ПДн, необходимость исполнения договора между субъектом и оператором, необходимость исполнения контракта между оператором и третьим лицом, который был заключен по запросу или в интересах субъекта ПДн.
Однако подобные нововведения касаются не только азиатских стран. Запрет на передачу персональных данных за рубеж был введен в Австралии, правда, только в отношении данных о здоровье.
Вот только на фоне ФЗ-242 все вышеупомянутые законы и указания – детские сказки. Наш закон более суров и специфичен.
Больше всего споров возникает вокруг того, что этот закон запрещает хранение ПДн российских граждан за рубежом, но параллельное хранение, на первый взгляд, невозможно отследить. К тому же закон не содержит правовых инструментов, решающих эту проблему.
Минкомсвязи внес ясность в вопрос трансграничной передачи. Согласно их разъяснениям, ПДн граждан, изначально внесенные в базы данных на территории России, могут быть переданы за рубеж в соответствии с положением о трансграничной передаче данных. Также ведомство подтвердило возможность предоставления удаленного доступа к российским БД с территории других государств.
Перейдем к практике.
Судебных решений пока нет, слишком мало времени прошло. Пока мы можем лишь сказать, что изменения коснулись всех компаний, которые работают на территории РФ. Как им быть и что делать? Как строить теперь свою работу?
В первую очередь не надо паниковать. А что делать дальше – советуют наши коллеги из Б-152.
Итак, что делать если:
1. Вы иностранная компания, которая работает на территории РФ, в том числе через отдельное юридическое лицо или филиал.
Вариант 1. Передать данные за рубеж в обезличенном виде.
Это значит, что персональные данные будут находиться на серверах в России, но каждому физическому лицу будет присвоен ID, который и передается за рубеж. Таким образом персональные данные отделяются от субъекта, и их невозможно будет соотнести с конкретным человеком. Такой подход предлагает Microsoft для работы со своими сервисами и Microsoft Azure.
Вариант 2. Трансграничная передача данных с хранением первичной актуальной базы на территории России.
Как мы уже сказали, закон не запрещает обрабатывать данные за границей, но только в том случае, если база данных в РФ является наиболее полной и актуальной. То есть если сбор и хранение первоначально происходит в БД на территории России, то персональные данные можно передавать за рубеж и использовать там. На данный момент это один из самых востребованных способов локализации персональных данных.
И самый простой вариант его реализации – использование буферного сервера в России. В этом случае данные сначала попадают на этот сервер, и только потом – за рубеж. Позиция регуляторов позволяет это сделать, ведь соблюдено главное требование – первичная база данных находится в России.
Напомним, что базой данных, с точки зрения Минкомсвязи и Роскомнадзора, считаются в том числе бумажные базы. Например, это может быть шкаф с личными делами сотрудников в виде картотеки или таблица в excel.
2. Вы российская компания
Самый очевидный способ – перенести базы персональных данных, их обработку, сбор и хранение на территорию РФ, используя российские дата-центры.
Однако варианты с трансграничной передачей и обезличиванием вам тоже подойдут.
За нарушение норм локализации отдельной ответственности не предусмотрено. А значит, действует ст. 13.11 КоАП РФ, устанавливающая санкции за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных. Штраф за это совсем небольшой, для юридических лиц он составляет не более 10 тыс. руб.
Но это не единственная мера воздействия. Альтернативой является возможность внесения доменных имен и сетевых адресов в реестр нарушителей прав субъектов персональных данных. Что, пожалуй, более существенно, нежели штраф.
Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса
Вот уже более девяти месяцев действует так называемый закон о локализации персональных данных (Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»; далее – Закон № 242-ФЗ). Он обязывает операторов обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных россиян с использованием баз данных, находящихся на территории России. Первоначально требования закона были недостаточно точно конкретизированы, в результате чего у представителей бизнеса возникло множество вопросов. Однако большую их часть удалось разрешить еще до вступления Закона № 242-ФЗ в силу. Оставалось ждать, как принятый закон будет реализовываться на практике. И теперь, чуть меньше года спустя, можно выделить ряд наиболее распространенных проблем, с которыми столкнулся бизнес в процессе его применения.
Идентификация баз данных
До 1 сентября 2015 года компании уведомляли Роскомнадзор о категории персональных данных, перечне действий с ними, целях их обработки, обеспечении безопасности и др. С указанной даты у них появилась еще одна обязанность – сообщать о месте нахождения базы данных информации, содержащей персональные данные россиян (п. 10.1 ч. 3 ст. 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Все эти сведения должны быть отражены в уведомлении, подаваемом в Роскомнадзор.
Таким образом, теперь любой оператор персональных данных должен знать, какие именно информационные системы, содержащие базы данных, он использует и где они расположены.
 |
Наталья Иващенко, к.ю.н., руководитель межотраслевой группы юридической компании «Пепеляев Групп» :
«До вступления в силу законодательного требования о локализации персональных данных Роскомнадзор на практике ограничивался документальной проверкой соблюдения требований Закона № 242-ФЗ. Поскольку требований к месту расположения персональных данных не предъявлялось, то компании сообщали о тех персональных данных, которые содержались во внутренних информационных системах, которые для них были очевидны (например, база данных сотрудников компании). После ужесточения регулирования компании начали задумываться о том, какие в принципе базы данных они используют, и в каком месте они расположены. Законодательные изменения послужили драйвером для инвентаризации используемых баз данных».
Чтобы идентифицировать базу данных для ее переноса на российские серверы, следует провести аудит ее содержимого. Если обнаружено наличие персональных данных россиян: ФИО, дата рождения, паспортные данные и т. д., эту информацию необходимо локализовать. При этом, как отмечает руководитель группы разработки IT-компании «AT Consulting» Михаил Алексеев, перенести базу данных можно как полностью, так и частично (когда речь идет о переносе не всей информации, а только находящихся в этой базе персональных данных). «Первый вариант наиболее прост и удобен в реализации, а также более экономически оправдан. Со вторым могут возникнуть технические проблемы, поскольку приложениям в этом случае придется работать сразу с двумя базами данных, – добавляет он. – В документах локализуемая база данных должна быть однозначно определена своим IP, портом и именем».
Если оператор не уведомит Роскомнадзор о тех базах данных, которые он использует при обработке персональных данных россиян, это может стать основанием для проверки со стороны регулятора. При этом, уточняет Наталья Иващенко, Роскомнадзор может не ограничиться лишь документальной проверкой, а провести опрос сотрудников, а на его основе осуществить проверку с использованием технических средств и выявить «незаявленные» базы данных. Это может повлечь за собой административную ответственность юридического лица в виде штрафа в размере до 10 тыс. руб. (ст. 13.11 КоАП РФ). При этом компания не освобождается от обязанности устранить выявленное нарушение.
Для соблюдения требований закона Наталья Иващенко рекомендует предпринять следующие шаги:
Использование персональных данных материнской компанией за рубежом
Многие иностранные холдинги сталкиваются с проблемой локализации, когда встает вопрос об использовании персональных данных россиян головной организацией, находящейся за пределами России. В данном случае важно понимать, какие именно действия осуществляются с персональными данными за рубежом. Как уточняет руководитель группы правовой защиты информации компании «Пепеляев Групп» Дмитрий Зыков, лишь «первоначальный» сбор персональных российских граждан за границей является нарушением закона (ч. 5 ст. 18 закона о персональных данных). Таким образом, соответствующая информация при этом обязательно должна быть локализована.
А вот персональные данные россиян, собранные представительством или филиалом этой организации в России, а потом переданные зарубежной материнской компании, вполне могут использоваться для дальнейшей обработки, хранения и т. д.
Передача персональных данных аутсорсинговой компании
В последнее время услуги аутсорсинга становятся все более востребованными. Однако передавая провайдеру определенные функции, ему нередко дают и доступ к персональным данным. Переходит ли при этом к аутсорсеру обязанность по их локализации? Ведь, по общему правилу, ответственным лицом за соблюдение требований о защите персональных данных он не является. В этом случае также важно определить, каким образом будет использоваться полученная информация.
Так, если компания-оператор персональных данных предоставляет аутсорсинговой организации только доступ к своим базам данных для выполнения определенных функций по договору (например, для осуществления рекламных рассылок), то в этом случае, подчеркивает Дмитрий Зыков, ответственность по защите персональных данных остается на самом заказчике. При этом он должен получить согласие субъекта персональных данных на использование сведений о нем третьими лицами по поручению.
Если же компания передает свою базу данных организации-аутсорсеру (например, в целях оказания бухгалтерских услуг, ведения кадрового делопроизводства и др.), в договоре необходимо отдельно прописать, что провайдер аутсорсинговых услуг принимает на себя обязательство по применению мер защиты полученных персональных данных и обеспечению конфиденциальности информации. В таком случае аутсорсинговая организация становится оператором персональных данных, который обязан, в том числе, соблюдать требования закона о локализации соответствующих данных.
Локализация обработки персональных данных граждан России: за что хотят ввести штрафы до 18 млн рублей?
В данной заметке рассказывается, (1) в чем состоит требование о локализации, (2) в каких случаях оно применяется к иностранным компаниям без физического присутствия в России, (3) возможна ли передача данных, подлежащих локализации, в зарубежные страны и (4) каковы реальные риски компаний, нарушающих требование о локализации.
В соответствии с требованием о локализации при сборе персональных данных, в том числе с использованием интернета, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан России с использованием баз данных, находящихся на территории России.
Требование о локализации не применяется, если обработка персональных данных:
Для правильного понимания требования о локализации нужно знать значение следующих терминов:
Требование о локализации применяется к иностранным компаниям без физического присутствия в России, если они осуществляют деятельность, направленную на территорию России. Например, интернет-сайт может считаться направленным на территорию России, если:
Требование о локализации не препятствует передаче персональных данных в зарубежные страны. Персональные данные гражданина России, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней, могут далее передаваться в базы данных, расположенные за пределами России, администрируемые иными лицами. Главное, чтобы при такой передаче соблюдались общие требования к трансграничной передаче персональных данных (например, для передачи данных в США часто необходимо письменное согласие субъекта).
Реальные риски компаний, нарушающих требования о локализации, лучше всего видны на примерах из судебной практики:
Таким образом, требование о локализации возлагает существенные обязательства на российские и иностранные зарубежные компании, которые обрабатывают персональные данные граждан России. Законопроект о высоких штрафах за нарушение требования о локализации демонстрирует интерес российского государства к этой теме. В свете сказанного компаниям, которые обрабатывают персональные данные российских граждан, можно рекомендовать проверить соблюдение ими требования о локализации и при необходимости принять дополнительные меры для его соблюдения.
Персональная ответственность: как международной компании локализовать данные российских клиентов
Управляющий директор INBRIEF CRM Максим Алешин рассказывает, почему глобальные CRM-решения могут не работать в России, и как им можно помочь
В четверг, 21 ноября, Госдума в третьем чтении приняла законопроект, увеличивающий суммы штрафов за «невыполнение оператором при сборе персональных данных граждан Российской Федерации обязанности по обеспечению их хранения с использованием баз данных, находящихся на территории Российской Федерации». Сумма выплат для юрлиц увеличится до 18 млн руб. Несмотря на то, что требование о хранении персональных данных на территории России появилось еще в 2015 году, реальные и массовые проверки международных компаний начались не так давно.
Только за этот год два наших международных клиента попали под аудит Роскомнадзора. Но в отсутствие четко обозначенной административной ответственности за выявленные нарушения эффективность этих проверок, вероятно, оставляла желать лучшего. Теперь эта ситуация изменилась и у компаний, не перестроивших систему хранения персональных данных есть реальный риск получить многомиллионный штраф. Каждый второй запрос, приходивший в CRM-агентство INBRIEF в последние годы, так или иначе касался этой темы.
В подавляющем большинстве случаев с этой проблемой сталкиваются международные компании, недавно вышедшие на российский рынок или решившие поставить процесс работы с конечным потребителем инструментами CRM-маркетинга. Существует несколько типовых кейсов, с которыми приходят такие клиенты:
Какие требования необходимо соблюдать
Основные юридические требования по сбору и обработке персональных данных и их трансграничной передаче изложены в законе «О персональных данных» и в ФЗ № 242, который вносит в него некоторые дополнения. Основные моменты, на которые компании следует обратить особое внимание:
Варианты локализации данных
Все это значит, что глобальные корпорации больше не могут использовать ранее разработанные глобальные решения для сбора и обработки данных в России, и вынуждены искать другие пути.
Путь 1: самостоятельно подать заявку на регистрацию в реестре операторов Роскомнадзора
Для этого необходимо соблюдение требований, которые предъявляет к операторам Роскомнадзор, в том числе:
Путь 2: обратиться в специализированное CRM-агентство
Речь идет об аутсорсинге обработки персональных данных сторонним оператором. Мы в INBRIEF часто сталкиваемся с такими задачами и разработали типовые решения для международных компаний, планирующих адаптировать имеющиеся IT-ресурсы (сайт, интернет-магазин) для России.
И тут тоже есть два варианта.
Вариант А. Выделение и локализация целого бизнес-процесса сбора и обработки данных.
Как правило, речь идет о ресурсах, в которых бизнес-процесс сбора и обработки ПД не завязан на другие и может быть легко выделен — корпоративные сайты с подпиской, продуктовые сайты с регистрацией продукта, несложные варианты программ лояльности. В этом случае хранение и обработка данных происходят на нашей платформе. Основная задача — обеспечить бесшовную их передачу их с глобального ресурса. Как правило, на сайте существует набор форм (регистрация клиента, регистрация продукта, подписка на новости), в которые вводятся клиентские данные. Необходимо перенаправить эти данные на российский сервер. Это можно сделать двумя путями.
В первом случае мы предоставляем REST API и разработчики сайта переключают на него регистрацию/сбор данных, авторизацию и функционал личного кабинета. По такому принципу организована регистрация в российском клубе лояльности одного из международных брендов детского питания с сайта, поддержка которого осуществляется для всех стран на глобальном уровне.
Другой вариант — более глубокая локализация, касающаяся самих форм сбора данных. В этом случае, даже сами формы разрабатываются нами и их хостинг осуществляется в России. Это снимает любые возможные вопросы по точке возникновения данных. Информация с форм также передается на нашу платформу. Причем такие формы могут быть встроены в глобальный сайт с помощью iframe (как это организовано на сайте нашего немецкого клиента BRITА) либо вообще располагаться на отдельной странице на домене третьего уровня, ссылка на которую находится на глобальном сайте. Этот способ идеален с юридической точки зрения. Удачный пример — организация сбора данных на сайте нашего клиента Stanley Black & Decker: на глобальном сайте ru.dewalt.global располагаются кнопки «ВХОД» и «МОЙ DEWALT», ведущие на локальную форму и личный кабинет по адресу my.dewalt.ru.
Вариант Б. «Перехват» данных
Такой вариант идеально подходит для российской версии больших интернет-магазинов, работающих по всему миру (и хранящих данные на глобальных серверах). В этом случае процесс хранения и обработки персональных данных уже невозможно изолировать от других (например, заказа товара или оплаты) и любые вмешательства в бэкенд интернет-магазина должны быть минимизированы. Мы вынуждены использовать зарубежные базы для хранения персональных данных за рубежом, но можем исполнить букву закона другим способом — обеспечив «перехват» из регистрационных и адресных форм, в которые вводятся персональные данные российских клиентов. То есть достаточно обеспечить сохранение критичных данных на территории России ДО того, как они попадут в глобальную базу интернет-магазина. Мы так же предоставляем REST API для этого. Данные из форм сначала записываются к нам в базу и если это произошло успешно, мы даем разрешение продублировать эти данные в базу интернет-магазина.
Роскомнадзор обязал компании локализовать данные пользователей РФ. Кого касается требование и как избежать штрафов?
Руководитель отдела по защите персональных данных компании «Б-152» CIPP/E
Максим Зиновьев, руководитель отдела по защите персональных данных компании «Б-152» CIPP/E, рассказал о ситуации с локализацией персональных данных на территории Российской Федерации и дал рекомендации компаниям, которые используют иностранный софт в своей работе.
«Б-152» — компания, которая специализируется на защите персональных данных и приведением в соответствие ФЗ 152, GDPR и иным законам, регулирующим соблюдение ПДн в локальных юрисдикциях.
Тест: узнай, сможешь ли ты грамотно выйти на рынок в другой стране
До 1 июля 2021 года Роскомнадзор обязал крупные международные компании, российские организации, социальные сети и веб-сервисы локализовать персональные данные пользователей РФ, однако требование федеральной службы некоторыми компаниями не было выполнено.
«В настоящее время более 600 иностранных компаний перенесли базы данных пользователей на территорию Российской Федерации», — отмечает Милош Вагнер, заместитель главы Роскомнадзора, курирующий вопросы по защите прав субъектов персональных данных. Зарубежные интернет-ресурсы в соответствии с российским законодательством обязаны хранить персональные данные граждан РФ только на территории России.
Данное требование прописано в ФЗ № 152 «О персональных данных». За их нарушение предусмотрен административный штраф для физических лиц — от 30 тыс. до 50 тыс. рублей, для должностных лиц — от 100 тыс. до 200 тыс. рублей, для юридических лиц — от 1 млн до 6 млн рублей, за повторное нарушение для юридических лиц — от 6 млн до 18 млн рублей.
Суммы штрафов, введенные регулятором, должны повлиять на ситуацию и обязать иностранные интернет-сервисы перенести базы данных с информацией о гражданах РФ на территорию России. Однако до сих пор непонятно, каким образом Роскомнадзор будет требовать оплаты российских штрафов иностранными предприятиями, у которых нет в нашей стране ни дочерних организаций, ни филиалов, ни представительств.
На какие компании распространяется требование о локализации?
Данные требования в первую очередь затронут глобальный бизнес. Транснациональные корпорации чаще всего размещают свое внутреннее программное обеспечение, а именно интрасети, корпоративные бухгалтерские системы, HR-системы, за пределами Российской Федерации. Это касается и иностранных веб-сервисов, которые решили не локализовывать системы в РФ.
Также закон о персональных данных повлияет на функционирование компаний, занимающихся разработкой веб-сервисов, которые изначально приняли решение размещать свои системы в юрисдикциях других государств, работая при этом с российской аудиторией.
Минкомсвязи выделил следующие факторы, определяющие направленность деятельности на территорию Российской Федерации:
Что будет с компаниями и их сервисами, не выполнившими требования законодательства РФ в области персональных данных?
Помимо штрафов, суммы которых указаны выше, Роскомнадзор может заблокировать сайт или ограничить обработку персональных данных в нелокализованных базах. В данный момент сотрудники регулятора проверяют локализацию сайта или интернет-сервиса с помощью выездных проверок, в процессе которых устанавливается реальное местонахождение базы данных, содержащей персональную информацию о гражданах РФ. Также для осуществления проверки по определению местонахождения базы данных используются внешние веб-сервисы, не принадлежащие Роскомнадзору.
Одним из первых известных примеров блокировки интернет-сервиса на территории России является приостановление работы соцсети деловых контактов LinkedIn. В связи с нарушением требования регулятора о хранении и обработке информации о пользователях, в том числе полученную через интернет-ресурсы, на территории Российской Федерации ИТ-продукт Microsoft был внесен Роскомнадзором в реестр нарушителей закона о персональных данных, доступ к сайту на территории РФ был заблокирован. Несмотря на долгие переговоры представителей международной компании и Роскомнадзора, доступ к сайту до сих пор заблокирован.
В настоящее время установленные суммы штрафов и ответственность в виде блокировки несут действительно деструктивный характер для бизнеса. Исходя из этого, организациям, которые используют информационные системы, находящиеся за пределами территории Российской Федерации, для хранения и обработки персональной информации о пользователях, следует задуматься об исполнении требований Роскомнадзора о локализации интернет-сервисов.
Проблемы, возникшие у российских компаний, использующих иностранные сервисы
Иностранные облачные и интернет-сервисы давно и активно используются российскими компаниями. Корпоративная почта, CRM, ERP и HR-системы, бухгалтерские системы, разрабатываемыми иностранными ИТ-гигантами, удобны в использовании, и пользователи отдают предпочтение именно зарубежным решениям для бизнеса нежели отечественным.
Но с появлением правовых нововведений в сфере обработки и хранения персональных данных некоторым российским компаниям, возможно, придется отказаться от использования иностранных сервисов. Однако в Российской Федерации отсутствуют аналоги зарубежных сервисов и систем, помогающих вести бизнес. В России нет ни качественного отечественного маркетингового софта, ни систем рассылок (таких как Unisender или Mailchimp), ни ERP-систем.
В связи с отсутствием отечественных аналогов не понятно, как делать массовую рассылку клиентам, как осуществлять взаимодействие между департаментами или собирать информацию в ERP-системах, которая имеет обширный функционал. Если в какой-то момент РКН решит заблокировать или ограничить доступ к иностранным сервисам и системам, предоставляющих подобные услуги, то работа многих компаний остановится.
Рассматривая переход на новую платформу, база данных которой располагается на территории России, стоит отметить, что большое количество данных при переходе может быть бесследно утеряно: невозможно одномоментно настроить функционал системы под конкретную задачу, и долгое время придется адаптировать новый рабочий сервис под бизнес-процесс.
Как выстраивать дальнейшую работу бизнеса?
Следует провести анализ информации по каждой системе (адреса баз данных, состав обрабатываемых данных, возможность изменения/добавления новых данных в систему) и составить карту потоков данных.
Если локализация отсутствует у внутренних информационных систем, к которым относятся кадровые и бухгалтерские системы, ERP и корпоративная электронная почта, то тут есть вероятность получения штрафа. Возможно, придется приостановить обработку персональной информации в них. Нарушения во внутренних системах можно выявить только в ходе очной проверки.
Внешние информационные системы в виде веб-сайтов могут заблокировать за невыполнение требований о локализации. На основе анализа сайта регулятор проверяет выполнение требований по хранению и обработке персональных данных: определить месторасположение интернет-сервиса очень просто. Меры систематического наблюдения Роскомнадзором за сайтами в настоящее время являются неотъемлемым видом контроля за информационными системами.
Не следует придерживаться ошибочного мнения, что требования о локализации затрагивают только предприятия, входящие в международные группы компаний, или филиалы иностранных корпораций. Правовые новеллы также распространяются на российские компании, использующие в процессе своей работы информационные системы для хранения и обработки персональных данных.
В юридической плоскости существует более девяти способов исполнения данных требований: например, обосновать, что данные не являются персональными, указать на то, что статус оператора — у иностранного юридического лица, переложить ответственности на подрядчика-провайдера информационной системы и так далее; в сфере информационных технологий — технологическая локализация; в аспекте бизнес-рисков можно принять риски и ничего не делать или вовсе отказаться от использования информационной системы.
Например, компания пользуется сервером для обработки информации о клиентах, принадлежащим международной корпорации. Международная компания еще не локализовала свои серверы на территории России. И чтобы продолжить пользоваться им первоочередно, нужно обрабатывать и обезличивать информацию о пользователях на серверах, расположенных на территории РФ, а затем отправлять на сервер, принадлежащей иностранной компании.
Однако к новым затратам на содержание дублирующих баз данных готов не каждый бизнес. И поэтому ряд российский организаций в связи с оптимизацией данных расходов будет вынужден отказаться от использования нелокализованных сервисов и искать решение на российском ИТ-рынке. Переход на отечественное ПО, интернет- и облачные сервисы может вызвать большие трудности для предпринимателей — им придется менять привычный алгоритм работы.
Таким образом, иностранным компаниям, работающим на российскую аудиторию, и отечественным компаниям, использующим в процессе работы иностранный софт, необходимо выполнить в ближайшем будущем все законодательные требования по локализации персональных данных граждан Российской Федерации. Основные рекомендации, что можно предпринять предпринимателям, чтобы не получить административный штраф: