Хотели бы сообщить Вам, что 2 декабря 2019 года Президент подписал законопроект, предусматривающий внесение изменений в Кодекс об административных правонарушениях РФ («Закон»). В частности, Законом вводятся новые штрафы за несоблюдение так называемого требования локализации. Размер соответствующих штрафов может достигать 18,000,000 рублей (примерно 255,000 Евро, 282,000 долларов США). В сравнении с другими наказаниями, предусмотренными российским законодательством о защите данных, такие штрафы чрезвычайно высоки.
Закон предусматривает вступление в силу с момента официального опубликования, которое произошло также 2 декабря.
Требование локализации персональных данных вступило в силу 1 сентября 2015 года. Согласно данному правилу определенные действия с персональными данными граждан РФ должны осуществляться с использованием баз данных, находящихся на территории РФ. Компании, осуществляющие деятельность в России, прикладывали значительные усилия для выполнения данного требования. При этом блокировка веб-сайта или приложения оставалась единственным способом воздействия на лиц, не выполнивших требование локализации. Самым известным примером является случай LinkedIn, который все еще недоступен для российских пользователей.
Роскомнадзор (уполномоченный орган по защите прав субъектов персональных данных) нашел несколько обходных путей, позволяющих восполнить этот законодательный пробел и накладывать штрафы за фактическое несоблюдение требования локализации. В частности, он запрашивал информацию о местонахождении баз данных или предписывал устранить выявленное нарушение требования локализации (например, в случае с Facebook и Twitter).
Роскомнадзор не был удовлетворен таким положением дел и настаивал на введении новых правоприменительных механизмов.
В соответствии с Законом размер штрафа для компаний может составлять до 6,000,000 рублей (примерно 85,000 Евро, 94,200 долларов США) за первое нарушение и до 18,000,000 рублей (примерно 255,000 евро, 282,000 долларов США) за повторное нарушение.
Такие высокие штрафы могут оказать значительное влияние на практику применения законодательства о персональных данных в России. Если ранее регуляторные риски при несоблюдении требования локализации для компаний, осуществляющих обработку персональных данных российских граждан, были достаточно низкими, то теперь они могут стать более важной проблемой в контексте защиты данных. Требование локализации все еще остается серьезным вызовом, требующим больших затрат (особенно для компаний, чей бизнес ориентирован на работу с данными), однако теперь его выполнение может стать необходимой мерой для компаний, планирующих развивать свой бизнес на российском рынке.
Надеемся, предоставленная информация окажется для Вас полезной. Если Вы или кто-то из Ваших коллег хотели бы получать наши информационные письма по почте, пожалуйста, заполните форму «Подписаться на рассылки» внизу страницы.
Практики: Защита данных и кибербезопасность
Примечание: Обращаем Ваше внимание на то, что вся информация была взята из открытых источников. Автор данного письма не несет ответственность за последствия, возникшие в результате принятия решений на основе данной информации.
Надеемся, предоставленная информация окажется для Вас полезной.