Открыть сервис

Локализация персональных данных

Локализация персональных данных — это правовое и техническое требование, обязывающее операторов персональных данных (организации или физических лиц) обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан с использованием баз данных, находящихся на территории страны, гражданами которой эти данные являются. В контексте Российской Федерации локализация означает, что при сборе персональных данных россиян их обработка должна осуществляться с использованием серверов, физически расположенных на территории России.

История и правовое регулирование

Международный контекст

Требования к локализации персональных данных не являются исключительно российской практикой. Подобные нормы существуют в законодательстве ряда стран, включая Китай (Закон о кибербезопасности КНР), Индию (Закон о защите персональных данных, 2019 год), Бразилию (Закон о защите персональных данных, LGPD), а также в странах Европейского союза (Общий регламент по защите данных, GDPR), где, однако, локализация не является обязательной, но передача данных в третьи страны возможна только при обеспечении «адекватного уровня защиты».

Россия

В Российской Федерации основным нормативным актом, регулирующим локализацию, является Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Поправки, вводящие требование об обязательном использовании баз данных на территории РФ, были внесены Федеральным законом от 21 июля 2014 года № 242-ФЗ и вступили в силу 1 сентября 2015 года.

Согласно части 5 статьи 18 закона № 152-ФЗ, оператор при сборе персональных данных граждан РФ обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение с использованием баз данных, находящихся на территории Российской Федерации. Исключения составляют случаи, прямо предусмотренные федеральными законами.

Контроль за соблюдением требований осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Ведомство ведет реестр нарушителей прав субъектов персональных данных и имеет право блокировать доступ к информационным ресурсам, не выполняющим требования локализации.

Основные положения закона

Субъекты и объекты регулирования

Требование распространяется на всех операторов — юридических и физических лиц, осуществляющих обработку персональных данных граждан РФ. Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных): фамилия, имя, отчество, дата и место рождения, адрес, паспортные данные, сведения об образовании, профессии, доходах, номера телефонов, адреса электронной почты, IP-адреса, cookie-файлы, данные геолокации и т.д.

Обязанности оператора

Оператор обязан:

Исключения

Закон предусматривает исключения, когда требование локализации не применяется. К ним относятся случаи:

Техническая реализация

Архитектура решений

Для выполнения требований локализации компании применяют несколько архитектурных подходов:

  1. Размещение серверов на территории РФ: Компании арендуют стойки или выделенные серверы в российских дата-центрах (например, DataLine, Selectel, Ростелеком-ЦОД). Все первичные записи и операции с данными граждан РФ выполняются на этих серверах.
  2. Гибридные облачные решения: Часть инфраструктуры (для данных граждан РФ) размещается в российском облаке, а остальная (для данных иностранных граждан или обезличенных данных) — в зарубежном.
  3. Синхронизация данных: Данные, собранные на российских серверах, могут дублироваться (реплицироваться) на зарубежные серверы для резервного копирования или аналитики, но первичная запись и основные операции должны оставаться в РФ.

Сложности

Применение и примеры

Крупные IT-компании

Требование локализации затронуло многие международные компании, работающие в России. Например:

Российские компании

Отечественные компании, такие как «Яндекс», «Сбер», «VK», «Ozon», «Wildberries», изначально обрабатывали данные в РФ, поэтому для них требование не повлекло кардинальных изменений.

Ответственность за нарушение

Административная ответственность

За неисполнение требования о локализации предусмотрена административная ответственность по статье 13.11 Кодекса об административных правонарушениях РФ (КоАП РФ). Санкции для юридических лиц составляют:

Кроме того, Роскомнадзор может принять меры по ограничению доступа к информационному ресурсу нарушителя на территории РФ. Например, в 2021–2022 годах были замедлены или заблокированы сервисы Twitter (заблокирован в РФ) и некоторых других платформ.

Уголовная ответственность

В отдельных случаях, если нарушение привело к крупному ущербу или тяжким последствиям, может наступать уголовная ответственность (например, по статье 137 УК РФ — нарушение неприкосновенности частной жизни).

Критика и обсуждение

Аргументы сторонников

Аргументы критиков

Международная практика

Европейский союз

GDPR не требует обязательной локализации, но устанавливает строгие правила трансграничной передачи данных. Передача в страны, не обеспечивающие «адекватный уровень защиты», возможна только при наличии специальных механизмов (например, Standard Contractual Clauses или Binding Corporate Rules).

Китай

Закон о кибербезопасности КНР (2017 год) и Закон о защите персональных данных (2021 год) обязывают операторов хранить критически важные данные и персональные данные граждан Китая на серверах, расположенных в стране. Передача за рубеж возможна только после прохождения оценки безопасности.

Индия

Закон о защите персональных данных (2019 год, проект) также вводит требование о хранении «чувствительных» персональных данных на территории Индии, с возможностью трансграничной передачи только при соблюдении определенных условий.

Перспективы развития

В условиях цифровой трансформации и роста значимости данных требования локализации, вероятно, будут ужесточаться. В России обсуждается расширение перечня данных, подлежащих обязательному хранению на территории страны, а также введение дополнительных мер контроля (например, обязательное использование отечественных криптографических алгоритмов). Одновременно развиваются технологии, позволяющие обеспечить соответствие требованиям без существенного ущерба для бизнеса (например, распределенные реестры, гомоморфное шифрование).

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →