Требование локализации баз данных
Требование локализации баз данных — это норма закона, обязывающая операторов персональных данных при сборе, записи, систематизации, накоплении, хранении, уточнении (обновлении, изменении), извлечении персональных данных граждан Российской Федерации использовать базы данных, расположенные на территории Российской Федерации. Данное требование закреплено в Федеральном законе от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и вступило в силу с 1 сентября 2015 года.
История и предпосылки
Принятие закона
Идея локализации баз данных возникла в контексте глобального развития интернета и трансграничной передачи данных. В начале 2010-х годов в России активно обсуждались вопросы защиты персональных данных граждан от несанкционированного доступа и использования иностранными государствами. В 2014 году был принят Федеральный закон № 242-ФЗ, который внёс изменения в Закон о персональных данных, введя требование об обязательном использовании баз данных, находящихся на территории РФ, для обработки персональных данных российских граждан. Закон вступил в силу 1 сентября 2015 года.
Цели введения
Основными целями введения требования локализации баз данных являются:
- Обеспечение суверенитета данных: Предотвращение утечки персональных данных граждан РФ за рубеж, где они могут быть подвергнуты обработке без контроля со стороны российских властей.
- Повышение уровня защиты данных: Обеспечение возможности для российских регуляторов (Роскомнадзора) контролировать соблюдение законодательства о персональных данных и применять меры ответственности.
- Создание равных условий для бизнеса: Установление единых правил для всех операторов, включая иностранные компании, работающие с данными граждан РФ.
Правовая основа
Федеральный закон № 152-ФЗ
Основным нормативным актом, регулирующим локализацию баз данных, является Федеральный закон «О персональных данных». Согласно части 5 статьи 18, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Требования к обработке
Закон не требует, чтобы все операции с персональными данными (например, их передача или удаление) проводились исключительно в РФ. Достаточно, чтобы база данных, в которой осуществляется первичная запись и хранение, находилась на территории России. После этого данные могут обрабатываться и за рубежом, при условии соблюдения требований о трансграничной передаче данных.
Ответственность за нарушение
За невыполнение требования локализации баз данных предусмотрена административная ответственность по статье 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ). Штрафы для юридических лиц составляют:
- от 30 000 до 50 000 рублей — за первичное нарушение;
- от 300 000 до 500 000 рублей — за повторное нарушение.
Кроме того, Роскомнадзор может инициировать блокировку сайтов, нарушающих требование локализации, как это происходило в случае с социальной сетью LinkedIn (организация признана нежелательной в РФ) и другими ресурсами.
Механизм реализации
Обязанности оператора
Оператор персональных данных (юридическое или физическое лицо, организующее и осуществляющее обработку персональных данных) должен:
- Определить, какие базы данных используются для обработки персональных данных граждан РФ.
- Обеспечить размещение этих баз данных на серверах, физически расположенных на территории РФ.
- Уведомить Роскомнадзор о намерении обрабатывать персональные данные, указав местонахождение базы данных.
Исключения
Требование локализации не распространяется на случаи, когда обработка персональных данных необходима для:
- исполнения международных договоров РФ;
- осуществления правосудия;
- выполнения полномочий государственных органов;
- профессиональной деятельности журналиста или в целях научных, литературных или иных творческих целей (при условии, что это не нарушает права субъектов персональных данных).
Практика применения
Крупные компании и платформы
С 2015 года многие международные компании, работающие в России, выполнили требование локализации. Например, в 2016 году компания Apple разместила серверы с данными российских пользователей в РФ. В 2020 году социальная сеть TikTok (признана нежелательной в РФ) также локализовала данные. В 2021 году компания Meta (организация признана экстремистской и запрещена в РФ) была оштрафована за отказ локализовать данные, а её деятельность в России была ограничена.
Проблемы и споры
- Техническая сложность: Для некоторых компаний, особенно небольших, перенос данных на российские серверы может быть дорогостоящим и технически сложным.
- Юридическая неопределённость: В законе не всегда чётко определено, какие именно данные должны быть локализованы (например, метаданные, логи).
- Международные конфликты: Требование локализации иногда рассматривается как барьер для международной торговли и может противоречить принципам Всемирной торговой организации (ВТО).
Критика
Аргументы противников
- Ограничение свободы информации: Критики утверждают, что требование локализации может быть использовано для усиления государственного контроля над интернетом и ограничения доступа к информации.
- Экономические издержки: Компании вынуждены нести дополнительные расходы на аренду или покупку серверов в РФ, что может снижать их конкурентоспособность.
- Неэффективность: Некоторые эксперты считают, что локализация не гарантирует полную защиту данных, так как утечки могут происходить и внутри страны.
Аргументы сторонников
- Защита прав граждан: Локализация позволяет российским властям эффективнее реагировать на нарушения и защищать персональные данные.
- Суверенитет: Закон рассматривается как часть политики по обеспечению цифрового суверенитета России.
- Создание рабочих мест: Размещение серверов в РФ способствует развитию IT-инфраструктуры и созданию рабочих мест.
Сравнение с международной практикой
Страны с аналогичными требованиями
Требование локализации данных существует не только в России. Подобные законы приняты в:
- Китае: Закон о кибербезопасности (2017) требует, чтобы критически важные данные хранились в Китае.
- Индии: Закон о защите персональных данных (2019) предусматривает обязательную локализацию для определённых категорий данных.
- Бразилии: Закон о защите персональных данных (LGPD, 2020) допускает локализацию, но не требует её в обязательном порядке.
Страны без обязательной локализации
В странах Европейского союза (ЕС) и США локализация данных не является обязательной. В ЕС действует Общий регламент по защите данных (GDPR), который допускает трансграничную передачу данных при условии обеспечения адекватного уровня защиты.
Перспективы развития
Изменения в законодательстве
В 2022–2023 годах в России обсуждались поправки к Закону о персональных данных, которые могли бы ужесточить требования к локализации, включая обязательное хранение всех данных (включая метаданные) на территории РФ. Однако окончательные решения пока не приняты.
Влияние на IT-сферу
Требование локализации стимулирует развитие российского рынка облачных услуг и центров обработки данных (ЦОД). Крупные российские компании, такие как «Яндекс», «Сбер» и «Ростелеком», активно предлагают услуги по размещению данных на своих серверах.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
- Кодекс Российской Федерации об административных правонарушениях (статья 13.11).
- Разъяснения Роскомнадзора по вопросам локализации баз данных.
- Материалы конференций и публикации экспертов в области защиты персональных данных.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →