Закон о локализации данных
Закон о локализации данных (также известный как «закон о персональных данных» или «закон 242-ФЗ») — это совокупность нормативных правовых актов Российской Федерации, устанавливающих обязательное требование к операторам персональных данных обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан РФ с использованием баз данных, расположенных на территории Российской Федерации. Основным законом, регулирующим эту сферу, является Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных», а ключевые поправки, вводящие требование локализации, были внесены Федеральным законом от 21 июля 2014 года № 242-ФЗ (вступил в силу 1 сентября 2015 года).
История принятия
Предпосылкой к появлению закона о локализации данных стало стремительное развитие интернет-технологий и трансграничной передачи персональных данных в начале 2010-х годов. Российские законодатели, обеспокоенные вопросами национальной безопасности и защиты прав граждан на неприкосновенность частной жизни, инициировали ужесточение контроля за обработкой персональных данных. В 2014 году, на фоне обострения геополитической обстановки и принятия «патриотического пакета» законов, был разработан и принят законопроект № 242-ФЗ. Его официальной целью называлось обеспечение гарантий защиты прав субъектов персональных данных при их обработке, в том числе за рубежом, а также создание условий для эффективного контроля со стороны уполномоченного органа — Роскомнадзора.
Закон вступил в силу 1 сентября 2015 года. Первоначально он вызвал широкий резонанс среди международных IT-компаний, работающих на российском рынке, и потребовал от них значительных организационных и технических усилий по переносу или дублированию серверного оборудования на территорию РФ.
Основные положения
Требования к операторам
Согласно части 5 статьи 18 Федерального закона № 152-ФЗ, оператор (юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных) обязан при сборе персональных данных, в том числе посредством сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Исключение составляют случаи, предусмотренные федеральными законами.
Исключения из правила
Закон предусматривает ряд исключений, когда требование локализации не применяется. К ним относятся:
- Обработка персональных данных в целях, не связанных со сбором через интернет (например, обработка данных сотрудников в рамках трудовых отношений, если она не осуществляется через глобальную сеть).
- Обработка данных для исполнения международных договоров РФ.
- Обработка данных для осуществления правосудия.
- Обработка данных для государственной регистрации актов гражданского состояния.
- Обработка данных для обеспечения обороны страны и безопасности государства.
Трансграничная передача
Закон не запрещает трансграничную передачу персональных данных (передачу за пределы РФ), но устанавливает для неё определённые условия. После выполнения требования о первичной записи и хранении данных в российских базах, оператор может передавать данные за рубеж, если страна-получатель обеспечивает адекватную защиту прав субъектов персональных данных (перечень таких стран утверждён Роскомнадзором). Для стран, не входящих в этот перечень, требуется получение согласия субъекта данных или наличие иных законных оснований.
Механизм контроля и ответственность
Роскомнадзор
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является уполномоченным органом по защите прав субъектов персональных данных. Он проводит плановые и внеплановые проверки операторов на предмет соблюдения требований локализации. В случае выявления нарушений Роскомнадзор может выдать предписание об устранении нарушения, а также инициировать административное производство.
Административная ответственность
За невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан РФ в базах данных, расположенных на территории РФ, предусмотрена административная ответственность по статье 13.11 Кодекса об административных правонарушениях РФ (КоАП РФ). Санкции включают:
- Для должностных лиц — штраф от 20 000 до 40 000 рублей.
- Для юридических лиц — штраф от 1 000 000 до 6 000 000 рублей.
- За повторное нарушение — штраф для юридических лиц до 18 000 000 рублей.
Блокировка сайтов
В качестве меры принуждения к исполнению закона, Роскомнадзор может инициировать блокировку доступа к информационным ресурсам (сайтам, приложениям) оператора, нарушающего требования локализации. Такая мера применяется после неоднократных предписаний и неуплаты штрафов. Наиболее известным примером стало замедление и последующая блокировка социальной сети Twitter (заблокирована в РФ) в 2021 году, хотя формальным основанием для блокировки послужили иные нарушения, связанные с неудалением запрещённого контента. В 2022 году была также заблокирована социальная сеть Instagram (принадлежит компании Meta, признанной экстремистской и запрещённой в РФ), что также было связано с комплексом нарушений, включая отказ локализовать данные.
Влияние на IT-индустрию
Принятие закона о локализации данных оказало существенное влияние на рынок IT-услуг и облачных технологий в России.
Для российских компаний
Для отечественных операторов закон не создал принципиально новых барьеров, так как их инфраструктура изначально располагалась в России. Однако он стимулировал развитие рынка коммерческих центров обработки данных (ЦОД) и облачных сервисов, предлагающих услуги по размещению серверного оборудования и программного обеспечения, соответствующего требованиям закона.
Для иностранных компаний
Многие крупные международные IT-корпорации (Google, Apple, Facebook (признана экстремистской и запрещена в РФ), Twitter (заблокирован в РФ), LinkedIn) столкнулись с необходимостью адаптации. Некоторые из них, например, LinkedIn, в 2016 году были заблокированы на территории РФ за систематическое неисполнение требований закона (включая локализацию). Другие, такие как Apple и Google, пошли по пути создания или аренды серверных мощностей на территории России. Третьи, как Facebook (признана экстремистской и запрещена в РФ), долгое время игнорировали требования, что в конечном итоге привело к их блокировке в 2022 году в рамках более широких санкционных мер.
Критика и обсуждение
Закон о локализации данных стал предметом активной критики как со стороны правозащитников, так и со стороны представителей IT-отрасли.
Аргументы критиков
- Удорожание бизнеса: Перенос данных и создание локальной инфраструктуры требуют значительных финансовых затрат, что особенно тяжело для малого и среднего бизнеса.
- Ограничение конкуренции: Требование может быть использовано для создания преимуществ для российских IT-компаний перед иностранными.
- Риск изоляции: Закон может привести к «цифровому суверенитету» и изоляции российского сегмента интернета от глобальной сети, что замедлит обмен технологиями и данными.
- Неэффективность: Критики утверждают, что закон не решает проблему защиты данных, так как данные всё равно могут быть переданы за рубеж после их первичной записи в России, а также что он создаёт иллюзию безопасности, не предотвращая утечки.
Аргументы сторонников
- Защита прав граждан: Закон позволяет российским регуляторам (Роскомнадзору) эффективно контролировать обработку персональных данных и привлекать к ответственности нарушителей, в том числе иностранных.
- Национальная безопасность: Локализация данных снижает риски несанкционированного доступа к данным граждан РФ со стороны иностранных спецслужб и предотвращает их использование в ущерб интересам России.
- Суверенитет: Закон является инструментом обеспечения цифрового суверенитета, позволяя государству устанавливать правила обработки данных на своей территории.
Примеры реализации
Наиболее показательными примерами реализации закона являются:
- Социальная сеть «ВКонтакте»: Изначально хранит данные пользователей на серверах, расположенных в России, поэтому не требовала дополнительных изменений.
- Компания Apple: В 2015 году объявила о начале размещения персональных данных российских пользователей iCloud на серверах в России (используя инфраструктуру компании «Яндекс» и других партнёров).
- Компания Google: В 2015 году также начала процесс локализации, разместив часть данных на серверах в России.
- Социальная сеть LinkedIn: В 2016 году была заблокирована в РФ за отказ локализовать данные, что стало первым прецедентом блокировки крупной международной платформы по этому основанию.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в действующей редакции).
- Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
- Кодекс Российской Федерации об административных правонарушениях (КоАП РФ), статья 13.11.
- Официальные разъяснения и методические рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по вопросам локализации баз данных.
- Аналитические материалы Центра компетенций по информационной безопасности и цифровому праву (например, публикации на портале «Право.ru» и «РБК Тренды»).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →