Открыть сервис

Закон о локализации данных

Закон о локализации данных (также известный как «закон о персональных данных» или «закон 242-ФЗ») — это совокупность нормативных правовых актов Российской Федерации, устанавливающих обязательное требование к операторам персональных данных обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан РФ с использованием баз данных, расположенных на территории Российской Федерации. Основным законом, регулирующим эту сферу, является Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных», а ключевые поправки, вводящие требование локализации, были внесены Федеральным законом от 21 июля 2014 года № 242-ФЗ (вступил в силу 1 сентября 2015 года).

История принятия

Предпосылкой к появлению закона о локализации данных стало стремительное развитие интернет-технологий и трансграничной передачи персональных данных в начале 2010-х годов. Российские законодатели, обеспокоенные вопросами национальной безопасности и защиты прав граждан на неприкосновенность частной жизни, инициировали ужесточение контроля за обработкой персональных данных. В 2014 году, на фоне обострения геополитической обстановки и принятия «патриотического пакета» законов, был разработан и принят законопроект № 242-ФЗ. Его официальной целью называлось обеспечение гарантий защиты прав субъектов персональных данных при их обработке, в том числе за рубежом, а также создание условий для эффективного контроля со стороны уполномоченного органа — Роскомнадзора.

Закон вступил в силу 1 сентября 2015 года. Первоначально он вызвал широкий резонанс среди международных IT-компаний, работающих на российском рынке, и потребовал от них значительных организационных и технических усилий по переносу или дублированию серверного оборудования на территорию РФ.

Основные положения

Требования к операторам

Согласно части 5 статьи 18 Федерального закона № 152-ФЗ, оператор (юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных) обязан при сборе персональных данных, в том числе посредством сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Исключение составляют случаи, предусмотренные федеральными законами.

Исключения из правила

Закон предусматривает ряд исключений, когда требование локализации не применяется. К ним относятся:

  • Обработка персональных данных в целях, не связанных со сбором через интернет (например, обработка данных сотрудников в рамках трудовых отношений, если она не осуществляется через глобальную сеть).
  • Обработка данных для исполнения международных договоров РФ.
  • Обработка данных для осуществления правосудия.
  • Обработка данных для государственной регистрации актов гражданского состояния.
  • Обработка данных для обеспечения обороны страны и безопасности государства.

Трансграничная передача

Закон не запрещает трансграничную передачу персональных данных (передачу за пределы РФ), но устанавливает для неё определённые условия. После выполнения требования о первичной записи и хранении данных в российских базах, оператор может передавать данные за рубеж, если страна-получатель обеспечивает адекватную защиту прав субъектов персональных данных (перечень таких стран утверждён Роскомнадзором). Для стран, не входящих в этот перечень, требуется получение согласия субъекта данных или наличие иных законных оснований.

Механизм контроля и ответственность

Роскомнадзор

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является уполномоченным органом по защите прав субъектов персональных данных. Он проводит плановые и внеплановые проверки операторов на предмет соблюдения требований локализации. В случае выявления нарушений Роскомнадзор может выдать предписание об устранении нарушения, а также инициировать административное производство.

Административная ответственность

За невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан РФ в базах данных, расположенных на территории РФ, предусмотрена административная ответственность по статье 13.11 Кодекса об административных правонарушениях РФ (КоАП РФ). Санкции включают:

  • Для должностных лиц — штраф от 20 000 до 40 000 рублей.
  • Для юридических лиц — штраф от 1 000 000 до 6 000 000 рублей.
  • За повторное нарушение — штраф для юридических лиц до 18 000 000 рублей.

Блокировка сайтов

В качестве меры принуждения к исполнению закона, Роскомнадзор может инициировать блокировку доступа к информационным ресурсам (сайтам, приложениям) оператора, нарушающего требования локализации. Такая мера применяется после неоднократных предписаний и неуплаты штрафов. Наиболее известным примером стало замедление и последующая блокировка социальной сети Twitter (заблокирована в РФ) в 2021 году, хотя формальным основанием для блокировки послужили иные нарушения, связанные с неудалением запрещённого контента. В 2022 году была также заблокирована социальная сеть Instagram (принадлежит компании Meta, признанной экстремистской и запрещённой в РФ), что также было связано с комплексом нарушений, включая отказ локализовать данные.

Влияние на IT-индустрию

Принятие закона о локализации данных оказало существенное влияние на рынок IT-услуг и облачных технологий в России.

Для российских компаний

Для отечественных операторов закон не создал принципиально новых барьеров, так как их инфраструктура изначально располагалась в России. Однако он стимулировал развитие рынка коммерческих центров обработки данных (ЦОД) и облачных сервисов, предлагающих услуги по размещению серверного оборудования и программного обеспечения, соответствующего требованиям закона.

Для иностранных компаний

Многие крупные международные IT-корпорации (Google, Apple, Facebook (признана экстремистской и запрещена в РФ), Twitter (заблокирован в РФ), LinkedIn) столкнулись с необходимостью адаптации. Некоторые из них, например, LinkedIn, в 2016 году были заблокированы на территории РФ за систематическое неисполнение требований закона (включая локализацию). Другие, такие как Apple и Google, пошли по пути создания или аренды серверных мощностей на территории России. Третьи, как Facebook (признана экстремистской и запрещена в РФ), долгое время игнорировали требования, что в конечном итоге привело к их блокировке в 2022 году в рамках более широких санкционных мер.

Критика и обсуждение

Закон о локализации данных стал предметом активной критики как со стороны правозащитников, так и со стороны представителей IT-отрасли.

Аргументы критиков

  • Удорожание бизнеса: Перенос данных и создание локальной инфраструктуры требуют значительных финансовых затрат, что особенно тяжело для малого и среднего бизнеса.
  • Ограничение конкуренции: Требование может быть использовано для создания преимуществ для российских IT-компаний перед иностранными.
  • Риск изоляции: Закон может привести к «цифровому суверенитету» и изоляции российского сегмента интернета от глобальной сети, что замедлит обмен технологиями и данными.
  • Неэффективность: Критики утверждают, что закон не решает проблему защиты данных, так как данные всё равно могут быть переданы за рубеж после их первичной записи в России, а также что он создаёт иллюзию безопасности, не предотвращая утечки.

Аргументы сторонников

  • Защита прав граждан: Закон позволяет российским регуляторам (Роскомнадзору) эффективно контролировать обработку персональных данных и привлекать к ответственности нарушителей, в том числе иностранных.
  • Национальная безопасность: Локализация данных снижает риски несанкционированного доступа к данным граждан РФ со стороны иностранных спецслужб и предотвращает их использование в ущерб интересам России.
  • Суверенитет: Закон является инструментом обеспечения цифрового суверенитета, позволяя государству устанавливать правила обработки данных на своей территории.

Примеры реализации

Наиболее показательными примерами реализации закона являются:

  • Социальная сеть «ВКонтакте»: Изначально хранит данные пользователей на серверах, расположенных в России, поэтому не требовала дополнительных изменений.
  • Компания Apple: В 2015 году объявила о начале размещения персональных данных российских пользователей iCloud на серверах в России (используя инфраструктуру компании «Яндекс» и других партнёров).
  • Компания Google: В 2015 году также начала процесс локализации, разместив часть данных на серверах в России.
  • Социальная сеть LinkedIn: В 2016 году была заблокирована в РФ за отказ локализовать данные, что стало первым прецедентом блокировки крупной международной платформы по этому основанию.

Источники

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в действующей редакции).
  2. Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
  3. Кодекс Российской Федерации об административных правонарушениях (КоАП РФ), статья 13.11.
  4. Официальные разъяснения и методические рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по вопросам локализации баз данных.
  5. Аналитические материалы Центра компетенций по информационной безопасности и цифровому праву (например, публикации на портале «Право.ru» и «РБК Тренды»).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →