Закон о локализации персональных данных
Закон о локализации персональных данных — это совокупность норм российского законодательства, обязывающих операторов, осуществляющих сбор персональных данных граждан Российской Федерации, обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение таких данных с использованием баз данных, расположенных на территории Российской Федерации. Основная цель закона — обеспечение суверенитета государства в отношении данных своих граждан, а также повышение уровня защиты персональной информации от несанкционированного доступа и утечек, в том числе со стороны иностранных государств и корпораций.
История принятия
Предпосылки и разработка
Необходимость введения требований к физическому размещению серверного оборудования для обработки персональных данных российских граждан обсуждалась в профессиональном сообществе и государственных органах с начала 2010-х годов. Рост числа международных интернет-компаний (Google, Facebook (организация признана экстремистской и запрещена в РФ), Twitter (социальная сеть заблокирована на территории РФ), Apple), которые обрабатывали данные российских пользователей за пределами страны, создавал риски, связанные с невозможностью оперативного доступа к этим данным со стороны правоохранительных органов России, а также с потенциальным применением к ним юрисдикции иностранных государств.
В 2014 году, после событий, связанных с присоединением Крыма к России и последовавшими санкциями, вопрос информационной безопасности приобрел особую остроту. Законопроект, вносящий изменения в Федеральный закон «О персональных данных» (№ 152-ФЗ), был внесен в Государственную Думу депутатами и сенаторами во главе с Ириной Яровой и Андреем Клишасом.
Принятие и вступление в силу
Федеральный закон № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» был принят Государственной Думой 21 июля 2015 года, одобрен Советом Федерации 24 июля 2015 года и подписан Президентом РФ Владимиром Путиным 27 июля 2015 года. Закон вступил в силу 1 сентября 2015 года.
Первоначально закон вызвал широкий резонанс в деловом сообществе, особенно среди международных IT-компаний, которые выражали обеспокоенность по поводу высоких затрат на перенос серверного оборудования и создания локальной инфраструктуры в России. Однако большинство крупных игроков, включая Google, Microsoft и Apple, в течение последующих лет привели свою деятельность в соответствие с требованиями закона.
Основные положения
Требования к операторам
Согласно ст. 18.1 Федерального закона № 152-ФЗ, оператор персональных данных обязан при сборе персональных данных, в том числе через сеть «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. При этом закон не запрещает дублирование этих данных на серверах за пределами РФ, однако первичная обработка (запись) должна происходить на территории России.
Исключения и нюансы
Закон предусматривает ряд исключений. Требования о локализации не распространяются на:
- обработку персональных данных в целях, не связанных с деятельностью на территории РФ (например, для обеспечения въезда в другую страну);
- обработку данных, необходимых для международного сотрудничества;
- случаи, когда оператор является иностранным лицом, но обработка данных осуществляется на территории РФ в соответствии с международными договорами.
На практике под действие закона попадают все компании, которые собирают данные о российских гражданах, включая интернет-магазины, социальные сети, банки, страховые компании, телекоммуникационные операторы и государственные учреждения.
Контроль и ответственность
Орган надзора
Контроль за соблюдением требований закона о локализации персональных данных осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Служба проводит плановые и внеплановые проверки операторов, а также рассматривает жалобы граждан.
Меры ответственности
За неисполнение требований о локализации предусмотрена административная ответственность по статье 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ). В 2019 году в КоАП были внесены изменения, существенно ужесточившие наказание:
- для должностных лиц — штраф от 20 000 до 40 000 рублей;
- для юридических лиц — штраф от 1 000 000 до 6 000 000 рублей.
Кроме того, в случае систематического неисполнения требований, Роскомнадзор имеет право принять меры по ограничению доступа к информационным ресурсам нарушителя на территории РФ. Наиболее громким примером такого применения стало замедление трафика и последующая блокировка социальной сети Twitter (социальная сеть заблокирована на территории РФ) в 2021 году, а также блокировка LinkedIn (социальная сеть заблокирована на территории РФ) в 2016 году.
Реализация и практика
Крупные компании
Большинство крупных международных IT-корпораций выполнили требования закона. Например, Google разместила серверы для обработки данных российских пользователей в дата-центрах на территории РФ. Apple также подтвердила локализацию данных. Российские компании, такие как «Яндекс», «ВКонтакте» и «Сбербанк», изначально хранили данные на территории России, поэтому для них переход был безболезненным.
Проблемы и критика
Закон о локализации персональных данных подвергался критике по нескольким направлениям:
- Экономическая нагрузка: Для малых и средних предприятий, особенно стартапов, аренда или покупка серверного оборудования в России может быть дорогостоящей.
- Технические сложности: Обеспечение высокой скорости доступа к данным при их дублировании между серверами в РФ и за рубежом требует сложных инженерных решений.
- Ограничение конкуренции: Критики утверждают, что закон создает барьеры для входа на российский рынок иностранных компаний, что может снижать конкуренцию и качество услуг.
- Эффективность: Некоторые эксперты сомневаются в практической эффективности закона, так как данные могут быть зашифрованы, а ключи шифрования — храниться за границей, что делает невозможным их расшифровку даже при наличии доступа к серверам.
Влияние на международные отношения
Закон о локализации персональных данных стал частью более широкой тенденции к цифровому суверенитету, наблюдаемой во многих странах мира (например, в Китае, Индии, Бразилии, странах ЕС с принятием GDPR). Введение закона вызвало обеспокоенность у ряда иностранных правительств и бизнес-ассоциаций, которые рассматривали его как протекционистскую меру. В ответ на это Россия активно участвовала в международных переговорах по вопросам трансграничной передачи данных, в том числе в рамках БРИКС и Шанхайской организации сотрудничества (ШОС).
Перспективы развития
В 2020-х годах обсуждались возможные поправки к закону, направленные на ужесточение требований, включая обязательное хранение не только первичных данных, но и их копий на территории РФ, а также введение уголовной ответственности за повторное нарушение. Однако на текущий момент (2024 год) такие изменения не приняты. Закон остается одним из ключевых элементов российской политики в области информационной безопасности и защиты данных.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Федеральный закон от 27.07.2015 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
- Кодекс Российской Федерации об административных правонарушениях (статья 13.11).
- Официальные разъяснения Роскомнадзора по вопросам локализации персональных данных (2015–2023 гг.).
- Материалы судебной практики по делам о нарушении требований о локализации (дела № А40-... и др.).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →