Ответственность за персональные данные: требования к локализации в России

С 2015 года в России начали действовать поправки к ФЗ № 152 «О персональных данных» (их утвердили отдельным ФЗ № 242). В частности, в ФЗ № 152 ст. 18 дополнили ч. 5, где обязали операторов персональных данных работать с информацией только через базы данных, находящиеся в России.

Что это значит для бизнеса, какое наказание грозит тем, кто нарушает закон, и можно ли собирать персональные данные с помощью Google-форм, расскажем в статье.

Так, пользоваться зарубежными базами данных совсем нельзя или есть исключения?

Исключения есть. Ссылки на них опубликованы в той же ч. 5 ст. 18 ФЗ № 152. Использовать для работы с персональными данными зарубежные базы данных можно, если:

• обработать персональные данные нужно, чтобы достичь целей по международному договору РФ или по законному выполнению функций оператора персональных данных;
• обрабатываются персональные данные лица, которое участвует в судопроизводстве;
• требуется обработать персональные данные для исполнения полномочий органов государственной власти, государственных внебюджетных фондов, органов местного самоуправления и пр.
• обработать персональные данные нужно для профессиональной деятельности журналиста и / или законной деятельности СМИ, а также научной, литературной или другой творческой деятельности при условии, что не нарушаются права и законные интересы субъекта персональных данных.

Передача персональных данных за пределы России называется трансграничной. Допустим, это потребуется сделать, если вы отправляете сотрудника в командировку за границу и бронируете для него номер в отеле. Или, в силу обстоятельств, храните персональные данные на иностранной платформе.

Трансграничная передача данных регламентируется законом: требования прописаны в ст. 12 ФЗ № 152. Например, до начала передачи данных надо уведомить об этом Роскомнадзор. 

Понятно. А что будет, если игнорировать закон и продолжать использовать зарубежные базы для работы с персональными данными?

Нарушителям грозят большие штрафы по ч. 8 ст. 13.11 КоАП РФ:

• физлицам ― от 30 000 до 50 000 ₽;
• должностным лицам ― от 100 000 до 200 000 ₽; 
• юрлицам ― от 1 млн до 6 млн ₽.

За повторное нарушение наказание выше (ч. 9 ст. 13.11 КоАП РФ):

• для физлиц ― от 50 000 до 100 000 ₽;
• для должностных лиц ― от 500 000 до 800 000 ₽; 
• для юрлиц ― от 6 млн до 18 млн ₽.

Кроме того, согласно п. 1 ст. 1 ФЗ № 242, нарушителей включают в особый реестр, который находится на сайте Роскомнадзора.

Да, штрафы немаленькие. Есть те, кого уже наказали?

Да. Например, в 2022 году за нелокализацию персональных данных российских пользователей суд оштрафовал пять иностранных компаний:

• Snap Inc. ― 1 млн ₽;
• Match Group, LLC ― 2 млн ₽;
• Hotels.com, LP ― 1 млн ₽;
• Spotify AB ― 500 тысяч ₽;
• WhatsApp LLC (продукт компании Meta, признанной в России экстремистской организацией) ― 18 млн ₽ за повторное нарушение требований о локализации.

На 2024 год большая часть этих компаний ушла из России.

А если я собираю данные клиентов с помощью Google-форм, меня могут привлечь к ответственности по нарушению требований о локализации персональных данных?

Серверы Google расположены в разных регионах по всему миру, значит сбор данных через Google-формы считается использованием зарубежной базы данных.

И что тогда делать бизнесу? Как обрабатывать и хранить персональные данные, чтобы не нарушать закон?

Один из вариантов ― использовать для сбора данных российские платформы. Например, Яндекс Формы.

Если все-таки планируете использовать зарубежную базу данных, изучите правила трансграничной передачи персональных данных и уведомите об этом Роскомнадзор. Или собирайте с помощью Google-форм только те данные, которые не будут считаться персональными. Определить это поможет информация в нашей статье «Персональные данные: правила хранения и ответственность за нарушение закона».