Разборы

Ответственность за персональные данные: требования к локализации в России

И можно ли собирать информацию о клиентах с помощью Google-форм
Ответственность за персональные данные — локализация в РФ

С 2015 года в России начали действовать поправки к ФЗ № 152 «О персональных данных» (их утвердили отдельным ФЗ № 242). В частности, в ФЗ № 152 ст. 18 дополнили ч. 5, где обязали операторов персональных данных работать с информацией только через базы данных, находящиеся в России.

Что это значит для бизнеса, какое наказание грозит тем, кто нарушает закон, и можно ли собирать персональные данные с помощью Google-форм, расскажем в статье.

Так, пользоваться зарубежными базами данных совсем нельзя или есть исключения?

Исключения есть. Ссылки на них опубликованы в той же ч. 5 ст. 18 ФЗ № 152. Использовать для работы с персональными данными зарубежные базы данных можно, если:

  • обработать персональные данные нужно, чтобы достичь целей по международному договору РФ или по законному выполнению функций оператора персональных данных;
  • обрабатываются персональные данные лица, которое участвует в судопроизводстве;
  • требуется обработать персональные данные для исполнения полномочий органов государственной власти, государственных внебюджетных фондов, органов местного самоуправления и пр.
  • обработать персональные данные нужно для профессиональной деятельности журналиста и / или законной деятельности СМИ, а также научной, литературной или другой творческой деятельности при условии, что не нарушаются права и законные интересы субъекта персональных данных.

Передача персональных данных за пределы России называется трансграничной. Допустим, это потребуется сделать, если вы отправляете сотрудника в командировку за границу и бронируете для него номер в отеле. Или, в силу обстоятельств, храните персональные данные на иностранной платформе.

Трансграничная передача данных регламентируется законом: требования прописаны в ст. 12 ФЗ № 152. Например, до начала передачи данных надо уведомить об этом Роскомнадзор. 

Понятно. А что будет, если игнорировать закон и продолжать использовать зарубежные базы для работы с персональными данными?

Нарушителям грозят большие штрафы по ч. 8 ст. 13.11 КоАП РФ:

  • физлицам ― от 30 000 до 50 000 ₽;
  • должностным лицам ― от 100 000 до 200 000 ₽; 
  • юрлицам ― от 1 млн до 6 млн ₽.

За повторное нарушение наказание выше (ч. 9 ст. 13.11 КоАП РФ):

  • для физлиц ― от 50 000 до 100 000 ₽;
  • для должностных лиц ― от 500 000 до 800 000 ₽; 
  • для юрлиц ― от 6 млн до 18 млн ₽.

Кроме того, согласно п. 1 ст. 1 ФЗ № 242, нарушителей включают в особый реестр, который находится на сайте Роскомнадзора.

Да, штрафы немаленькие. Есть те, кого уже наказали?

Да. Например, в 2022 году за нелокализацию персональных данных российских пользователей суд оштрафовал пять иностранных компаний:

  • Snap Inc. ― 1 млн ₽;
  • Match Group, LLC ― 2 млн ₽;
  • Hotels.com, LP ― 1 млн ₽;
  • Spotify AB ― 500 тысяч ₽;
  • WhatsApp LLC (продукт компании Meta, признанной в России экстремистской организацией) ― 18 млн ₽ за повторное нарушение требований о локализации.

На 2024 год большая часть этих компаний ушла из России.

А если я собираю данные клиентов с помощью Google-форм, меня могут привлечь к ответственности по нарушению требований о локализации персональных данных?

Серверы Google расположены в разных регионах по всему миру, значит сбор данных через Google-формы считается использованием зарубежной базы данных.

О том, что серверы Гугл расположены по всему миру, прописано в их политике конфиденциальности
Политика конфиденциальности Google
Зарина Эргашева
Зарина Эргашева

Кандидат юридических наук, основатель и руководитель онлайн-школы повышения квалификации юристов, Клуба процессуалистов России и проекта правовой помощи онлайн-бизнесу «ЮРГРАМ». Ведет свой Telegram-канал

Если вы предлагаете клиентам заполнить google-форму, то нарушаете ч. 5 ст. 18 закона «О персональных данных». 

В России действует правило о локализации данных: все персональные данные должны собираться в нашей стране, и только потом передаваться за рубеж. И то, если вы выполнили требования к трансграничной передаче персональных данных.

Компания Google больше не дислоцируется в России. Значит, использование google-форм для сбора персональных данных без учета локализации и соблюдения правил трансграничной передачи данных ― нарушение закона. За это можно получить штраф до 6 млн ₽.

И что тогда делать бизнесу? Как обрабатывать и хранить персональные данные, чтобы не нарушать закон?

Один из вариантов ― использовать для сбора данных российские платформы. Например, Яндекс Формы.

Если все-таки планируете использовать зарубежную базу данных, изучите правила трансграничной передачи персональных данных и уведомите об этом Роскомнадзор. Или собирайте с помощью Google-форм только те данные, которые не будут считаться персональными. Определить это поможет информация в нашей статье «Персональные данные: правила хранения и ответственность за нарушение закона».