- Awara
- 31.08.2015
- 1451
Обработка персональных данных в России
C 1 сентября 2015 года компании обязаны хранить персональные данные в России.
С 1 сентября 2015 года вступает в силу требование о локализации обработки персональных данных граждан России[1]. В этой связи компании, которые осуществляют обработку персональных данных граждан России, например, гостиницы, интернет — магазины и другие организации, в том числе использующие технологии оплаты и бронирования услуг и товаров онлайн[2], обязаны будут использовать расположенные в России базы данных для обработки персональных данных граждан России. Согласно Министерству связи и массовых коммуникаций, указанные требования распространяются и на иностранные компании, не имеющие присутствия в России, если их деятельность направлена на Россию. Требование о локализации актуально и для компаний, которые обрабатывают сравнительно небольшое количество персональных данных, ограничиваясь данными работников и контактных лиц своих существующих и потенциальных клиентов (например, в CRM).
Обратите, пожалуйста, внимание, что закон предусматривает ряд исключений из этого требования, когда обработка персональных данных российских граждан может осуществляться за рубежом без локализации данных в России. Например, требование использовать сервер в России не распространяется на обработку персональных данных российских граждан, если такая обработка необходима для выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, или для достижения целей, предусмотренных международным договором.
Для выполнения требования о локализации персональных данных россиян, обрабатываемых в электронном виде, компании могут:
- Купить, установить и обслуживать сервер на территории России в своем помещении;
- Купить, установить и обслуживать сервер на территории России в помещении дата-центра (collocation);
- Арендовать физический сервер в дата-центре на территории России;
- Арендовать виртуальный сервер в дата-центре на территории России;
- Приобрести хостинг сайта у хостинг-провайдера на территории России.
При этом сервер на территории России может быть использован как в качестве самостоятельного и независимого сервера, так и в качестве сервера-зеркала, когда кроме сервера на территории России обработку персональных данных граждан России также осуществляет второй сервер, расположенный за рубежом, и между указанными серверами происходит постоянный обмен данными. При этом важно, чтобы данные расположенные на иностранном сервере были всегда доступны в России.
С момента вступления в силу закона компании, которые имеют намерение осуществлять обработку персональных данных граждан России и которые ранее не подавали уведомление об обработке персональных данных в регулирующий орган в сфере защиты персональных данных (Роскомнадзор), обязаны подать его с указанием места расположения используемых баз данных на территории России.
В связи со вступлением в силу закона компаниям, осуществляющим обработку персональных данных граждан России и не использующим в настоящее время сервера с базами данных на территории России, рекомендуется:
- Изучить изменения в законодательстве;
- Выбрать к моменту вступления в силу закона один из вариантов использования сервера с базами данных на территории России;
- Следить за официальными разъяснениями российских государственных органов;
- Подать уведомление об обработке персональных данных в Роскомнадзор (если не было подано ранее).
- Провести аудит персональных данных с целью определить те из них, которые могут обрабатываться за рубежом, провести аудит баз данных и IT систем с целью определения места обработки персональных данных.
В случае невыполнения требований закона Роскомнадзор по решению суда вправе ограничить (блокировать) доступ к сайту компании на территории России, а также внести сайт компании в специальный реестр нарушителей[3]. Законодательством также предусмотрена административная ответственность за нарушение законодательства о персональных данных.[4].
Также рекомендуем Вам ознакомиться с наиболее часто задаваемыми вопросами, связанными с локализацией персональных данных в России.
Мы будем рады оказать Вам помощь в исполнении требований законодательства, а также ответить на любые Ваши вопросы.
Контакты
- +7 495 225-30-38 Москва
- +7 812 244-75-49 Санкт-Петербург
- +7 495 225-30-38 Тверь
[1] Федеральный закон от 21.07.2014 N 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» вступает в силу с 1 сентября 2016 года.
[2] Полный список см. ниже
[3] Реестр нарушителей прав субъектов персональных данных
[4] Ст. 13.11 КоАП