C 1 сентября 2015 года компании обязаны хранить персональные данные в России.

С 1 сентября 2015 года вступает в силу требование о локализации обработки персональных данных граждан России^[1]. В этой связи компании, которые осуществляют обработку персональных данных граждан России, например, гостиницы, интернет — магазины и другие организации, в том числе использующие технологии оплаты и бронирования услуг и товаров онлайн^[2], обязаны будут использовать расположенные в России базы данных для обработки персональных данных граждан России. Согласно Министерству связи и массовых коммуникаций, указанные требования распространяются и на иностранные компании, не имеющие присутствия в России, если их деятельность направлена на Россию. Требование о локализации актуально и для компаний, которые обрабатывают сравнительно небольшое количество персональных данных, ограничиваясь данными работников и контактных лиц своих существующих и потенциальных клиентов (например, в CRM).

Обратите, пожалуйста, внимание, что закон предусматривает ряд исключений из этого требования, когда обработка персональных данных российских граждан может осуществляться за рубежом без локализации данных в России. Например, требование использовать сервер в России не распространяется на обработку персональных данных российских граждан, если такая обработка необходима для выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, или для достижения целей, предусмотренных международным договором.

Для выполнения требования о локализации персональных данных россиян, обрабатываемых в электронном виде, компании могут:

При этом сервер на территории России может быть использован как в качестве самостоятельного и независимого сервера, так и в качестве сервера-зеркала, когда кроме сервера на территории России обработку персональных данных граждан России также осуществляет второй сервер, расположенный за рубежом, и между указанными серверами происходит постоянный обмен данными. При этом важно, чтобы данные расположенные на иностранном сервере были всегда доступны в России.

С момента вступления в силу закона компании, которые имеют намерение осуществлять обработку персональных данных граждан России и которые ранее не подавали уведомление об обработке персональных данных в регулирующий орган в сфере защиты персональных данных (Роскомнадзор), обязаны подать его с указанием места расположения используемых баз данных на территории России.

В связи со вступлением в силу закона компаниям, осуществляющим обработку персональных данных граждан России и не использующим в настоящее время сервера с базами данных на территории России, рекомендуется:

В случае невыполнения требований закона Роскомнадзор по решению суда вправе ограничить (блокировать) доступ к сайту компании на территории России, а также внести сайт компании в специальный реестр нарушителей^[3]. Законодательством также предусмотрена административная ответственность за нарушение законодательства о персональных данных.^[4].

Также рекомендуем Вам ознакомиться с наиболее часто задаваемыми вопросами, связанными с локализацией персональных данных в России.

Специалисты компании BRICS Consulting будут рады оказать Вам помощь в исполнении требований законодательства, а также ответить на любые Ваши вопросы.

Контакты

[1] Федеральный закон от 21.07.2014 N 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» вступает в силу с 1 сентября 2016 года.
[2] Полный список см. ниже
[3] Реестр нарушителей прав субъектов персональных данных
[4] Ст. 13.11 КоАП