18 февраля Госдума приняла законопроект, запрещающий с 1 июля хранение и сбор персональных данных россиян за границей.
Правительство отметило, что предыдущее регулирование, которое позволяло локализовать данные, не обеспечивало надежную защиту и способствовало утечкам информации.
Нововведение может создать трудности для IT-бизнеса, маркетплейсов и дочерних компаний иностранных фирм, однако будущее этих изменений зависит от правоприменительной практики.
Законопроект, который вступит в силу 1 июля 2025 года, касается в основном обработки данных сотрудников спецслужб и был внесён в Госдуму в августе 2023 года.
Поправка о запрете на использование зарубежных баз данных появилась в тексте законопроекта перед его вторым чтением 30 января 2025 года.
В настоящее время российские компании, которые занимаются обработкой персональных данных (ПД), обязаны использовать только российские базы данных.
Согласно данным Роскомнадзора, в реестре операторов ПД числится 935 666 организаций, включая банки и IT-компании.
Требование локализации данных, действующее с 2015 года, стало более строго контролироваться с введением штрафов в 2019 году за несоблюдение этих норм.
С 2 декабря 2019 года действуют штрафы за нарушения в области обработки персональных данных (ПД) для разных категорий субъектов.
Для граждан размеры штрафов варьируются от 30 000 до 50 000 рублей. Для должностных лиц они составляют от 100 000 до 200 000 рублей, а для юридических лиц и индивидуальных предпринимателей — от 1 миллиона до 6 миллионов рублей. Повторные правонарушения могут обернуться штрафами до 18 миллионов рублей.
К числу компаний, которые уже были привлечены к ответственности за нарушения в этой сфере, относятся «Apple», «Google», «Twitter», «Facebook» и «WhatsApp», поскольку они отказались локализовать информацию о пользователях в России. В результате такого отказа в 2016 году была заблокирована социальная сеть «LinkedIn».
Поправки к закону уточняют обязанности операторов ПД, требуя их обработки и хранения на территории России. Это изменение направлено на укрепление защиты персональных данных граждан и предотвращение утечек информации.
Как отметил Дмитрий Григоренко, представитель аппарата правительства, прежние нормы позволяли операторам хранить данные за пределами страны, что создавало угрозу безопасности. Теперь база с данными россиян должна храниться исключительно внутри страны, за исключением случаев с дипломантами и журналистами, работающими за границей.
По словам Сергея Боярского, главы комитета Госдумы по информполитике, данный закон не окажет негативного влияния на права граждан.
Согласно действующему законодательству, компании обязаны размещать персональные данные (ПД) в российских базах данных. После заполнения таких баз, их можно дублировать за границей, как поясняет эксперт по защите ПД Алексей Мунтян.
Однако новая редакция законодательства ставит под сомнение возможность хранения собранных в России ПД за пределами страны. Это может значительно осложнить коммерческую передачу персональных данных за границу, и степень сложности будет зависеть от правоприменительной практики.
В 2022 году стало ясно, что требование о локализации ПД было актуальным: компании, не выполнившие его, потеряли доступ к зарубежным базам данных, не имея подготовленных локальных хранилищ.
Введение новых запретов может создать неудобства и проблемы для российских дочерних компаний иностранных организаций, подчеркивает Мунтян. Он указывает, что нововведение может затронуть все российские организации, которые передают ПД за границу.
«Контроль за локализацией ПД превращается в запретительный режим, что ведет к усилению цифрового огораживания», — говорит эксперт.
Артем Дмитриев, управляющий партнер Comply, подчеркивает, что новая поправка не изменит существующие требования по локализации данных граждан России. Сбор, запись и актуализация данных должны проводиться на серверах, размещенных в стране. Только после этого данные могут быть переданы за границу.
Дмитриев отмечает, что формулировка новых правил вызывает множество вопросов. Запрет на передачу локализованных данных противоречит законам о трансграничной передаче информации и международным обязательствам России, включая Конвенцию 1981 года о защите персональных данных, подписанную в Страсбурге.
Он акцентирует внимание на том, что важно учитывать позицию Роскомнадзора и других контролирующих органов, которые будут следить за соблюдением норм в реальной практике.
Анна Барабаш, генеральный директор юридической компании Enterprise Legal Solutions, заявляет, что новые ограничения могут негативно сказаться на компаниях, использующих облачные серверы. Она подметила, что сложно проследить, где именно располагаются данные и какие сервера используются для их хранения, что может привести к проблемам с соблюдением законодательства.
Продолжение запрета на передачу за границу баз данных с личными данными россиян может иметь значительные последствия для бизнеса.
Как указывает эксперт юридической фирмы DRC Кира Таран, данная норма имеет две стороны.
С одной стороны, некоторые действия с персональными данными (ПД) могут все еще осуществляться в рамках исключений, таких как международные договоры или участие в судопроизводстве.
С другой стороны, новое законодательное требование может ограничивать отечественные компании, занимающиеся трансграничной деятельностью, поскольку доступ к российским ПД в иностранных юрисдикциях становится затруднительным.
Это создаст препятствия для бизнеса, который использует такие данные для анализа и принятия решений.
Таран также отмечает, что изменение законодательства может привести к пересмотру корпоративных норм в российских компаниях, особенно для маркетплейсов и IT-компаний, а теоретически даже для авиаперевозчиков, которые обрабатывают ПД пассажиров.
Отсутствие четкой информации о механизмах контроля за реализацией запрета вызывает дополнительные вопросы.
Тем не менее, представители бизнеса не считают ситуацию критичной.
Например, в компании Wildberries & Russ прогнозируют сбалансированное применение новых норм.
В компании «Яндекс» подтвердили, что им известны требования о локализации ПД российских пользователей и что существенных изменений в их политике не произойдет, так как они их уже соблюдают.
Ozon и VK предпочли не комментировать ситуацию, а «Аэрофлот» не ответил на запрос Forbes.
В Ассоциации больших данных, которая объединяет крупных игроков рынка, таких как МТС и Сбербанк, выразили надежду, что новые требования не окажут серьезного воздействия на подавляющее большинство российских компаний, хотя повышенный риск возможных коллизий с нормами о трансграничной передаче данных все же остается.
