В декабре 2019 года Кодекс РФ об административных правонарушениях был дополнен новыми штрафами для операторов, не выполнивших при сборе персональных данных россиян, в том числе через интернет, предусмотренное законом требование о систематизации и хранении информации в базах данных исключительно на территории РФ. Перевожу на русский: все, кто использует хранилища для персональных данных за рубежом, должны заплатить штраф.
Размеры штрафов:
- для граждан от 30 тыс. до 50 тыс. руб.,
- для должностных лиц - от 100 тыс. до 200 тыс. руб.,
- для юридических лиц - от 1 млн до 6 млн рублей. В случае повторного нарушения для граждан: от 50 до 100 тыс. руб., для должностных лиц - от 500 до 800 тыс. и для юрлиц - от 6 млн до 18 млн рублей.
Самое неприятное, что ИП - для пределения размера штрафов за хранение персональных данных россиян за пределами РФ — приравнивается к ООО. Наказание более чем внушительное.
Что такое ЦОД?
Часто с понятием ЦОД впервые сталкиваются, когда заполняют форму для регистрации в качестве оператора персональных данных (форма для отправки уведомления в Роскомнадзор вот здесь: https://pd.rkn.gov.ru/operators-registry/notification/form/). Начинается прикидка: а мой комп - это ЦОД или нет? А ноутбук? А у ИП должен быть свой ЦОД или нет? И могу ли я давать доступ к этому ЦОДу? А кому?..
ЦОД - центр обработки данных, он же дата-центр. Бывают ЦОД государственные, корпоративные (когда компания сама для себя строит ЦОД) и коммерческие, где можно в виртуальной среде разместить проект или даже арендовать машинный зал, а также облачные ЦОДы. В ФЗ «О персональных данных» указывается, что оператор «обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации». Фактически ЦОД — это та же база данных, но обособленная и довольно большая по объёму. Даже микроЦОД способен хранить огромные базы данных.
Базы данных
Несмотря на то, что при подаче уведомления в Роскомнадзор нужно описывать местоположение и характеристики ЦОДа, в законодательстве речь идёт не о нём, а о базах данных. Причём нет узких определений этих баз данных и точных требований к тому, как именно с технической точки зрения они должны быть организованы. И даже известный ГОСТ Р 20886-85 не ограничивают форму хранения данных и позволяют называть локализованной базой данных все: от полноценного цифрового хранилища (любой архитектуры, и даже облачного) до простых табличек в Excel или бумажной картотеки. То есть под понятие базы данных попадет любой упорядоченный список данных — хоть в текстовом файле. Соответственно, заполняя электронное уведомление нужно указать все места расположения всех упорядоченных массивов информации.
Где хранить?
Россия входит в число стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 года, — и значит, может обмениваться данными с другими участниками конвенции без дополнительных формальностей. Передача данных в страну, не охваченную конвенцией, требует согласия их владельца. Его можно получить в письменном виде или запросить через форму на сайте. Однако для соблюдения ФЗ «О персональных данных» важно, чтобы на территории России оставалась основная, наиболее полная и актуальная база персональных данных. При этом нет конкретного запрета на размещение ей копий или частей. Причем в таких дочерних базах на прочих серверах, в том числе, на территории другого государства.
Важно! Персональные данные можно хранить за и обрабатывать за рубежом при условии, что данные будут использоваться в тех же целях, что и в основной базе данных!
И ещё более важно! Субъект персональных данных (пользователь) должен дать согласие на трансграничную передачу своих данных и (или) на обработку их (хранение) в базе, расположенной за рубежом.
И помните, что оператор персональных данных обязан уведомить Роскомнадзор о наличии трансграничной передачи персональных данных, а субъект персональных данных имеет право получить от оператора информацию об осуществленной или о предполагаемой трансграничной передаче данных.
Всегда Ваша, Елена Федорук, юрист для Онлайн-школ и Интернет-проектов
