Власти ужесточили требования для бизнеса по хранению персональных данных

Все данные в родную гавань

Во вторник, 18 февраля, Госдума во втором и третьем чтении приняла законопроект, запрещающий собирать персональные данные (ПД) россиян с использованием зарубежных баз данных. Документ вступает в силу с 1 июля 2025 года. Пакет поправок, принятый 18 февраля, был внесен в Госдуму еще в августе 2023 года и касается по большей части обработки ПД сотрудников спецслужб. Поправка в закон «О персональных данных», запрещающая собирать личную информацию россиян в зарубежные базы данных, появилась в версии законопроекта ко второму чтению 30 января 2025 года.

Сейчас российский бизнес (именно он скрывается под определением операторов ПД — это банки, операторы связи, IT-компании и т. д.; всего, по данным Роскомнадзора, в реестре 935 666 компаний) должен использовать российские базы данных при сборе личной информации россиян. Эти требования, чаще всего называемые локализацией баз данных россиян, действуют еще с 2015 года. В 2019 году власти ввели штрафы за отказ локализовать данные россиян. С 2 декабря 2019 года для граждан он действует в размере 30 000-50 000 рублей, для должностных лиц — 100 000-200 000 рублей, для юрлиц и предпринимателей без образования юридического лица — от 1 млн до 6 млн рублей. Повторное совершение правонарушения чревато штрафом гораздо большего размера — до 18 млн рублей.

За отказы локализовать ПД штрафовали такие компании, как Apple, Google, Twitter (ныне X, соцсеть запрещена в России), Facebook и WhatsApp (принадлежат Meta, которая признана в России экстремистской и запрещена). Из-за отказа локализовать информацию о пользователях в России в 2016 году заблокировали соцсеть LinkedIn.

Forbes спросил авторов закона и экспертов, как нововведение может изменить работу бизнеса в России.

«Обеспечить надежную защиту»

Поправки конкретизируют обязанности операторов ПД обрабатывать такие данные граждан России исключительно на территории нашей страны, отметили в аппарате вице-премьера — руководителя аппарата правительства Дмитрия Григоренко. «Прежнее регулирование разрешало операторам данных осуществлять их хранение и обработку в том числе за пределами России. Это не позволяло обеспечить надежную защиту персональных данных и создавало предпосылки к их утечке», — пояснили там.

«Смысл поправки в том, что базы с содержанием ПД наших граждан должны находиться на территории исключительно нашей страны и не иметь копий вне ее территории, за исключением данных дипломатических работников и сотрудников российских СМИ, которые работают за рубежом», — сообщил Forbes глава комитета Госдумы по информполитике Сергей Боярский.

Закон направлен на предотвращение возможных нарушений прав граждан и не окажет негативного влияния на них, подчеркнули в Минцифры.

«Режим цифрового огораживания»

Согласно текущему законодательству, компания при получении ПД должна помещать их в российские базы данных. После того, как база данных уже наполнена персональными данными, ее можно дублировать за рубеж, поясняет эксперт по защите ПД и соучредитель Russian Privacy Professionals Association (RPPA) Алексей Мунтян. Новая редакция, по его мнению, ставит под вопрос саму возможность хранения за пределами страны собранных в России ПД.

«Если рассматривать нововведение буквально, то бизнес вообще не сможет хранить ПД за пределами территории России. В любом случае это может существенным образом осложнить коммерческую трансграничную передачу персональных данных. Насколько — будет зависеть от правоприменительной практики», — добавил эксперт.

В 2022 году стало очевидно, что требование о локализации персональных данных россиян было обоснованным: компании, которые не выполнили его в полной мере, оказались у разбитого корыта, рассуждает Алексей Мунтян — им в один день закрыли доступ к зарубежным базам данных, а своих локальных баз у них не осталось. Но сейчас вводится запретительная норма, она может создать много неудобств и потенциальных проблем, подчеркивает он, в частности для российских дочерних структур иностранных компаний.

По словам Алексея Мунтяна, потенциально нововведение может затронуть все организации на территории России, которые так или иначе передают персональные данные за рубеж. «Фактически контролирующий режим локализации персональных данных переходит в запретительный. Мы еще больше уходим в режим цифрового огораживания», — категоричен он.

Однако, как указывает управляющий партнер Comply Артем Дмитриев, новая поправка все же не должна предполагать принципиальных изменений в давно существующих требованиях о локализации данных российских граждан при их сборе. «Как и ранее, сбор данных, их запись, актуализация и другие действия, влияющие на полноту и актуальность информации в базе, должны осуществляться с использованием серверов, расположенных на территории России. После локализации или актуализации данных в России их можно передавать за рубеж», — говорит он.

Вместе с тем он считает, что формулировка и целеполагание нововведений крайне противоречивы. «Передача локализованных в России данных за рубеж не может быть полностью запрещена, как предполагает наиболее консервативная трактовка, — продолжает Дмитриев. — Такой запрет противоречил бы не только положениям закона о трансграничной передаче данных, которая прямо разрешена при соблюдении установленных условий, но и международным обязательствам России, включая Конвенцию 1981 года». «Конвенция о защите физических лиц при автоматизированной обработке персональных данных» заключена в Страсбурге 28 января 1981 года. Важно будет учитывать позиции Роскомнадзора и иных контролирующих органов, которые будут применять норму на практике, обращает внимание юрист.

Дополнительные риски

Генеральный директор юридической компании Enterprise Legal Solutions Анна Барабаш полагает, что пострадать от прямого запрета может в первую очередь бизнес, использующий облачные серверы. «При их использовании достаточно сложно установить, какие из них используются для хранения данных и где они расположены», — считает она.

Это продолжение запрета передавать за рубеж базы данных, которые содержат ПД россиян, говорит эксперт юридической фирмы DRC Кира Таран, добавляя, что норма имеет двойное значение. «С одной стороны, совершать действия с ПД возможно согласно исключениям: международный договор, участие в судопроизводстве и др., — размышляет она. — С другой, нововведение можно трактовать как запрет для отечественных компаний, которые ведут трансграничную деятельность, работать в иностранном государстве с российскими ПД. А для бизнеса такие данные — это источник информации и статистики, которая позволяет развиваться».

По мнению Таран, принятие нормы приведет к изменению корпоративных норм в российских компаниях, которые занимаются трансграничным бизнесом. Так, под новое регулирование могут подпасть маркетплейсы и IT-компании, считает она. Кроме того, в этот список теоретически можно включить и авиакомпании как обеспечивающие трансграничную передачу ПД своих пассажиров. «Однако не содержится объяснения, как этот запрет будет контролироваться», — заключает Кира Таран.

Бизнес, впрочем, склонен не драматизировать ситуацию. В объединенной компании Wildberries & Russ ожидают сбалансированного правоприменения. В «Яндексе» отметили, что поправка лишь уточняет уже действующее требование законодательства обрабатывать ПД российских пользователей на территории России. «Яндекс» следует этому требованию, поэтому для нас принципиальных изменений не будет», — добавили в компании. Ozon, VK отказались от комментариев. В «Аэрофлоте» на запрос Forbes не ответили.

В Ассоциации больших данных (АБД, объединяет в том числе МТС, билайн, «Мегафон», «Яндекс», «Ростелеком», Сбербанк, ВТБ) рассчитывают, что новая редакция требований о локализации данных не окажет значительного влияния на деятельность большинства российских компаний. «При этом возникают дополнительные риски для компаний, осуществляющих трансграничную деятельность, поскольку возможны коллизии с нормами о трансграничной передаче данных», — добавили в АБД.