IT-новости в области права

Роскомнадзор требует локализовать данные граждан РФ

13.04.2021

Роскомнадзор ждет до 31 мая 2021 года от Google, Twitter, Facebook и WhatsApp ответа на отправленный им ранее запрос о локализации на территории РФ баз данных их российских пользователей.

В случае, если ответа не поступит, будет решаться вопрос о привлечении компаний к ответственности за нарушение российского законодательства в сфере персональных данных, сказали в Роскомнадзоре в ответ на запрос агентства. Ответственность за нарушение требований о локализации данных (ч. 8 ст. 13.11 КоАП РФ) предусматривает наказание в виде штрафа от 1 000 000 до 6 000 000 рублей, а за повторное невыполнение этого требования - от 6 000 000 до 18 000 000 рублей. В ведомстве рассказали, что контрольные мероприятия проводятся Роскомнадзоре в плановом порядке. Также основанием для проверки могут послужить обращения граждан, запросы от уполномоченных органов или выявление недостоверной информации в реестре операторов персональных данных. Apple и Microsoft в 2016 и 2019 годах ответили на запросы ведомства и подтвердили факт локализации, требования также выполняют LG, Samsung, PayPal, Booking и другие, сообщили в Роскомнадзоре. В феврале 2020 года суд вынес решения об административных штрафах в 4 000 000 рублей в отношении Facebook и Twitter за отказ локализовать данные российских пользователей соцсетей на территории РФ. Весной 2019 года Facebook и Twitter уже были оштрафованы судом за непредоставление информации (ст.19.7 КоАП РФ) об исполнении требования законодательства: тогда мировой участок Таганского района оштрафовал компании на 3 000 рублей. В декабре 2019 года были приняты поправки в КоАП, которые ужесточили ответственность за нарушение требований по хранению персональных данных. За нарушение требования о локализации уже заблокирована соцсеть LinkedIn. Вопрос о локализации соцсетями Facebook и Twitter данных российских граждан на территории РФ обсуждается с компаниями с 2015 года. Ранее стало известно, что Google, Facebook и Twitter привлекут к ответственности в случае отказа предоставить информацию о локализации баз данных россиян. До сих пор американские IT-гиганты не отреагировали на запрос Роскомнадзора.

В то же время от самого Роскомнадзора ждут пояснений закона о персональных данных. Законом были установлены новые правила по обработке, распространению и использованию персональных данных. Документ устанавливает для операторов персональных данных обязанность получать отдельное согласие на их распространение. Молчание субъекта, заранее проставленная «галочка» или опубликованное положение о политике конфиденциальности больше считаться не будут. Кроме этого, гражданин может указать оператору, какие данные он готов распространять, а какую информацию следует оставить недоступной для третьих лиц. Однако ряд положений уже действующего закона до сих пор остаются непонятными. Разъяснить их должен Роскомнадзор, который пока только готовит соответствующий приказ. Вступивший в силу документ отменяет такое понятие как «общедоступные персональные данные». Документом установлено правило, согласно которому согласие на обработку любых персональных данных (в том числе имени и фамилии) должно быть оформлено отдельным документом. Его нельзя включать в примечания к договорам и в пункты с «проставленными» галочками, в документы о политике конфиденциальности сайта. В законопроекте подчеркивается, что молчание гражданина – не является согласием на распространение его данных. Закон обязывает операторов, работающих с данными, иметь письменное соглашение или отказ субъекта. «Такое согласие должно содержать перечень информационных ресурсов оператора персональных данных, на которых планируется размещать общедоступные персональные данные. Устанавливается, что молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения», – говорится в комментарии к документу. В законе уточняется, что оператор обязан обеспечить субъекту персональных данных самому определять, какая информация может быть распространена, а какую не следует передавать неограниченному кругу. Кроме этого закон наделяет субъектов персональных данных правом в любой момент наложить табу на их использование. При этом подчеркивается, что никаких дополнительных условий или обоснований для выполнения оператором данного требования гражданин предоставлять не должен. На первый взгляд нормы, указанные в законе, кажутся понятными. Однако у юристов есть рад вопросов касательно механизмов исполнения установленного регламента. Например, в документе говорится, что согласие на распространение персональных данных должно быть предоставлено в форме, которая подтверждала бы его наличие. При этом о каких конкретно формах идет речь, в законе не уточняется. В приказе Роскомнадзора, который только находится на согласовании, уточняется, что согласие должно быть либо письменным, либо полученным через информационные ресурсы, например, портал «Госуслуги». В Минцифре пояснили, что социальные сети, вероятнее всего, будут выведены из-под действия новых норм об обработке персональных данных. Глава ведомства Максут Шадаев сообщил, что уже готовится инициатива, посвященная этому вопросу, которая упросить процесс идентификации. «Очевидно, что для соцсетей такой режим не совсем подходит. С одной стороны, (сейчас) создаются дополнительные риски, что у соцсетей будут скапливаться реальные идентификационные данные, что вряд ли нужно, а с другой, это может во многом тормозить развитие наших социальных сетей, тем более если, например, Facebook такое не спрашивает». В действующем с 1 марта 2021 года законе также указано, что операторы, получившие полное или частичное одобрение персональных данных гражданина, должны в течение 3 дней разместить информацию о том, какие именно данные и как субъект разрешил распространять. Как должно выглядеть это размещение – не уточняется. Возможно, это должны быть какие-то пометки или всплывающие окна (в случае с сайтом). Конкретных рекомендаций на этот счет Роскомнадзор пока не дает. Впрочем, данная норма вступает в силу только с 1 июля 2021 года, и у операторов еще есть время к ней подготовиться. Не распространяется действие новых норм об обработке персональных данных на государственные организации – они могут запрашивать любую информацию без задокументированного согласия субъекта; а также на случаи, имеющие публичный интерес. Второй аспект не предусматривает конкретных критериев, по всей видимости, каждый случай будет рассматриваться индивидуально. Кроме этого, новация не распространяется на случаи передачи данных контрагентам или партнерам, когда существует такая необходимость. Закон четко разделяет понятия «распространение» и «передача».