Журнал "Директор по безопасности" Апрель 2020 | Page 25
Следует отметить, что в целом обя-
занность по локализации особо акту-
альна именно для иностранных, меж-
дународных компаний и компаний с
иностранным элементом. Также по-
вышенное внимание к исполнению
обязанности по локализации целесоо-
бразно проявить компаниям, ориенти-
рованным на зарубежный рынок.
Большинство нарушений связано с
тем, что такие компании, действуя в
России, или направляя деятельность
на Россию, используют для сбора и об-
работки персональных данных, облач-
ные хранилища, облачные сервисы,
общие корпоративные сети, сервера
которых находятся за рубежом. Та-
кие компании используют для интер-
нет-сайтов иностранные домены верх-
него уровня, такие как .com, .eu и др.,
с подстраницей на /ru или без нее, при
этом сайты размещены на иностран-
ных серверных мощностях.
Например, интернет-ресурс
linkedin.com, администратором кото-
рого является LinkedIn Corporation,
физически размещается на техни-
ческих площадках, находящихся на
территории США и принадлежащих
компании LinkedIn Corporation, что и
послужило основанием для привлече-
ния указанной компании к ответствен-
ности за нарушение обязанности по
локализации и ограничения доступа к
данному интернет-ресурсу.
Как следует из судебной практики,
во всех случаях привлечения к ответ-
ственности за нарушение обязанности
по локализации Роскомнадзор выявил
нарушения посредством мониторин-
га Интернета и использования серви-
сов whois (https://2ip.ru/whois/, https://
whois.ru/).
Так, в Апелляционном определе-
нии Московского городского суда от
26.02.2019 г. по делу № 33-8756/2019
(интернет-сайт vote.2019) суд указал:
«По данным источников «whois» уста-
новлено, что услуги по предоставле-
нию вычислительной мощности для
размещения баз данных, содержащих
персональные данные граждан Россий-
ской Федерации, посредством которых
обеспечивается запись, систематиза-
ция, накопление, хранение, уточнение
(обновление, изменение), извлечение
персональных данных граждан Рос-
сийской Федерации, постоянно под-
ключенных к сети Интернет, а также
осуществляющих обеспечение функци-
онирование информационных систем
и (или) программ для электронных вы-
числительных машин, которые пред-
назначены и (или) используются для
приема, передачи, доставки и (или)
обработки электронных сообщений
пользователей сети Интернет в отно-
шении вышеуказанного интернет-ре-
сурса, осуществляется посредством
серверных мощностей компании
Cloudflare, Inc., расположенной на тер-
ритории США по адресу: 101 Townsend
Street, San Francisco, USA. По данным
интернет-сервиса https://2ip.ru/whois/
установлено, что регистратором до-
менного имени 2019.vote в настоящий
момент является компания Gandi SAS,
расположенная на территории Фран-
цузской Республики».
В этой связи компании, имеющие
сайты, с помощью которых собираются
персональные данные (например, фор-
мы заказа товаров и услуг, формы об-
ратной связи и прочее) являются первой
областью проверки Роскомназдора.
Ответственность
До декабря 2019 года специальной от-
ветственности за нарушение обязан-
ности по локализации предусмотрено
не было. Компании привлекались к
ответственности по ст. 19.7 КоАП – не-
представление или несвоевременное
представление сведений со штрафом
для юридических лиц от 3000 до 5000
рублей. Именно по этой статье на
3000 рублей была оштрафована ком-
пания Twitter, Inc. (Постановление ми-
рового судьи судебного участка № 422
Таганского района города Москвы от
05.04.2019 г. № 5-618/19, оставленное
без изменения вышестоящими судеб-
ными актами).
Федеральным законом от 02.12.2019 г.
№ 405-ФЗ ст. 13.11 КоАП «Нарушение за-
конодательства Российской Федерации
в области персональных данных» была
дополнена ч. 8 и 9, предусматривающи-
ми специальную ответственность за на-
рушение обязанности по локализации:
ч. 8 – невыполнение обязанности
по локализации – влечет наложение
административного штрафа на граж-
дан в размере от 30 000 до 50 000 руб-
лей; на должностных лиц – от 100 000
до 200 000 рублей; на юридических
лиц – от 1 000 000 до 6 000 000 рублей.
ч. 9 – повторное невыполнение
обязанности по локализации – влечет
наложение административного штрафа
на граждан в размере от 50 000 до
100 000 рублей; на должностных лиц –
от 500 000 до 800 000 рублей; на юри-
дических лиц – от 6 000 000 до
18 000 000 рублей.
Результаты введения штрафов на-
лицо: 31 января 2020 года Роском-
надзор возбудил административное
производство в отношении компаний
Facebook, Inc. и Twitter, Inc. по ч. 8
ст. 13.11 КоАП.
Взыскание вышеуказанных штра-
фов может ударить по бюджету не-
больших и средних иностранных ком-
паний. Однако для крупных компаний,
как, например, Facebook, Inc. и Twitter,
Inc., такую ответственность вряд ли
можно признать значительной. Вместе
с тем, нарушение обязанности по ло-
кализации наряду со штрафом может
повлечь за собой неблагоприятные
последствия, предусмотренные Зако-
ном об информации.
Согласно ст. 15.5. Закона об инфор-
мации в целях ограничения доступа к
информации в сети Интернет, обра-
батываемой с нарушением законода-
тельства Российской Федерации в об-
ласти персональных данных, создается
автоматизированная информацион-
ная система «Реестр нарушителей прав
субъектов персональных данных». В
этот реестр включаются доменные и
сетевые имена нарушителей на ос-
новании судебного акта, после чего
принимаются меры по ограничению
доступа к таким интернет-ресурсам
на территории России (блокировка
интернет-ресурса). Ярким примером
такой блокировки является LinkedIn.
Вместе с тем, страницы и сайта менее
известных компаний также блокируют-
ся. Блокировка особенно актуальна в
отношении иностранных компаний, к
которым невозможно применить ад-
министративные штрафы. В целом, та-
кая мера является серьезным ударом
по репутации и бизнесу компании.
Следует отметить, что соблюдение
обязанности по локализации может
быть сопряжено со значительными
затратами, необходимыми для адап-
тации информационных систем, за-
действованным в процессе обработки
персональных данных, требованию
локализации. Иностранным и между-
народным компаниям потребуется
отделять сбор персональных граждан
Российской Федерации от граждан и
подданных других стран, приобретать
серверные мощности в России. Кроме
того, международным компаниям, ис-
пользующих облачные сервисы, еди-
ную корпоративную сеть также при-
дется понести затраты по разделению
систем, приобретению отдельного
программного обеспечения для сбора
на территории России. Учитывая это,
можно еще раз заключить, что зача-
стую расходы на соблюдение требова-
ния о локализации превысят размеры
штрафов, и более действенной мерой
останется ограничение доступа к ин-
тернет-ресурсу. Хотя, как показывает,
практика и LinkedIn, и Telegram ис-
пользуются российскими гражданами.
Вместе с тем, законодательство о
персональных данных должно соблю-
даться не столько из-за страха ответ-
ственности, сколько из уважения прав
и свобод человека и гражданина при
обработке его персональных данных,
в том числе права на неприкосновен-
ность частной жизни, личную и семей-
ную тайну.
Таким образом, компаниям, в
особенности иностранным, между-
народным и содержащим иностран-
ный элемент, необходимо оценить,
применяется ли к ним Закон о пер-
сональных данных, и в случае поло-
жительного ответа на данный вопрос
провести мероприятия по приведению
деятельности в соответствие с законо-
дательством Российской Федерации о
персональных данных и, в первую оче-
редь, провести мероприятия по лока-
лизации персональных данных.
Федеральный закон от 27.07.2006 г. № 149-ФЗ
«Об информации, информационных техноло-
гиях и о защите информации»
1
Федеральный закон от 27.07.2006 г. № 152-ФЗ
«О персональных данных»
2
Федеральный закон от 02.12.2019 г. № 405-ФЗ
«О внесении изменений в отдельные законода-
тельные акты Российской Федерации»
3
4
https://digital.gov.ru/ru/personaldata/
Комментарий к Федеральному закону от 21
июля 2014 г. № 242-ФЗ «О внесении изменений
в отдельные законодательные акты Российской
Федерации в части уточнения порядка обра-
ботки персональных данных в информацион-
но-телекоммуникационных сетях», размещен
по адресу: https://pd.rkn.gov.ru/library/p195/
5
Комментарий, размещен по адресу: https://
pd.rkn.gov.ru/library/p195/
6
7 https://pd.rkn.gov.ru/library/p195/
8 https://digital.gov.ru/ru/personaldata/
9 https://digital.gov.ru/ru/personaldata/
10
https://pd.rkn.gov.ru/library/p195/
Законодательство
о персональных данных
должно соблюдаться
не столько из-за страха
ответственности, сколько
из уважения прав и свобод
человека и гражданина