Требование о локализации персональных данных
Подборка наиболее важных документов по запросу Требование о локализации персональных данных (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Статьи, комментарии, ответы на вопросы
Статья: Персональные данные в кадрах: что и кому можно обрабатывать, а что грозит миллионными штрафами
(Лагутин М.)
("Делопроизводство", 2025, N 2)Однако ч. 5 ст. 18 152-ФЗ обязывает первично собирать персональные данные на серверах, которые территориально расположены в России. Поэтому рекомендуется переходить на отечественные "рельсы" и отказываться от иностранных корпоративных сервисов, либо изменить подход к работе с такими сервисами, обеспечив требования о локализации персональных данных.
(Лагутин М.)
("Делопроизводство", 2025, N 2)Однако ч. 5 ст. 18 152-ФЗ обязывает первично собирать персональные данные на серверах, которые территориально расположены в России. Поэтому рекомендуется переходить на отечественные "рельсы" и отказываться от иностранных корпоративных сервисов, либо изменить подход к работе с такими сервисами, обеспечив требования о локализации персональных данных.
"Правовые аспекты разработки и коммерциализации программного обеспечения"
(Савельев А.И.)
("Статут", 2024)Как отмечалось ранее, поскольку провайдер SaaS в ряде случаев будет осуществлять обработку персональных данных, то необходимо включение в соглашение с ним положений, предусмотренных ч. 3 ст. 6 Закона о персональных данных, об осуществлении обработки персональных данных по поручению оператора (клиента SaaS). Данная норма содержит, помимо прочего, перечень существенных условий, которые должны быть отражены в соглашении между оператором (клиентом SaaS) и "обработчиком" (провайдером SaaS). Часть данных условий касается самих персональных данных: перечень персональных данных, которые будут обрабатываться с использованием программы, предоставляемой по модели SaaS; перечень действий (операций) с такими персональными данными, которые будут совершаться провайдером SaaS (например, хранение на серверах провайдера SaaS); цели обработки таких данных (например, осуществление авторизации в личном кабинете SaaS-сервиса, использование программы по функциональному назначению). Другая часть условий, предусмотренных ч. 3 ст. 6 Закона о персональных данных, касается выполнения провайдером SaaS ряда обязанностей: соблюдать конфиденциальность персональных данных, выполнять требования по локализации и организационно-технические меры по защите персональных данных (ст. 18.1 Закона о персональных данных) и их безопасности (ст. 19 Закона о персональных данных); обязанность по запросу клиента предоставлять документы и иную информацию, подтверждающие выполнение вышеуказанных обязанностей, в том числе информацию, связанную с утечкой данных из сервиса SaaS, за которую может нести ответственность сам клиент как оператор таких данных. Схожие по своей сути положения содержатся и в зарубежном законодательстве о персональных данных, в частности в GDPR <1>. Нередко данные положения включаются в отдельное соглашение или приложение к договору SaaS <2>.
(Савельев А.И.)
("Статут", 2024)Как отмечалось ранее, поскольку провайдер SaaS в ряде случаев будет осуществлять обработку персональных данных, то необходимо включение в соглашение с ним положений, предусмотренных ч. 3 ст. 6 Закона о персональных данных, об осуществлении обработки персональных данных по поручению оператора (клиента SaaS). Данная норма содержит, помимо прочего, перечень существенных условий, которые должны быть отражены в соглашении между оператором (клиентом SaaS) и "обработчиком" (провайдером SaaS). Часть данных условий касается самих персональных данных: перечень персональных данных, которые будут обрабатываться с использованием программы, предоставляемой по модели SaaS; перечень действий (операций) с такими персональными данными, которые будут совершаться провайдером SaaS (например, хранение на серверах провайдера SaaS); цели обработки таких данных (например, осуществление авторизации в личном кабинете SaaS-сервиса, использование программы по функциональному назначению). Другая часть условий, предусмотренных ч. 3 ст. 6 Закона о персональных данных, касается выполнения провайдером SaaS ряда обязанностей: соблюдать конфиденциальность персональных данных, выполнять требования по локализации и организационно-технические меры по защите персональных данных (ст. 18.1 Закона о персональных данных) и их безопасности (ст. 19 Закона о персональных данных); обязанность по запросу клиента предоставлять документы и иную информацию, подтверждающие выполнение вышеуказанных обязанностей, в том числе информацию, связанную с утечкой данных из сервиса SaaS, за которую может нести ответственность сам клиент как оператор таких данных. Схожие по своей сути положения содержатся и в зарубежном законодательстве о персональных данных, в частности в GDPR <1>. Нередко данные положения включаются в отдельное соглашение или приложение к договору SaaS <2>.
Нормативные акты
<Информация> Роскомнадзора
<О получении согласия на обработку персональных данных при покупке товаров в интернет-магазинах>Роскомнадзором при участии Молодежной палаты Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных были подготовлены рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных. Подготовлены также материалы по соблюдению требований закона о локализации баз персональных данных на территории Российской Федерации. Все они размещены на официальных интернет-ресурсах ведомства.
<О получении согласия на обработку персональных данных при покупке товаров в интернет-магазинах>Роскомнадзором при участии Молодежной палаты Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных были подготовлены рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных. Подготовлены также материалы по соблюдению требований закона о локализации баз персональных данных на территории Российской Федерации. Все они размещены на официальных интернет-ресурсах ведомства.
Статья: Права и свободы человека и гражданина в цифровую эпоху: государства versus IT-гиганты
(Виноградов В.А.)
("Журнал российского права", 2024, N 9)В России Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" предусматривает специальное регулирование, описывает обязанности операторов и права субъектов персональных данных. За несоблюдение требований Закона в КоАП РФ предусмотрена ответственность. Например, за несоблюдение требований о локализации баз данных, содержащих персональные данные, штраф может достигать 6 млн руб., а при повторном нарушении - 18 млн руб. (п. 8, 9 ст. 13.11 КоАП РФ). С 1 сентября 2022 г. вступили в силу изменения в Федеральный закон "О персональных данных", предусматривающие обязательное уведомление Роскомнадзора "о начале или осуществлении любой обработки персональных данных, за исключением случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности или если оператор обрабатывает данные исключительно без средств автоматизации" <11>. Что касается трансграничной передачи данных, то с 1 марта 2023 г. операторы уведомляют о любой такой передаче данных, а Роскомнадзор по результатам рассмотрения уведомления вправе ее запретить или ограничить. 22 апреля 2024 г. на рассмотрение в Государственную Думу был внесен законопроект "О внесении изменений в статью 9 Федерального закона "О персональных данных" <12>, цель которого - упростить процедуру отзыва согласия на обработку персональных данных. Например, если согласие предоставлено через электронную форму в сети Интернет, то и его отзыв также должен быть возможен в такой форме.
(Виноградов В.А.)
("Журнал российского права", 2024, N 9)В России Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" предусматривает специальное регулирование, описывает обязанности операторов и права субъектов персональных данных. За несоблюдение требований Закона в КоАП РФ предусмотрена ответственность. Например, за несоблюдение требований о локализации баз данных, содержащих персональные данные, штраф может достигать 6 млн руб., а при повторном нарушении - 18 млн руб. (п. 8, 9 ст. 13.11 КоАП РФ). С 1 сентября 2022 г. вступили в силу изменения в Федеральный закон "О персональных данных", предусматривающие обязательное уведомление Роскомнадзора "о начале или осуществлении любой обработки персональных данных, за исключением случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности или если оператор обрабатывает данные исключительно без средств автоматизации" <11>. Что касается трансграничной передачи данных, то с 1 марта 2023 г. операторы уведомляют о любой такой передаче данных, а Роскомнадзор по результатам рассмотрения уведомления вправе ее запретить или ограничить. 22 апреля 2024 г. на рассмотрение в Государственную Думу был внесен законопроект "О внесении изменений в статью 9 Федерального закона "О персональных данных" <12>, цель которого - упростить процедуру отзыва согласия на обработку персональных данных. Например, если согласие предоставлено через электронную форму в сети Интернет, то и его отзыв также должен быть возможен в такой форме.
"LegalTech в сфере предпринимательской деятельности: монография"
(отв. ред. И.В. Ершова, О.В. Сушкова)
("Проспект", 2023)- особые требования к безопасности со стороны крупных корпоративных заказчиков и требование к локализации персональных данных. С одной стороны, решения должны учитывать специфику каждого заказчика, с другой - все данные должны храниться внутри страны;
(отв. ред. И.В. Ершова, О.В. Сушкова)
("Проспект", 2023)- особые требования к безопасности со стороны крупных корпоративных заказчиков и требование к локализации персональных данных. С одной стороны, решения должны учитывать специфику каждого заказчика, с другой - все данные должны храниться внутри страны;
"Научно-практический постатейный комментарий к Федеральному закону "О персональных данных"
(2-е издание, переработанное и дополненное)
(Савельев А.И.)
("Статут", 2021)Данная практика получила свое дальнейшее распространение. Так, Верховный Суд РФ, оставляя в силе принятые нижестоящими судами судебные акты о привлечении социальной сети Twitter к ответственности за несоблюдение требований локализации персональных данных, указал, что "о направленности сайта www.twitter.com в информационно-телекоммуникационной сети Интернет на территорию Российской Федерации свидетельствует, в частности, наличие русскоязычной версии данного сайта", а также тот факт, что "использование социальной сети Twitter предполагает обработку личной информации, предоставляемой российскими пользователями в учетных данных" (Постановление Верховного Суда РФ от 27 декабря 2019 г. N 5-АД19-239).
(2-е издание, переработанное и дополненное)
(Савельев А.И.)
("Статут", 2021)Данная практика получила свое дальнейшее распространение. Так, Верховный Суд РФ, оставляя в силе принятые нижестоящими судами судебные акты о привлечении социальной сети Twitter к ответственности за несоблюдение требований локализации персональных данных, указал, что "о направленности сайта www.twitter.com в информационно-телекоммуникационной сети Интернет на территорию Российской Федерации свидетельствует, в частности, наличие русскоязычной версии данного сайта", а также тот факт, что "использование социальной сети Twitter предполагает обработку личной информации, предоставляемой российскими пользователями в учетных данных" (Постановление Верховного Суда РФ от 27 декабря 2019 г. N 5-АД19-239).
Статья: Цифровые экосистемы в современном праве: анализ национальных и международных подходов
(Гулемин А.Н.)
("Электронное приложение к "Российскому юридическому журналу", 2024, N 5)Вопрос защиты персональных данных, на наш взгляд, является одним из наиболее актуальных в работе цифровых экосистем. ФЗ N 152-ФЗ "О персональных данных" (ред. от 8 августа 2024 г.) содержит общие положения, регулирующие обработку персональных данных во всех сервисах экосистемы. Ключевыми выступают нормы о получении явного согласия на обработку персональных данных от субъекта, требования о локализации данных на серверах, расположенных на территории России, обязанности операторов (к которым относится цифровая экосистема) по внедрению мер по защите данных и уведомлению о случаях утечки такой информации. На практике возникают проблемы с соблюдением этих требований, особенно у международных компаний, что нередко приводит к конфликтам с регуляторными органами.
(Гулемин А.Н.)
("Электронное приложение к "Российскому юридическому журналу", 2024, N 5)Вопрос защиты персональных данных, на наш взгляд, является одним из наиболее актуальных в работе цифровых экосистем. ФЗ N 152-ФЗ "О персональных данных" (ред. от 8 августа 2024 г.) содержит общие положения, регулирующие обработку персональных данных во всех сервисах экосистемы. Ключевыми выступают нормы о получении явного согласия на обработку персональных данных от субъекта, требования о локализации данных на серверах, расположенных на территории России, обязанности операторов (к которым относится цифровая экосистема) по внедрению мер по защите данных и уведомлению о случаях утечки такой информации. На практике возникают проблемы с соблюдением этих требований, особенно у международных компаний, что нередко приводит к конфликтам с регуляторными органами.