К чему приводит отказ локализовать персональные данные

В целях обеспечения информационной безопасности были внесены поправки к Федеральному Закону № 242, обязующие компании обрабатывать и хранить персональные данные россиян с использованием баз данных, размещенных на территории РФ. Поправки вступили в силу 1 сентября 2015 года, однако ответственность за персональные данные была установлена только в 2019 году. За нарушение закона в части локализации предусмотрено наказание в виде штрафа для юридических лиц в размере до 6 млн рублей (ч. 8 ст. 13.11 КоАП РФ), в случае повторного нарушения – до 18 млн рублей (ч. 9 ст. 13.11 КоАП РФ).

Согласно критерию территориальной принадлежности компаний, ответственных за персональные данные россиян, выработанному в статье 1212 Гражданского кодекса РФ, плотно связанного с законом о персональных данных, обязанности по локализации обработки персональных данных распространяются и на иностранных операторов при условии использования доменного имени, связанного с РФ или его субъектами, а также при наличии русскоязычной версии сайта. Таким образом, под ограничения попали все крупнейшие компании, хранившие персональные данные россиян за рубежом: Microsoft, Samsung, HP, Twitter, Facebook, WhatsApp и др.

На сегодняшний день хранение персональных данных российских пользователей локализовали порядка 600 представительств зарубежных компаний в РФ, среди которых Apple, Microsoft, LG, Samsung, PayPal, Booking и другие. Тем не менее, ряд крупнейших иностранных компаний проигнорировали требования закона по обеспечению информационной безопасности данных граждан РФ.

Еще в 2015 году Роскомнадзор начал проверки компаний на предмет нарушения информационной безопасности и направил компаниям официальные уведомления о необходимости соблюдения законодательства РФ в области персональных данных. В связи с отсутствием официального ответа на уведомление таких иностранных компаний, как Twitter и Facebook, Роскомнадзор в 2019 году был вынужден инициировать в отношении них административное производство.

13 февраля 2020 года мировым судьей Таганского районного суда города Москвы компании Твиттер Инк. и Фейсбук Инк. за отказ локализовать персональные данные россиян на территории России были признаны виновными в правонарушениях, предусмотренных ч. 8 ст. 13.11 КоАП. Каждой корпорации было назначено наказание в виде административного штрафа в размере 4 миллионов рублей. Компания Facebook штраф оплатила, в том время как Twitter не оплатил. А в июле 2021 года тот же суд признал компанию Google виновной в совершении административного правонарушения по ч. 8 ст. 13.11 КоАП РФ. Штраф в 3 млн руб. стал первым для Google по этой статье.

Затем 26 августа 2021 года снова Таганский районный суд Москвы рассмотрел административные протоколы, составленные Роскомнадзором в отношении американских интернет-сервисов Facebook, WhatsApp и Twitter, согласно предписанию по обеспечению информационной безопасности не локализовавших на территории РФ базы данных российских пользователей к 1 июля 2021 года. Решением суда WhatsApp был назначен штраф в размере 4 млн рублей по ч. 8 ст. 13.11 КоАП РФ. А компаниям Facebook и Twitter 15 млн рублей и 17 млн рублей, соответственно, за повторные нарушения требований о локализации персональных данных по ч. 9 ст. 13.11 КоАП РФ.

Кроме того, этим летом Госдума РФ одобрила законопроект, обязывающий крупные зарубежные ИТ-компании с ежедневной аудиторией в РФ от 500 тыс. человек открывать свои представительства в России. Такие организации должны будут с 1 января 2022 года создать филиалы, открыть представительства или учредить российские юридические лица, которые в полном объеме будут представлять интересы головных компаний во взаимодействии с Роскомнадзором.