На портале anti-malware.ru вышла статья Евгения Баклушина, руководителя направления аудитов и соответствия требованиям ИБ компании УЦСБ, автора блога BESSEC
Введение
Несмотря на геополитическую обстановку, многие российские организации продолжают взаимодействовать с иностранными компаниями, а иностранные компании — с российскими гражданами (пользователями). Это, в свою очередь, сопровождается трансграничной передачей персональных данных граждан РФ и их хранением за пределами территории РФ. В этой статье напомним, какие в России действуют требования в отношении вышеупомянутых процессов и какая ответственность предусмотрена за несоблюдение этих требований.
Трансграничная передача персональных данных
С 1 марта 2023 года в России действуют новые требования к трансграничной передаче персональных данных, установленные Федеральным законом от 14 июля 2022 года № 266-ФЗ.
В соответствии с новыми требованиями оператор ПДн при намерении осуществлять передачу персональных данных граждан РФ на территорию другого государства обязан уведомить Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), при этом требование распространяется и на тех операторов, которые уже осуществляли трансграничную передачу персональных данных до вступления в силу новых требований.
Непредоставление уведомления о трансграничной передаче персональных данных может повлечь за собой штраф в соответствии со ст. 19.7 КоАП РФ.
Рисунок 1. Размер штрафов за непредоставление уведомления о трансграничной передаче ПДн
При этом ответственность может быть возложена за каждый случай нарушения требований законодательства РФ.
Локализация персональных данных
Помимо требований к трансграничной передаче персональных данных граждан РФ, ч. 5 ст. 18 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» определяет требования к их локализации — т. е. все персональные данные российских граждан должны находиться и обрабатываться на территории России, независимо от того, осуществляются ли эти процессы российским или иностранным лицом.
Отказ от локализации персональных данных граждан РФ на территории России может повлечь за собой штраф в соответствии с ч. 8 ст. 13.11 КоАП РФ.
Рисунок 2. Размер штрафов за отказ от локализации персональных данных граждан
Реальные кейсы
Обычно в российском поле не рассматривается отдельно соответствие требованиям по организации трансграничной передачи персональных данных, оценка всегда является всеобъемлющей. Однако контролирующие органы, в частности Роскомнадзор, особенно трепетно относятся к требованию по локализации персональных данных граждан РФ — причём не только в отношении первого факта выявления нарушений, но и в части отслеживания устранения несоответствий. Приведём несколько свежих примеров.
Так, 14 ноября 2023 года мировой судья Таганского района Москвы оштрафовал на 15 миллионов рублей компанию Google за повторный отказ локализовать персональные данные россиян. При этом первый случай привлечения «корпорации добра» к ответственности за нарушение требований российского законодательства в части локализации персональных данных был также оформлен протоколом судьи Таганского района Москвы в июле 2021 года.
При этом важно отметить, что «под прицелом» российских контролирующих органов находятся не только иностранные ИТ-гиганты. Например, в октябре 2023 года Таганский суд Москвы оштрафовал интернет-магазин для дайверов Molchanovs Pre Ltd. на 500 тысяч рублей за отказ локализовать персональные данные граждан РФ. Ранее российские юридические и дайверские сообщества выражали опасения в отношении легитимности действий российских инструкторов по дайвингу после публикации Федерального закона от 14 июля 2022 года № 266-ФЗ в части трансграничной передачи персональных данных в сторону Molchanovs Pre Ltd., однако даже в случае реализации этот риск не имеет тех критических последствий, которых опасались упомянутые сообщества. Как и предполагали наши эксперты, ключевым здесь стало нарушение по нелокализации персональных данных.
Также в ноябре 2023 года сервис для бронирования отелей Airbnb был признан виновным в повторном нарушении требований по локализации персональных данных граждан РФ на территории России и оштрафован на шесть миллионов рублей.
Важно, что денежные штрафы — не единственная мера пресечения, которая может ожидать компанию. В случае неоднократного невыполнения требований законодательства по вопросам защиты прав российских граждан интернет-ресурс может быть заблокирован на территории РФ, как это произошло с LinkedIn в 2016 году.
Рекомендации
С первого взгляда может показаться, что суды и Роскомнадзор проявляют активность только в отношении иностранных компаний, однако это не так. Ежегодно Роскомнадзор проводит большое количество плановых и внеплановых проверок в отношении российских компаний, при этом предмет некоторых из них составляют именно вопросы легитимности организации трансграничной передачи ПДн и локализации персональных данных граждан РФ на территории России.
Обычно перечень плановых проверок публикуется на официальном сайте Роскомнадзора в начале календарного года, а внеплановые проверки проводятся в связи с обращениями субъектов персональных данных в Роскомнадзор с целью защиты их прав или в связи с инцидентом в информационной безопасности, связанным с обработкой ПДн в организации. Таким образом, ни одна организация (иностранная или российская) не застрахована от проверки.
В целях минимизации рисков штрафных санкций по вопросам, которые мы рассмотрели в этой статье, организациям необходимо выполнить несколько шагов (рис. 3).
Рисунок 3. Рекомендуемые шаги по минимизации рисков
Выводы
Таким образом, если вы не хотите подвергать опасности ваш бизнес, а также личные данные ваших клиентов, то следование изображённому выше сценарию — самый простой способ минимизации рисков. Так, на официальное и заблаговременное решение задачи вы потратите всего несколько десятков тысяч рублей, при этом вам не нужно будет бояться проверки Роскомнадзора и последующей уплаты миллионных штрафов.
Если вы понимаете, что вышеупомянутые вопросы для вас актуальны, но не обладаете достаточными временными и человеческими ресурсами, чтобы решить их самостоятельно, то на российском рынке есть нужное количество экспертных компаний, которые готовы помочь вам с корректной организацией процессов обработки и защиты персональных данных.
Источник: anti-malware.ru