Роскомнадзор направляет международным компаниям, которые занимаются обработкой и хранением персональных данных россиян, запросы о выполнении требований о локализации данных на территории страны, рассказали РБК несколько участников рынка, получивших подобный запрос. По словам одного из них, получатели — из самых разных отраслей, чьи центры обработки и хранения данных находятся не в России.
В запросе (копия есть у РБК) ведомство просит подтвердить выполнение требования российского законодательства, предоставив Роскомнадзору заверенную схему размещения серверов, на которых хранятся данные российских пользователей, а также договор купли-продажи серверов и справку о том, что их поставили на учет организации. Если у компании нет своих мощностей и она арендует серверы в российских дата-центрах, она должна будет представить копию договора аренды.
По словам сооснователя компании «Б-152» (разработчик автоматизированный системы защиты персональных данных) и эксперта по защите персональных данных Максима Лагутина, подобные запросы получили также несколько их клиентов. Руководитель практики по защите данных PwC Legal Артем Дмитриев также подтвердил, что такие запросы получили «представительства крупных иностранных компаний». Но конкретные названия компаний Лагутин и Дмитриев не раскрывают.
Представитель пресс-службы Роскомнадзора подтвердил, что ведомство направило запрос «ряду организаций в целях уточнения размещения баз персональных данных российских граждан».
Требование хранить персональные данные россиян, в том числе получаемые через интернет, в базах данных, расположенных на территории страны, вступило в силу 1 сентября 2015 года. За его несоблюдение в 2016 году в России была заблокирована социальная сеть профессиональных контактов LinkedIn. Другим крупным международным компаниям Роскомнадзор несколько раз предоставлял отсрочку. В конце мая представитель ведомства заявлял, что чиновники ждут от социальный сетей, включая Facebook и Twitter, информацию о выполнении требования о хранении до 1 июля. Как сообщал замглавы Роскомнадзора Милош Вагнер на итоговом заседании коллегии ведомства, более 600 иностранных компаний уже локализовали данные россиян.
Если организация не соблюдает требование о хранении, за это предусмотрен штраф в размере административного штрафа от 30 тыс. до 50 тыс. руб. для физлиц; от 100 тыс. до 200 тыс. руб. для на должностных лиц и от 1 млн до 6 млн руб. для юрлиц, напомнил он. Однако при повторном нарушении штраф для юрлиц составит уже от 6 млн до 18 млн руб.
Как пояснил Артем Дмитриев, Роскомнадзор каждый год рассылает запросы российским компаниям и подразделениям иностранных компаний в России, но раньше они касались необходимости включения в реестр операторов персональных данных. «Теперь ведомство просит указать, где именно расположены серверы компаний, обрабатывающих персональные данные россиян, с кем из дата-центров заключены договоры, то есть подтвердить, что у компаний есть в России свое или арендуемое «железо», — говорит Дмитриев. По его мнению, запросы приходят тем компаниям, которые в предыдущие годы по каким-то причинам не указывали информацию об адресе баз данных.
Партнер юридической компании bchk.legal Константин Бочкарев отметил, что с момента вступления в силу требования о хранении данных россиян на территории страны было «несколько волн» запросов от Роскомнадзора о его исполнении. «Это последовательная, но довольно хаотичная работа. Например, несколько лет назад была массовая рассылка в представительства иностранных компаний, потом спрашивали компании отдельных отраслей», — отметил эксперт. По его словам, все компании, получающие подобные запрос, опасаются, что за ним последует проверка, но Бочкарев не вспомнил, чтобы «после предыдущих запросов были какие-то репрессии».
По словам Артема Дмитриева, предоставление запрошенной Роскомнадзором информации — «лишь бумажный или формальный шаг обеспечения соответствия требованию о локализации». «На основании этой информации вряд ли возможно проверить фактическую локализацию всех категорий данных и всех систем. Тем не менее готовить ответ Роскомнадзору следует аккуратно, проверив фактические процессы и нахождение серверов», — говорит эксперт PwC.
«У международных компаний всегда остро стоит вопрос об организации хранения персональных данных в России. Среди компаний, которые подпадают под это требование закона, тех, кто действительно локализовал хранение данных, меньшинство», — говорит Максим Лагутин. Он отметил, что пока речь идет о запросе на предоставление информации, а не о фактической проверке, однако допустил, что, если совпадет несколько факторов, Роскомнадзор может инициировать выездную внеплановую проверку выполнения требования.
Дарья Чебакова, Анна Балашова