Новый закон: штрафы за невыполнение требований по обработке информации в Интернете

Вчера, 2 декабря, Президент РФ подписал закон № 405-ФЗ, вводящий миллионные штрафы за нарушения, так или иначе связанные с обработкой информации в Интернете.

Самые широко и громко обсуждаемые нововведения –штраф в размере до 6 млн за невыполнение требований о локализации персональных данных в период их сбора и штраф до 18 млн – за рецидив этого нарушения (максимальные суммы штрафов – для юридических лиц, конечно).

Сразу посыпались комментарии – теперь за хранение персональных данных за рубежом будут нещадно карать, конец всем облакам и прочим SaaS.

Давайте разбираться. Начнем с того, что такого запрета в законе нет. В части 5 статьи 18 закона 152-ФЗ, действующей с 1 сентября 2015 года, написано совсем другое: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».

Итак, речь идет исключительно о периоде сбора персональных данных, ограничения накладываются на 9 из 18 способов обработки, приведенных в п.3 ст.3 закона 152-ФЗ, и не затрагивают, например, использование персональных данных. А дальше читаем многочисленные разъяснения регулятора (страница «Обработка и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года» на официальном сайте Минкомсвязи) и надзорного органа («Комментарий к Федеральному закону от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», сайт http://pd-info.ru/).

В качестве квинтэссенции всех этих разъяснений – цитата с сайта Минкомсвязи: «Таким образом, персональные данные гражданина Российской Федерации, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней («первичная база данных»), могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных. Такие вторичные базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр.».

Нововведения, как представляется, направлены в первую очередь на иностранные компании, которые отказываются локализовывать собираемые данные россиян в базах на территории России, но активно работают с ними (в первую очередь – такие, как Facebook и Twitter). Механизм блокировок показал свою неэффективность, ищутся другие пути воздействия. Правда, как взыскивать штраф с таких компаний, тоже непонятно. Похоже, Facebook, в отличие от Twitter, 3 тысячи рублей штрафа за непредставление сведений (ст.19.7 КоАП) так и не оплатил, так что надежд на получение миллионов тоже не много.

Помимо дополнения статьи 13.11 КоАП про локализацию частями 8 и 9, новый закон содержит еще целый ряд дополняющих Кодекс об административных правонарушениях положений.

Штрафы в сотни тысяч и миллионы рублей введены за повторные нарушения, допущенные организаторами распространения информации в Интернете (ст.13.31 КоАП, три состава рецидивов), владельцами аудиовизуальных сервисов (ст.ст. 13.35, 13.36 и 13.37 КоАП, три состава рецидивов), организаторами сервиса обмена мгновенными сообщениями (мессенджеров) (ст.13.39 КоАП), оператором поисковой системы (ст.13.40 КоАП, три состава рецидивов).

Ждем практику правоприменения новых видов ответственности.