Роскомнадзор начал проверять иностранные компании на локализацию баз данных россиян

Роскомнадзор попросил международные компании предоставить информацию о выполнении требований о локализации данных в стране. Об этом РБК рассказали несколько участников рынка.

Получатели писем — представители самых разных отраслей, чьи центры обработки и хранения данных находятся не в России, сказал один из источников.

Ведомство просит их подтвердить следование нормам российского законодательства, предоставив заверенную схему размещения серверов, договор купли-продажи серверов и справку о том, что их поставили на учет организации. Если у компании нет своих мощностей, она должна будет представить копию договора аренды.

По словам сооснователя компании «Б-152» и эксперта по защите персональных данных Максима Лагутина, подобные запросы получили несколько его клиентов. Руководитель практики по защите данных PwC Legal Артем Дмитриев также подтвердил, что запросы получили «представительства крупных иностранных компаний». Но конкретные названия компаний Лагутин и Дмитриев не раскрывают.

Требование хранить персональные данные россиян в базах данных, расположенных на территории страны, вступило в силу 1 сентября 2015 года. За его несоблюдение в 2016 году в России заблокировали LinkedIn. Другим крупным международным компаниям Роскомнадзор несколько раз предоставлял отсрочку.

В конце мая в Роскомнадзоре заявили, что ждут от соцсетей, включая Facebook и Twitter, информацию о выполнении требования о хранении до 1 июля. По словам замглавы ведомства Милоша Вагнера, более 600 иностранных компаний уже локализовали данные россиян.

За несоблюдение требования предусмотрен штраф в размере от 30 тыс. до 50 тыс. руб. для физлиц; от 100 тыс. до 200 тыс. руб. для должностных лиц и от 1 млн до 6 млн руб. для юрлиц. Однако при повторном нарушении штраф для юрлиц составит уже от 6 млн до 18 млн руб.

Как пояснил Дмитриев, Роскомнадзор каждый год рассылает запросы подразделениям иностранных компаний в России, но раньше они касались только включения в реестр операторов персональных данных.

«Теперь ведомство просит указать, где именно расположены серверы компаний, обрабатывающих персональные данные россиян, с кем из дата-центров заключены договоры, то есть подтвердить, что у компаний есть в России свое или арендуемое „железо”», — объяснил он.

С момента вступления в силу требования о хранении данных было «несколько волн» запросов от Роскомнадзора о его исполнении, сказал изданию партнер юридической компании bchk.legal Константин Бочкарев.

«Это последовательная, но довольно хаотичная работа. Например, несколько лет назад была массовая рассылка в представительства иностранных компаний, потом спрашивали компании отдельных отраслей», — отметил эксперт.

По его словам, все компании, получающие подобные запрос, боятся, что за ним последует проверка, но Бочкарев не вспомнил, чтобы «после предыдущих запросов были какие-то репрессии».

В PwC считают, что предоставление информации Роскомнадзору — формальность, на основании которой вряд ли получится проверить фактическую локализацию всех категорий данных и систем. Однако готовить ответ Роскомнадзору все равно стоит аккуратно.