company_banner

Парламент утвердил закон, фиксирующий миллионные штрафы за хранение персональных данных граждан вне РФ



    Совет Федерации сегодня утвердил поправки в Кодекс об административных правонарушениях, которые фиксируют размеры штрафа для операторов сбора персональных данных россиян, хранящих их (данные, не россиян) в базах данных за пределами нашей страны. Максимальный штраф для юрлиц за повторное нарушение законодательной нормы — 18 миллионов рублей. Поправки ещё не вступили в силу: законопроект, утверждённый обеими палатами парламента, отдан на подпись президенту.

    И вот подробности.

    Депутаты предложили (а сенаторы согласились) дополнить статью 13.11 КоАП РФ, в том числе, частями следующего содержания:
    "Часть 8. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, влечет наложение административного штрафа: на граждан — в размере от тридцати до пятидесяти тысяч рублей; на должностных лиц — от ста до двухсот тысяч рублей; на юридических лиц — от одного до шести миллионов рублей".
    "Часть 9. Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи, влечет наложение административного штрафа: на граждан — в размере от пятидесяти до ста тысяч рублей; на должностных лиц — от пятисот до восьмисот тысяч рублей; на юридических лиц — от шести до восемнадцати миллионов рублей".

    В случае подписания законопроекта президентом он вступит в силу в день его официального опубликования.

    Самое время провести ревизию, всё ли вы правильно храните и там ли храните, где предписывает закон…
    ITSumma
    268,60
    Собираем безумных людей и вместе спасаем интернет
    Поделиться публикацией

    Комментарии 91

      +3

      Всегда понимал этот закон как "данные о гражданах РФ необходимо хранить в России". Но в который раз сталкиваюсь с формулировкой, что штраф грозит тем, кто хранит данные за пределами России. Но "хранить данные вне России" != "не хранить данные в России".
      В итоге штраф за хранение вне или за не хранение внутри?

        +5

        Штраф за отсутствие в РФ БД, в которую проводится первичное внесение перс данных. То есть в РФ всегда должна быть первая и самая актуальная на любой момент времени копия данных.

          +8
          В том то и дело. Заголовок новости желтушный, не соответствует действительности
        +4
        А если сервис понятия не имеет является ли пользователь гражданином России? Я так понимаю это будут проблемы сервиса?
          +4

          Получается могут блокировать любые сайты на хостинге вне серверов РФ?

            0
            Не известно, если штраф — именно блокировка, но касаться будет тех, кто хранит данные, которые попадают под определение того, что считается персональными данными.
              0

              То-есть могут оштрафовать любого иностранного оператора персональных данных который и не знает где находится Россия?

              0

              Разве так ещё не делают?

                0
                Время менять юрисдикцию
                +10
                Учитывая особый интерес к ПД всех, например GDPR тоже не кусок сахара, надо вообще от этих данных отказываться. Я уже предложил на работе нигде не использовать имена, зачем мне это головняк? Будут в Jira programmer1, qa3 и тп. И пусть сами разбираются кто где есть. ПД знает только отдел кадров, их сервер под 7-ю замками с личным охранникком, доступ по сетчатке глаза при трех свидетелях, но это уже не проблемы IT.
                  +4
                  Подозреваю что у онлайн магазинов, хостинг провайдеров и прочего, что связано с деньгами так не получится. Для всех остальных так и надо, вообще это использование имен в интернете относительно новомодная штука, раньше такого не было.
                    0

                    А если сервис лишь взимает плату за пользование — он обязан брать персональные данные?

                    0

                    Мне кажется, достаточно будет обезличенной аватарки.

                      +7

                      Или как в гуглдоках: Неизвестный бык, Неизвестный петух, Неизвестный баклан...

                      0
                      Ну, это вам не нужно, но есть куча мильонов случаев, когда персональные данные просто необходимо собирать и хранить.
                        +1
                        Суд посчитал передачу обезличенных данных нарушением закона. То есть, простого отказа от имён недостаточно, если остальные данные как то всё равно позволяют идентифицировать пользователя. Как видите, по мнению суда это могут быть просто поисковые запросы.
                          0
                          Здравствуйте, я вам посылку принёс. Можно ваш паспорт на имя programmer1?
                          -А у меня его нет :(
                          -Ну значит посылку я вам не отдам, потому что у вас паспорта нету
                          -Моя аватарка, мой паспорт!
                            0
                            Я думаю это можно решить с помощью каких-нибудь одноразовых токенов. Первое что приходит в голову — при покупке отправляется бар-код на почту или телефон. При этом email или номер телефона не сохраняется на сервере. При передачи товара сканируется бар код, что и является подтверждением. Не знаю правда, как такая модель согласуется с текущим законодательством.
                              0
                              Но в любом случае необходимо хранить адрес получателя, его ФИО. Этого уже достаточно чтобы попасть.
                            0

                            После этого вам не приходит товар и вы ни куда не летите, поскольку ник и аватарка не подтверждают вашу личность.

                            +5

                            Я может невнимательно читал, но что если у меня два гражданства и законы государств в этом аспекте будут противоречить друг другу? Ну или, а что если я просто живу за рубежом, имея рос. гражданство?

                              +3
                              Проблемы индейцев шерифа не волнуют. Более того — не удивлюсь, если через несколько лет внесут поправку, в соотвествии с которой попытка отказать в обслуживании жителям Крыма будет также сопровождаться штрафом.

                              В качестве ориентира явно взят Китайский опыт…
                                –13
                                А вот тут я бы поддержал такой закон, потому что нефиг отказывать жителям Крыма в обслуживании.
                                  +1
                                  Тогда откажут жителям всей РФ. Это лучше?
                                    0
                                    С некоторого момента лучше. Но, конечно, перед тем, как вводить такой закон нужно всё чётко просчитать.

                                    Потому в ближайшее время вряд ли этого следует ожидать — всему своё время.
                                      0

                                      Ближайшее — это сколько, по-вашему?

                                        +2
                                        А почему лучше? Пускай и с некоторого момента.
                                      0
                                      А новых законов для этого не нужно, все уже есть. В этом случае нужна только политическая воля. Работаешь в России — обязан обслуживать всех граждан.

                                      КоАП РФ Статья 5.62. Дискриминация

                                      Дискриминация, то есть нарушение прав, свобод и законных интересов человека и гражданина в зависимости от его пола, расы, цвета кожи, национальности, языка, происхождения, имущественного, семейного, социального и должностного положения, возраста, места жительства, отношения к религии, убеждений, принадлежности или непринадлежности к общественным объединениям или каким-либо социальным группам, — влечет наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на юридических лиц — от пятидесяти тысяч до ста тысяч рублей.

                                      +1
                                      А вот интересно — что у всяких гуглов с близзардами в плане обслуживания жителей Северного Кипра? (Республика Кипр считает что это их территория, Турция считает что это независимая страна)
                                        0

                                        Сейчас российское юр лицо оказывающее услуги жителям Крыма имеет какие-то проблемы при работе с США?

                                          0

                                          Ну, я слышал, что сбербанк в крыму не работает, например. Именно из-за возможных санкций со стороны США.

                                            0
                                            Зависит от желания левой пятки президента.

                                            Поскольку чего будет желать оная пятка через годик — науке неведомо (неизвестно даже чья именно это пятка будет), то лучше сразу считать, что проблемы возможны.
                                          0

                                          Смотря сколько живёте, и насколько важны (для палки/премии, громкого дела, как конкурент).
                                          Как говорится, был бы человек/фирма, а дело найдется.

                                            0
                                            Смотря сколько живёте


                                            Ну, положим, достаточно, чтобы не считаться налоговым резидентом РФ. Только вот законодательство разве об этом как-то говорит в обсуждаемом контексте?
                                            +4
                                            Лично я так и не смог найти конкретное и точное определение, чьи именно персональные данные этот закон защищает. Всех российских граждан без исключения или российских резидентов? Причём в обеих случаях возникают коллизии и проблемы. Скажем, в первом под него попадает куча народа, который хоть и имеют российское гражданство, но имеют второе или давно живут в других государствах. Многие из них не имеют связей с Россией вовсе. Понятно, что их данные хранятся за пределами страны, от всяких фейсбуков и до банков и государственных служб вроде налоговых. Смешно ожидать, что, например, американская налоговая IRS будет переносить свои базы данных с личной информацией американцев в РФ. Во втором случае, в России живёт много иностранцев. Причём они, само собой, не указывают своё гражданство при регистрации, например, в одноклассниках. Но в его стране могут быть похожие законы.
                                            +7
                                            Хм, то есть захожу я в PayPal и вижу: в связи с невозможностью хранения ваших данных на территории РФ мы удалили ваш аккаунт?
                                            Иду поплакаться в Твиттер и вижу там то же самое?
                                              0
                                              Да
                                                +3

                                                Насколько знаю linkedin именно по этому поводу и заблокировали

                                                  +2

                                                  Нет, не переживайте — ООО НКО «ПэйПал РУ» специально было создано несколько лет назад чтобы соответствовать всем нашим законам.

                                                    0

                                                    И "хранит" данные рядом с сотовыми операторами?

                                                      0
                                                      Была информация, о том что тот сервер стоит прямо у них в офисе и ни какому дата центру они доверять не стали.
                                                    –1

                                                    Ну да, будут делать свой твиттер и палку, и предустанавливать, закон уже есть.

                                                      –2
                                                      Как раз ПэйПал с огромным удовольствием собирает все данные о вас и хранит их в России, включая сканы паспортов и мистически необходимого «второго документа».
                                                      Именно поэтому у меня нет ПэйПала.
                                                        0
                                                        По поводу сохранности паспортных и прочих данных я бы, в первую очередь, переживал бы на тему наших операторов. Достаточно много слышали про проблемы с банками в последнее время — ещё интереснее подумать о количестве утечек, про которые публично не сообщалось.
                                                      +1

                                                      А OAuth решает проблему? Если взять условный интернет-магазин в который все логинятся по учетке в условном VK/Mail/Google, т.е. все персональные данные берутся из внешней системы, а в самом магазине хранится только информация о заказах.

                                                        +4
                                                        Мне кажется, что кто-то с такими законами много кто уйдет в Российского рынка, так как он не самый прибыльный.
                                                        По моему Steam не так много денег получает с России. Если не ошибаюсь, то 12%. И смысл ему вкладываться в разработку каких-то API? А завтра какая-нибудь Африка выставит свои требования, мол, за каждого зарегистрированного пользователя из Африки вы должны банан вождю высылать.

                                                        Под Китай, еще могут прогнуться, так как их рынок достаточно закрытый => есть смысл плясать под их дудку, что бы первым занять преимущество.
                                                          0
                                                          Вы хотите сказать, что 12% рынка — это мало?
                                                            +1
                                                            Зависит от выручки, которую они получают.

                                                            Я еще не мало важный фактор написал, что стоит 1 раз прогнуться, так другие государства могут потребовать своих нюансов => трата дополнительных ресурсов на решение всех хочух.
                                                            0
                                                            Если не ошибаюсь, то 12%
                                                            Это большая доля так-то.
                                                              +1
                                                              Если не ошибаюсь, то стим использует ники и не требует личные данные. Максимум это запоминает банковскую карту для последующих оплат. Я что-то не видел там ни ФИО, ни номеров паспортов, ни номеров соц страхования, ни адреса проживания, да вообще ничего, кроме города (и тот можно не указывать или скрыть).
                                                                0
                                                                1)Что бы снять ограничение на кол-во продаваемых предметов за год на торговой площадке, то нужно им отправить паспорт
                                                                2)Возможно, при публикации своей игры нужны паспортные данные.
                                                                  0
                                                                  1) Наиболее вероятно, что это вариант защиты от накруток, ботов, торговли вещами с угнанных аккаунтов и т.д.
                                                                  2) При публикации своей игры думаю да, обязательно. Соответственно это коснется разработчиков из РФ, которые публикуют свои игры в стиме.
                                                                  Обычных юзеров это коснуться «пока» не должно.
                                                                0
                                                                Самая жесть будет с относительно небольшими или со специализированными сайтами/магазинами.

                                                                Те же CaptureOne или DxO, у которых я софт для обработки фотографий покупаю, Sparx, у которого Enterpise Architect покупаю — они станут морочиться ради 56 пользователей из России? Вот точно не станут…
                                                                  0

                                                                  Бизнес просто посчитает, стоят ли усилия по "разработке каких-то API" этих процентов и оценит риски дальнейших усложнений работы в регионе. Это работает и с банановым вождем, и с Китаем

                                                                  +2
                                                                  Персональные данные граждан РФ попадают в базу находящуюся за границей при получение визы иностранного государства, а также при пересечении границы. А теперь вопрос: иностранные государства можно будет штрафовать или им сделают исключение? Или это означает что не гоже гражданам РФ ездить в такие страны?
                                                                    +2
                                                                    А это — правильный вопрос.
                                                                    Иностранные государства будут обязаны хранить персональные данные на территории РФ.
                                                                    Тем, кто откажется — будет отказано в праве выдачи визы гражданам РФ.

                                                                    В том смысле, не «мы не выпускаем никого из страны», а «другие страны не выдают вам визы, т.к. не хотят следовать нашим законам и условиям выдачи виз».
                                                                      0

                                                                      Авиа и ж/д компании, отели. Государства — сложно, а здесь проще. "Отдыхайте, граждане, автостопом, бомжуя на улице, но не попадаясь полиции, чтобы не делиться паспортными данными". Выход — делать каждому выезжающему временную личность в сременными документами (т.е. выезжать смогут только шпионы или приравненные к ним).

                                                                        0
                                                                        А продав внутриигровые предметы в steam фактически получаю деньги на иностранной площадке, это означает что я уже иностранный шпион?
                                                                          +2

                                                                          Ну зачем сразу шпион? Просто иностранный агент. А родственники Члены Семьи Иностранного Агента

                                                                            0
                                                                            SecondLife?
                                                                            Там для вывода денег (он там штатный) надо информацией делится достаточно подробной.
                                                                            Но там еще смешнее — определение персональных данных ж широкое насколько помню?

                                                                            А теперь вспоминаем что у SecondLife:
                                                                            — торговля за in-world валюту — норма
                                                                            — мощный скриптовый движок, который можно интегрировать с внешними сервисами (из-за чего часть данных о пользователях вообще непонятно где)
                                                                            — возможность делать 3rd-party клиенты у которых функционал может существенно отличатся
                                                                        +2
                                                                        Т.е. если я приеду в какую-нибудь европку и куплю там симку какого-нибудь местного оператора по своему заграннику — то его оштрафуют на 18 миллионов за то, что он хранит мои пд не в России?
                                                                          0
                                                                          Думаю местный оператор не подчиняется законам РФ и даже если в РФ постановят оштрафовать — то ему будет побоку постановление другой страны. Если только оператор не работает в РФ и не имеет в РФ юр.лица на которое уже можно повесить штраф. А это для оператора связи с сим-картами вряд ли. Уже всё поделено.
                                                                            0

                                                                            А сим-карты везде только по паспорту продают? Иностранцы есть в чяте?

                                                                              0
                                                                              По-разному бывает, страны разные.
                                                                                0
                                                                                в литве в первом попавшемся киоске покупал.
                                                                                если память не изменяет — без пасспорта.
                                                                                  0
                                                                                  В наших краях (Сербия) есть postpaid и prepaid. Вторые требуют паспорта с ВНЖ, но как говорят, дешевле. Первые требуют только денег, и тоже не фантастически много.
                                                                                    0
                                                                                    Странно, обычно всё наоборот. Prepaid — это просто симка с балансом, а postpaid — это контракт. В Сербии не так?
                                                                                      0
                                                                                      Ой, прошу прощения. Перепутал, конечно.
                                                                                  0
                                                                                  Не совсем побоку, есть межоператорские роуминговые соглашения и, соответственно платежи за роуминг.
                                                                                +1
                                                                                Датацентры построили, а никто не приходит.
                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                    0
                                                                                    Прекрасно
                                                                                    Такими темпами через 5 лет останутся в стране одни овощи (для кого все и строится)
                                                                                    Будут смотреть рутуб, лайкать одноклассники, зачем им linkedin
                                                                                      0
                                                                                      У меня все таки есть надежда, что это так просто не оставят.
                                                                                      Кто-то сидел вечерами и играл в WoW, а тут бац и больше не может. Для какой-то категории- это смысл жизни.
                                                                                      0
                                                                                      Думаю, что сейчас вопрос ставится уже не только о российском сегменте Интернета, а вообще о нормальной жизни в стране. Изменения неизбежны, уверен, все эти людоедские законы будут откачены назад.
                                                                                        +1
                                                                                        Или просто съедят всех людей, которые недовольны, а остальные приспособятся.
                                                                                        Не нужон нам интернет ваш
                                                                                          0

                                                                                          Конечно откатят, рано или поздно. Просто не все доживут, а остальные будут испытывать неудобства продолжительное время.

                                                                                            0
                                                                                            Тут возникает вопрос что считать нормальной жизнью. Скажем если взять ЕС — там тоже свои законы и ограничения. От налогов на телевидение и радио(Франция, ФРГ) и до директиве об авторском праве со статьями 11 и 13
                                                                                              0
                                                                                              Возьмите Эстонию)
                                                                                                0
                                                                                                Только если с доплатой… :)
                                                                                                Вы не в курсе, что Эстония входит в состав ЕС? Так что как минимум она подчиняется упомянутой выше директиве.
                                                                                          +2
                                                                                          Почему я сам не могу разрешить кому-то хранить мои персональные данные вне РФ? Ограничение прав.
                                                                                            0
                                                                                            У меня возникли вот такие вопросы: если данные хранятся в децентрализованной p2p сети, например организованной по технологии DHT, то:

                                                                                            1. Считается ли что они хранятся за пределами России?
                                                                                            2. Считается ли что они хранятся не в России?
                                                                                              0

                                                                                              Интересно, а доказывать как будут? Если я при заказе просто отправляю клиенту e-mail и ничего у себя не храню.
                                                                                              И вообще, могу убрать поле "Имя" из формы, оставив только телефон. ЕМНИП, это уже не персональные данные.

                                                                                                0
                                                                                                ЕМНИП, это уже не персональные данные.
                                                                                                Вы издеваетесь или троллите? Персональные данные — «любая информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

                                                                                                Так что если вы своих клиентов как-то отичиаете (неважно: по телефонам, никам или ещё как-нибудь), то вот эта вот база — и есть персональные данные. Просто по определению.
                                                                                                  0
                                                                                                  Персональные данные — «любая информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

                                                                                                  Мне кажется, Вы не до конца вникли в смысл указанной Вами цитаты. Обратите внимание на следующие слова:


                                                                                                  «… относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

                                                                                                  Другими словами, если лицо не определено или не определяется, то ни ФИО, ни телефон, ни даже номер паспорта не являются персональными данными.


                                                                                                  Представьте, что перед Вами сидит целая аудитория студентов, например, 100 человек, и у Вас есть номер телефона (номер паспорта, ФИО и т.п.) одного из них. Вы сможете сказать чей это номер телефона (номер паспорта, адрес, ФИО и т.д.)?


                                                                                                  А, вот, если рядом с каждым номером телефона есть фотография студента — то это уже персональные данные. Или есть какой-то доступный источник данных, по которому лицо однозначно определяется по имеющейся у Вас информации — тогда это персональные данные.

                                                                                                    0
                                                                                                    Другими словами, если лицо не определено или не определяется, то ни ФИО, ни телефон, ни даже номер паспорта не являются персональными данными.
                                                                                                    Ссылку на решение суда где подобное «гениальное» определение применялось не покажите? А то так у вас и отпечатки пальцев и скан радужки станут вдруг «неперсональными». А чё — я ж никого не определяю!

                                                                                                    Или есть какой-то доступный источник данных, по которому лицо однозначно определяется по имеющейся у Вас информации — тогда это персональные данные.
                                                                                                    Верно на 99%. Ультиминитипусечкая ошибка: «у Вас» ⇒ «у компетентных органов».

                                                                                                    Вся возня вокруг персональных данных — это попытка сделать так, чтобы преступники не могли найти, с их использованием, потенциальную жертву, а «компетентные органы», наоборот, смогли бы поймать преступника. Потому что и как умеете делать Вы — никого не волнует. Важно что умеют с этими данными делать другие

                                                                                                    Представьте, что перед Вами сидит целая аудитория студентов, например, 100 человек, и у Вас есть номер телефона (номер паспорта, ФИО и т.п.) одного из них. Вы сможете сказать чей это номер телефона (номер паспорта, адрес, ФИО и т.д.)?
                                                                                                    По телефону отсылается запрос сотовому оператору — и получаете и скан паспорта и всё остальное. На счёт «раз».
                                                                                                      0
                                                                                                      А то так у вас и отпечатки пальцев и скан радужки станут вдруг «неперсональными». А чё — я ж никого не определяю!

                                                                                                      Следователь нашёл отпечаток пальцев в обворованной квартире. По их базам (криминальным, миграционным и т.д.) этот отпечаток нигде не проходит. И что дальше?

                                                                                                        0
                                                                                                        Следователь нашёл отпечаток пальцев в обворованной квартире. По их базам (криминальным, миграционным и т.д.) этот отпечаток нигде не проходит. И что дальше?
                                                                                                        Сдаём в арихив и с этим отпечатком сличают людей, которые получают разные паспорта и прочее. Когда преступник захочет получить загран — его отловят.

                                                                                                        Вы будто вчера родились, чесслово.
                                                                                                          0
                                                                                                          Когда преступник захочет получить загран — его отловят.

                                                                                                          Совершенно правильно, потому что он станет определяемым. А если он пропадёт ("товарищи" его "пришьют", а труп сожгут в подпольном крематории), так и не получив загранпаспорт, Вы так никогда и не узнаете, кто это был.


                                                                                                          Или, например, Ваш сосед наложит кучу со своим генетическим материалом на коврике под вашей дверью. И хотя его материал мог бы однозначно его определить, Вы никогда не узнаете, кто сделал эту инсталляцию.

                                                                                                            0
                                                                                                            Совершенно правильно, потому что он станет определяемым. А если он пропадёт («товарищи» его «пришьют», а труп сожгут в подпольном крематории), так и не получив загранпаспорт, Вы так никогда и не узнаете, кто это был.
                                                                                                            «Определяемым» он становится в момент, когда он оставил отпечатки пальцев. А вот когда его отловят — он уже станет «определённым». Закон специально указывает, что эти два случая нужно рассматривать одинаково — именно чтобы умники не считали, что телефоны не являются персональными данными.
                                                                                                0

                                                                                                Пора делать на сайте кнопку "Я робот!"?

                                                                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                Самое читаемое