Госдума планирует повысить штраф за хранение персональных данных россиян вне России до 18 млн рублей

    На днях в Госдуму был внесен законопроект о повышении максимального штрафа за невыполнение требований о хранении данных Россиян в РФ. Соответствующий документ уже опубликован в системе обеспечения законодательной деятельности.

    Авторы законопроекта — депутаты Виктор Пинский и Даниил Бессарабов. Они предлагают установить различные размеры штрафов за неисполнение обязанностей по обеспечению
    «записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных» россиян.

    Так, для граждан размер штрафа составит от 30 тыс. до 50 тыс. рублей, для должностных лиц — от 200 тыс. до 500 тыс., для юридических лиц — от 2 млн рублей до 6 млн.

    В том случае, если нарушение совершили повторно, суммы штрафов значительно повышаются:
    • от 50 тыс. до 100 тыс. руб. для граждан;
    • от 500 тыс. до 1 млн руб. для должностных лиц;
    • от 6 млн до 18 млн руб. для юрлиц.

    «Разработанный законопроект направлен на усиление мер административной ответственности за нарушения в сфере обработки данных и распространения информации. <...> Неисполнение обязанности по локализации баз с персональными данными создает угрозу безопасности граждан, функционирования критической информационной инфраструктуры, препятствует эффективной борьбе с терроризмом и экстремизмом <...>», — говорится в пояснительной записке законопроекта.

    Кроме уже описанных выше мер, депутаты предлагают повысить штраф за повторное невыполнение требований о хранении и предоставлении силовым структурам данных о переписке граждан в мессенджерах. Аналогичные санкции они предлагают ввести за отказ владельца мессенджера предоставить в ФСБ «информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений».

    Насколько можно понять, речь идет о ключах шифрования, которые Роскомнадзор требовал у Telegram. Несколько дней назад представители ФСБ потребовали у «Яндекса» предоставить сессионные ключи шифрования своих пользователей, что автоматически означало возможность получения доступа к учетным записям пользователя на разных сервисах компании.

    За повторный отказ интернет-поисковиков ограничить выдачу ссылок на заблокированные ресурсы депутаты предлагают повысить штраф до 5 млн рублей. О подготовке нового законопроекта, предусматривающего крупные миллионные штрафы ранее сообщил глава Роскомнадзора Александр Жаров. Он заявил, что для крупных технологических компаний вроде Facebook, Twitter, Google не страшны миллионные штрафы.

    В начале этого года социальные сети Facebook и Twitter были оштрафованы на 3 тысячи рублей каждая за отказ разместить серверы для хранения персональных данных россиян в РФ.

    Минутка заботы от НЛО


    Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

    Как написать комментарий и выжить
    • Не пишите оскорбительных комментариев, не переходите на личности.
    • Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
    • Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.

    Что делать, если: минусуют карму | заблокировали аккаунт

    Кодекс авторов Хабра и хабраэтикет
    Полная версия правил сайта
    Поделиться публикацией

    Комментарии 75

      +2
      я правильно понимаю что все-таки в нашем законе речь идет о первичном хранении? при этом можно хранить реплики данных в любой стране?
        0

        На практике — да

          0

          но, если передаете в страны, не обеспечивающие надлежащую защиту (США, Япония и тд) — требования к согласию более строгие

          +19
          Лучше бы они разобрались с тем, что творится с этими данными внутри страны!
            0

            Согласен.

            0
            Я не понимать. Допустим, есть россиянин и у него есть персональный блог на сервере в Германии, в котором он без псевдонима под настоящими ФИО пишет, как он обожает каких-нибудь баптистов (т.е. согласно habr.com/ru/post/107576 это «категория 1 — персональные данные, касающиеся… религиозных и философских убеждений ...» в «объёме менее 1000»). Это теперь для него стоит 100к что ли?
              +1
              Нет. Я так понял, что если ты физик и у тебя есть какой-нибудь сайтик, где ты собираешь данные юзеров, то ты, как владелец этого сайтика, должен держать эти данные в РФ. Если ты компания, то же самое. Если ты ведешь бложег на реддите каком-нибудь, или на сайтике, который расположен на сервере в Германии, то тебе, как юзеру, ничего за это не будет. Ты-то, как юзер, понятия не имеешь кто и где хранит информацию.
                0
                Ну я имел в виду именно свой блог на каком-нибудь vps или дедике, будь это статика или какой-нибудь вордпресс с бд — не суть. Получается человек собирает и хранит там персональные данные сам о себе.
                  +1
                  А если я, являясь гражданином РФ, пересекаю границу другого государства и меня, пограничники или таможенники, заносят в свою базу…
                    +1
                    Если данные хранят не на сервере, а просто на бумаге, то всё чики-пуки.
                      +1
                      биометрику тоже?)
                        +1
                        Кстати, очень хорошая мысль.
                          +1
                          Радужку фотографией на пленку, пальчики — на бумагу. И не подкопаешься.
                            0
                            Как-то так?

                            image

                            +2

                            Перфокарты 2.0 )

                            +1
                            Думаю, если вы покупаете авиабилеты зарубежной авиакомпании или бронируете отель за рубежом, практически наверняка имя, дата рождения и номер паспорта осядут в каких-нибудь зарубежных базах данных.
                              0

                              Получаем довольно простой алгоритм:


                              1. Ввести свои персональные данные на любом сайте (даже русском — большая часть всё-равно живёт на зарубежных хостингах/облаках).
                              2. Написать в РКН о своём беспокойстве, что этот сайт не хранит введённые вами данные на территории РФ, с просьбой проверить факт хранения данных в соответствии с законодательством и сообщить о результатах проверки.

                              В результате либо будет DDoS РКН, что само по себе приятно, либо, что более вероятно, в очередной раз наивные убедятся в том, что закон применяется избирательно и только в интересах текущей власти.

                                0

                                бронирование билетов не подпадает под действие 152 и 242 ФЗ

                                  0

                                  Так ведь никто же не ограничивается выполнением только и исключительно основной функции. Вы передали перс.данные ради того, чтобы забронировать билет, но дальше эти данные будут использоваться для отслеживания поведения, для рассылки рекламы, для продажи третьим лицам, etc.

                          +1
                          И? 152 фз тут причем? Персональный блог для личных же нужд, 152 фз на этого россиянина не распространяется.
                            +1
                            А при том, что россияне теперь будут доставлять неудобства любым веб-сервисам в мире. Пришел, зарегистрировался, оставил свои персональные данные за рубежом. Всё, медимум, реддит, и т.д. попали.
                              0
                              2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

                              1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

                              Ткнули в правильное место, спасибо! Значит, можно не переживать.
                                0

                                Граница между блогом для личных нужд и для коммерческих / политических целей весьма расплывчата. Популярные блоги в России уже законом определяются как СМИ просто исходя из количества посещений. Выложите однажды фоточку с котёнком и вот вы и СМИ.


                                Но в данном кейсе полагается вариант когда российский физик размещает о себе личную информацию на форуме, который, просто для аргумента, имеет коммерческую сущность. Проблемы не у физика, а у форума

                                  0
                                  Причем тут СМИ и оператор пдн? Не мешайте все в одну кучу. Эти вещи регулируются разными законами.
                                +1
                                Только если твоя фамилия Навальный.
                                +10
                                Интересно, могут ли спецслужбы подкинуть наркотики в данные, хранимые на территории России?
                                  –1

                                  Они все могут

                                    +5
                                    Могут подкинуть центральный процессор.
                                      +6
                                      Конечно. В данном случае это будет называться «экстремистские материалы» в форме текста или изображений. Вставят пару строк мелким шрифтом внизу сайта, а потом зафиксируют в протоколе ;)
                                        0
                                        А ГРУ и вовсе может подкинуть данные на заграничный сервер!
                                        +14
                                        Как же надоела уже эта «опека» государства под предлогами #виздетираристы и #анижыдети вводить цензуру интернета. Вместо того, чтоб концентрировать персональные данные в одном месте, сделайте финт ушами и размещайте «облака» тех же гуглозонов в своих датацентрах. Это как обмен заложниками послами в разных государствах.

                                        А знаете, по такой схеме можно заниматься кибертерроризмом компаний: находишь крупную компанию с открытой регистрацией, у которой нет серверов в России, регистрируешься, предоставляя персональные, а потом «А-а-а-а! Смотрите! Они хранят ПД российских граждан не в России! Ату их! Ату!»
                                          +3
                                          А знаете, по такой схеме можно заниматься кибертерроризмом компаний
                                          Это же первичный сценарий
                                            +1
                                            Или для борьбы с конкурентами…
                                          0
                                          А что если авторизовать своих пользователей через какой-нибудь OAuth и хранить только обезличенные хэши? Остальное — дело тех служб, кто занимается авторизацией? Те же Госуслуги? Можно забить на все эти требования?
                                            +1
                                            Те же Госуслуги?
                                            Мечта государства: в сети могут писать только пользователи, зарегеннве через ГУ, под своим реальным ФИО. Для совершенства этого сценария не хватает только премодерация контента чиновником
                                              0
                                              Собственно, я имел ввиду сторонние средства авторизации, на которые лягут обязательства соблюдения всей этой бредятины. Впрочем, авторизовывать пользователей можно и по аккаунту в Google и вообще по чему угодно. Им удобно. И придраться будет невозможно. На вашем сервере бует просто абстрактный ID записи в этой сети.
                                                0
                                                Да кстати, есть у меня на друпале один модуль авторизации через соц.сети, нужно попробовать отключить в настройках Fields to request все поля и проверить, не запишется ли мыло в аккаунт… — Идею вы хорошую подкинули! Спасибо! — всё лучше если сработает, нежели закрывать доступ для регистрации по гео-признакам РФ ip адресов (хотя и это нужно будет реализовывать, оставляя только такую регистрации/авторизацию для россиян)…
                                            +14

                                            По моему, здесь самих граждан забыли спросить. Вот, я, например, наоборот, хочу хранить свои данные за рубежом, и не хочу, чтобы компании хранили их здесь.

                                              +4
                                              Так в том-то и прикол: пользователи считаются безликой аморфной массой, которая схавает то, что ей дадут и будет вести себя так, как сказано. Товарищ Ашманов вообще считает «анонимных» пользователей (в его понимании, если не указаны паспортные данные, там ФИО и т.п.) тупой школотой, хомячками и прочим сбродом.
                                              +1
                                              Они бы за принятие пурги приняли ответственность, что ли.

                                              Я все жду, когда примут, что, если я услышал по телефону, что «разговор будет записан», то я бы мог отказаться от записи, и чтобы за неотключенную запись была бы ответственность — но такие мелочи кого волнуют, правда?
                                                +3
                                                Хм, ну так вы и сейчас можете отказаться от записи — просто положите трубку.
                                                  +1
                                                  Это вы интересно придумали, душевно! Однако решение получилось, честно сказать, так себе по качеству.

                                                  Если я звоню в компанию, которой плачу за сервис, но не хочу записи моего разговора, то как я оплаченный сервис получу? Собственно, запись — это их хотелка, а не моя, к работе компании она не имеет отношения. Тем более что практика показывает, как данные из компаний направо и налево утекают, и я, например, не хочу, чтобы еще и записи утекли — там могут быть, например, финансовые подробности (если я, к примеру, в банк звоню).
                                                    +7
                                                    как я оплаченный сервис получу?

                                                    Ну как… лично можете придти в офис
                                                    Вас там еще и на видео снимут:)
                                                      0
                                                      я, например, не хочу, чтобы еще и записи утекли — там могут быть, например, финансовые подробности (если я, к примеру, в банк звоню).

                                                      Вы этому банку доверили свои личные данные, свой адрес, свой телефон, свои деньги. А теперь вы не хотите доверить ему запись разговора со специалистом же этого банка?
                                                        0

                                                        Это не значит, что я ещё и разговоры им хочу доверить. Тем более что чаще всего мы с вами выбираем банк не потому, что он идеален, а просто менее дурной, чем конкуренты (и это на взгляд клиента). О полном доверии речь не идёт ни со стороны банка, ни со стороны клиента.

                                                          0
                                                          Ну а что у вас в разговоре может быть более ценного, чем то, что там у них и так уже есть?
                                                    0

                                                    А если "физик" на смартфоне разговор с Вами запишет, это плохо?
                                                    Я вот сам не знаю, как к этому относиться. Разрешений не давал, но ведь говорить согласился ( и что с того, что не знал о записи — мог предположить)

                                                      0
                                                      Запрещать человеку записывать свой разговор, неважно с кем, — это нонсенс, как мне кажется. Все равно что запрещать во время разговора делать пометки карандашом по бумаге.
                                                        0
                                                        Далеко не всё равно. Например, сообщение «депутат X на заседании госдумы ковырял в носу» будет восприниматься сильно по-разному, если а) предъявить видеозапись б) ну вот у меня в блокноте карандашиком записано. Запись может иметь доказательную силу, а почеркушки в блокноте вряд ли.
                                                          0
                                                          Есть же фраза «не для протокола». Соответственно, это свое рода договор, что информацию можно распространять со своих слов, но никто не подтвердит, что она была сказана.
                                                      0
                                                      Арендуем сервер в России или даже ставим свой сервер с аппаратной защитой от вскрытия на колокейшн.
                                                      Ставим на него линукс, который подтягивает ключ шифрования откуда-нибудь с зарубежного сервера.
                                                      Копию части данных (только для юзеров из России) храним на нём.
                                                      Вроде как данные в России, но в то же время в безопасности.
                                                        +1
                                                        Ну так же бегают за всеми и требуют ключи от всего, и к Вам прибегут.
                                                          0

                                                          На самом деле всё ещё проще. Сервер может хранить только зашифрованные данные и в принципе не иметь доступа к ключу шифрования. Он предоставляет API, через которое можно эти данные читать/писать, но — в шифрованном виде. Точнее, сам сервер вообще про шифрование ничего не знает, он просто хранит и раздаёт что сказано. Формально — закон вроде бы соблюдается, все данные физически в РФ. Но сделать с ними насильно можно только одно — удалить/отключить сервер.

                                                          0
                                                          Так, пождите, а как они правоприменять-то это-вот-все к юр.лицам, зарегистрированным за рубежом собрались? Может пора уже в целях пополнения бюджета принять закон, что все юрлица в мире обязаны платить РФ за то, что они есть?
                                                            +1
                                                            Для этого есть БольшойУбогийФайрвол. Кто не перенесёт тех заблокируют.
                                                              0

                                                              На зло маме уши отморожу. Гениально, блин.

                                                            +1
                                                            А цены на аренду выделенных серверов, нам гарантируют как за рубежом, или опять будем платить в 3-5 раз дороже?

                                                            На каждом углу, как мантру повторяют: «Нужно развивать и поддерживать отечественный бизнес», а по факту делается всё в точности до наоборот…

                                                            UPD:

                                                            Ну или как вариант: не принимать платежи от россиян (если ПО которое продаёшь ориентировано больше на западный бизнес) (имеется ввиду что профиль пользователя в интернет магазине хранит некую личную инфу). Тогда какой вообще смысл выходить на мировой рынок будучи компанией зарегистрированной в РФ?
                                                              0

                                                              Можно попробовать другой подход. Выложить на сайте полиси: ввод персональных данных граждан РФ на данном сайте запрещён, вводя свои персональные данные вы подтверждаете, что не являетесь гражданином РФ. И на этом — всё, все возможные претензии властей — к конкретным нарушителям этого полиси, если они смогут этих нарушителей найти и доказать, что они нарушители.

                                                                0
                                                                Да кстати, тоже вариант…
                                                              0

                                                              Есть такая штука как "трансграничная передача данных". Если я явно получил согласие пользователя на эту передачу, тогда я могу легально передавать его данные?

                                                                0
                                                                Почему нет? Для этого подойдёт пункт 3.4:
                                                                — исполнения договора, стороной которого является субъект персональных данных;

                                                                (думается публичная оферта подойдёт).

                                                                Но ведь речь идёт о хранении…
                                                                  0

                                                                  сохраните первичную запись в БД в России, и передавайте сколько угодно

                                                                    +1
                                                                    А если я, как пользователь, хочу чтобы мои данные как можно меньше хранились в России? :)
                                                                      +2
                                                                      Мы ту почти все, и как пользователи, и как предприниматели, этого хотим, но законы-то не для нас пишутся, а от нас :)
                                                                  0
                                                                  А если я делаю веб-сервис, размещенный на хостинге за бугром, и база данных там же, а репликацию делаю на сервак в России? Норм тогда или нет? (с точки зрения закона)
                                                                    +1
                                                                    Если вы Джо — то норм. Если вы не Джо — то не норм.
                                                                      –1

                                                                      первичная БД должна быть в России

                                                                        0

                                                                        И как технически определяется, кто из двух реплик первичная?

                                                                          0

                                                                          РКН попросит архитектуру передачи данных (схему), + может посмотреть даты записи — в России они должны быть «первыми» (= «раньше»)

                                                                            +3

                                                                            Многие распределённые БД пишут одновременно на несколько реплик, гарантировать куда запись попадёт первой — проблематично.


                                                                            И что значит "может посмотреть даты записи"? Каким это образом РКН получит доступ к нашей БД на таком уровне, что сможет изучать отдельные поля записей и, самое волшебное, сравнивать их с полями в БД находящейся на сервере за пределами РФ?


                                                                            P.S. Кроме того, если это реплика, то все поля у записей будут идентичны, включая поля с датами создания/изменения записи — и эти поля вовсе не обязательно будут отражать время физической записи на винт данного изменения.

                                                                              –1
                                                                              Вы дадите доступ, и РКН посмотрит. А вот что они там найдут — это другой вопрос.
                                                                                0

                                                                                А где конкретно в законе прописано, что я должен дать доступ РКН ковыряться в моей БД? Я ещё понимаю, что если придёт ФСБ, или кто-то с решением суда, но — просто так, по умолчанию, пускать РКН в базу? Такое действительно есть в законодательстве?

                                                                                  0

                                                                                  Не говоря уж о том, что даже схема БД может достаточно много сказать об архитектуре системы, что уже может составлять нехилую коммерческую тайну.

                                                                        0
                                                                        Может я чего упускаю из виду, но мне видится, что: реплика не подпадает под «передачу оператором персональных данных третьим лицам», так как самому себе передать и иметь договор меж собою самим не возможно. Отсюда это не передача а чистой воды владение(хранение), и не важно какая это реплика: первая или вторая.

                                                                        Как вариант: горизонтальное масштабирование данных, т.е. они не дублируются (реплицируются). На сервере в РФ оседают регистрации с российских ip-адресов, на сервере USA/EUROPE оседают все остальные. — Но это гемор ещё тот: проектирование хранения данных и подбор инструментов усложняется в разы (и дорожает кстати тоже).
                                                                        +1

                                                                        "Развитие малого бизнеса" говорили они. И вот сейчас сделали штраф такой, что когда на него попадаешь — компанию можно закрывать.

                                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                        Самое читаемое