Хранение персональных данных на территории России: что нужно знать?

Что говорит закон о персональных данных?

Компании, распространяющие свою цифровую продукцию на территории РФ, должны соответствовать ФЗ-152 – Федеральному закону «О персональных данных» от 2006 года. Он регулирует деятельность по обработке и использованию персональных данных граждан РФ. Закон регламентирует защиту персональных данных, содержит правила обработки и обеспечения персональных данных.

Важно! В этом случае на сайте компании сборщика данных должна быть размещена политика конфиденциальности.

Нарушение закона о персональных данных грозит определенными санкциями. Если компания не защитит информацию о вас и к ней получат доступ злоумышленники, то ее оштрафуют. Роскомнадзор регулярно проводит плановые и внеплановые проверки сайтов. Последние происходят по заявлениям граждан. Если разработчик хоть в чем-то не соблюдает закон, то рискует оказаться фигурантом административного или уголовного дела. Любой пользователь может написать жалобу за использование его персональных данных. В России уровень и глубина проверок на соответствие 152-ФЗ дискутируется экспертами.

Говоря о 152-ФЗ, невозможно не упомянуть также его европейского коллегу – GDPR (General Data Protection Regulation), или Общий регламент по защите данных. Хоть GDPR и вступил в силу на 10 лет позже, но по большому счету это глобальное обновление закона от 1995 года Data Protection Directive. В плане конфиденциальности GDPR идет немного дальше отечественного аналога и поднимает такие вопросы, как детская конфиденциальность и ее определение, четкость определения персональных данных, прозрачность применения и обработки персональных данных, а также определение количества операторов персональных данных, в том числе предполагаемые действия, перенос и утечка.

С позиции GDPR каждое взаимодействие участников обработки персональных данных должно быть задокументировано. Если какая-то связь при передаче данных внутри оператора будет нарушена, появятся риски получить большие штрафы.

Роскачество тестирует политики конфиденциальности

Роскачество, проводя исследования приложений, также оценивает соответствие политик конфиденциальности закону. Всего в рамках правовой оценки находится 16 критериев, среди них:

• назначение политики и цели сбора данных,

• методы обработки персональных данных,

• перечень действий с персональными данными и срок их хранения.

Немаловажным пунктом является указание в политике ответственного за сбор данных, а также передача этих данных третьим лицам и нужно ли получение отдельного согласия на эту передачу. Естественно, что для получения высоких баллов сервис должен располагать свои серверы на территории России, все данные наших соотечественников должны храниться внутри страны, как этого и требует закон.

Российские и иностранные приложения, получившие наивысший балл по правовой оценке по версии ЦЦЭ Роскачества:

• Онлайн-аптеки: «Ригла» (4,74).

• Фитнес-приложения: adidas Training by Runtastic (4,77).

• Такси: «maxim – заказ такси, доставка продуктов и еды» (4,82).

• Доставка продуктов: «СберМаркет: Доставка продуктов» (4,81).

• Видеосвязь: «VK – социальная сеть и звонки» (4,68), ZOOM Cloud Meetings (4,36).

• Онлайн-кинотеатры: «PREMIER – сериалы, фильмы, ТВ» (5,0).

Может ли пользователь сам подействовать на уровень защищенности своих данных?

Сергей Бодров

Руководитель Центра цифровой экспертизы Роскачества

Пользователь в любое время имеет право прекратить пользоваться сервисом и потребовать удаления всех своих персональных данных. Операторы обязаны удалять их по первому запросу владельца согласно закону о запрете распространения персональных данных граждан России без их специального согласия, который вступил в силу 1 марта 2021 года. Соблюдением этого закона занимается Роскомнадзор. Поэтому, если какая-то компания, являющаяся оператором персональных данных, не удаляет их по требованию владельца, необходимо обращаться с жалобой в ведомство.