Локализация персональных данных. Обзор изменений и судебной практики
С 1 июля 2025 года в России действуют обновленные правила локализации персональных данных. Теперь ч. 5 ст. 18 152-ФЗ прямо запрещает при сборе данных граждан РФ использовать базы данных, находящиеся за рубежом.
Чтобы помочь компаниям разобраться с подходами Роскомнадзора и судов к локализации данных, мы разобрали 72 дела из судебной практики, сложившейся до 1 июля 2025 года, и подготовили подробный обзор и рекомендации.
Судебная практика по локализации: кого и как штрафуют
Несоблюдение требования о локализации – это реальный риск, который чаще всего реализуется в виде административного штрафа.
Штрафуют в основном иностранные компании. 94% дел возбуждено против иностранных компаний. Закон изначально был нацелен на них, а российские компании, вероятно, быстрее исправляют нарушения.
В зоне риска находится любой онлайн-бизнес. Штрафы назначали социальным сетям, ИТ-компаниям, медиа и развлекательным сервисам, туристическим компаниям, сервисам знакомств, логистическим операторам, а также компаниям из сферы спорта и игровой индустрии.
Высокая доля повторных нарушений. Из 72 рассмотренных дел 28 были возбуждены за повторное невыполнение требования о локализации. Такой процент «рецидива», очевидно, связан с позицией привлекаемого к ответственности лица.
Размеры штрафов. В 99% случаев дела завершались наложением штрафа. Всего 1 дело завершилось предупреждением. Ключевая статистика по штрафам следующая:
- За первичное нарушение (ч. 8 ст. 13.11 КоАП РФ) штрафы варьируются от 500 000 ₽ до 4 000 000 ₽. Средний размер составляет 1 500 000 ₽.
- За повторное нарушение (ч. 9 ст. 13.11 КоАП РФ) суммы значительно выше: от 3 000 000 ₽ до рекордных 18 000 000 ₽. Средний штраф за повторное нарушение составляет 10 500 000 ₽.
Ключевые шаги для защиты интересов компании
Чтобы минимизировать риски, следует предпринять ряд проактивных шагов. Вот основные рекомендации, сформулированные на основе судебной практики:
- Проведите ревизию потоков данных. Необходимо выявить все точки сбора персональных данных граждан РФ (формы на сайте, мобильные приложения, анкеты) и проанализировать каждый процесс.
- Оцените риски и выберите корректную техническую схему локализации. Проанализируйте потоки данных и сформируйте карту рисков в отношении них. С учетом специфики потоков реализуйте соответствующую стратегию (отказ от сбора, перенос процессов обработки в Россию и др.).
- Подготовьте «пакет доказательств» заранее. Заранее подготовьте блок-схему размещения технических средств, договоры с российскими хостинг-провайдерами или документы на собственные серверы.
- Закрепите требования в договорах с подрядчиками. Включите в договор с хостинг-провайдером прямое обязательство соблюдать требования ч. 5 ст. 18 Закона о персональных данных.
- Настройте обработку запросов от Роскомнадзора. Проверьте все публично доступные контактные адреса и настройте фильтры на почте, чтобы письма от регулятора не терялись и оперативно попадали к ответственным сотрудникам. Пропуск запроса существенно осложняет защиту в суде.
Из полной версии обзора вы узнаете:
- Когда применяется требование о локализации и что считается сбором?
- Как идентифицировать граждан РФ?
- Какие подходы являются недопустимыми или рискованными?
- Типовой алгоритм действий Роскомнадзора по делам о локализации.
- Что влияет на размер штрафа и когда можно добиться предупреждения?
- Рекомендации для бизнеса.
Скачивайте и читайте обзор, чтобы оценить риски и подготовиться к изменениям.
