Год назад российский предпринимательский спектр встряхнула новость о новом европейском регламенте, пришедшем на замену устаревшему законодательству. Новый регламент General Data Protection Regulation, обладая экстерриториальным действием, обозначил строгие требования для компаний, работающих с пользователями из Европейского Союза, в том числе и для российских компаний.
Высокие штрафные санкции, вплоть до 20 млн евро, обеспечили регламенту серьезное к нему отношение и стремление соответствовать строгим требованиям европейского стандарта обработки персональных данных. Одним из требований является хранение информации, содержащей персональные данные пользователей в условиях надлежащей защищенности, а именно на территории ЕС или в странах с аналогичным уровнем безопасности персональных данных.
В Российской Федерации существует собственное законодательство о защите персональных данных, Федеральный Закон 152-ФЗ. Данным законом устанавливаются требования к сбору, обработке и хранению персональных данных. В том числе и требования к хранению и процессингу персональных данных на серверах, расположенных на территории России.
Территориальное требование применяется к компаниям, не зависимо от места регистрации и расположения компании при взаимодействии с персональными данными граждан Российской Федерации.
За несоблюдение требований о локализации баз данных и серверов в РФ в отношении Facebook и Twitter был наложен штраф на каждую в размере 3000 рублей. Максимальный размер штрафа, предусмотренный за нарушение требований о защите персональных данных в РФ составляет 70 тысяч рублей, что несравнимо ниже, чем меры ответственности в Европейском Союзе.
Оглядываясь на европейский опыт закономерными действиями со стороны законодателя Российской Федерации стали меры по повышению уровня ответственности за неисполнение требований закона о защите персональных данных.
Самым резонансным событием стало предложение об увеличении суммы штрафа за хранение данных граждан России за пределами Российской федерации вплоть до 6 млн рублей за первое нарушение и 18 млн рублей за повторное нарушение для юридических лиц.
Данное предложение уже было поддержано Государственной Думой и имеет возможность получить одобрение на всех этапах.
Рассматривая нормативную базу Российской Федерации в контексте сравнения с GDPR, стоит отметить, что большинство положений уже отвечают требованиям регламента и находятся на том же уровне или незначительно им уступают. Также стоит обратить внимание на тот факт, что вполне возможно в ближайшие годы Федеральный закон 152-ФЗ потребует от контроллеров и обработчиков персональных данных строгого соответствия своим положениям, по аналогии с GDPR.