Хранение данных на иностранных сервисах может грозить штрафом

При использовании иностранных цифровых сервисов важно соблюдать требования к локализации персональных данных и их трансграничной передаче, в противном случае гражданам грозит штраф до 50 тыс. руб. Об этом Агентству городских новостей «Москва» сообщил профессор кафедры информационного права и цифровых технологий Московского государственного юридического университета имени Кутафина (МГЮА) Алексей Ефремов.

«Вопрос о хранении данных на зарубежных сервисах и ответственности за него имеет ряд аспектов. Во-первых, уже достаточно давно, еще в 2014 году, в российском законодательстве о персональных данных появилось требование о локализации данных, и доступ к целому ряду зарубежных сервисов, отказывавшихся его исполнять, был ограничен. Поэтому, безусловно, обработка персональных данных наших граждан должна вестись с помощью баз данных, расположенных на территории Российской Федерации. Таким образом, использование популярных иностранных сервисов для обработки персональных данных без выполнения требований по локализации и предварительного уведомления о трансграничной передаче грозит штрафами для граждан в размере от 30 тыс. до 50 тыс. руб.; для должностных лиц – от 100 тыс. до 200 тыс. руб.; для юридических лиц – от 1 млн до 6 млн руб. (п. 8 ст. 13.11 КоАП РФ)», – сказал Ефремов.

При этом он отметил, что передача данных не запрещается в случае предварительного уведомления Роскомнадзора.

«Существуют требования законодательства касательно локализации данных на территории нашей страны, получения отдельного согласия на трансграничную передачу персональных данных, а также требования уведомлять Роскомнадзор об осуществлении такой передачи. Неисполнение этих требований влечет административную ответственность, причем с весны 2025 года размер штрафов значительно увеличен. Поэтому, безусловно, переход на российские сервисы будет предпочтительнее с точки зрения возможных рисков, включая возможные штрафы за нарушение требований законодательства. Благо, что сейчас в Реестре российского ПО очень много различных приложений и сервисов», – уточнил Ефремов.

В свою очередь, ассистент кафедры информационного права и цифровых технологий Московского государственного юридического университета имени Кутафина Владислав Бакшеев добавил, что в соответствии с законодательством передача персональных данных возможна только в случае согласия субъекта.

«Оператор обязан не раскрывать персональные данные третьим лицам и не распространять персональные данные без согласия субъекта (ст. 7 ФЗ «О персональных данных»). Исключением являются условия, установленные ст. 6 ФЗ «О персональных данных» (в том числе обработка персональных данных органами государственной власти, исполнение международного договора, защита жизни и здоровья субъекта, а также иные условия)», – пояснил Бакшеев.

Таким образом, юрист уточнил, что для передачи данных необходимо также получить согласие субъекта.

«Оператор также несет ответственность за соблюдение получателями персональных данных требований законодательства к защите и обработке персональных данных, а в случае нарушения ими требований законодательства может быть привлечен к административной ответственности», – заключил Бакшеев.

Он также добавил, что цель обработки персональных данных (коммерческая, личная, рабочая или иная) не имеет значения в контексте соблюдения требований законодательства о персональных данных, различаться будет лишь размер административного штрафа по ст. 13.11 КоАП РФ. Печать