Соответствующее распоряжение подписал президент России Владимир Путин. Поправки в законодательство вступили в силу 2 декабря 2019 года.

Согласно документу отказ компании переносить личные данные граждан России на сервера и дата-центры РФ будет караться штрафом. Юридические лица заплатят от 2 млн рублей до 6 млн рублей, должностные лица – от 200 тыс. рублей до 500 тыс. рублей. Повторные нарушения облагаются штрафами от 6 млн рублей до 18 млн рублей для юрлиц и от 500 тыс. рублей до 1 млн рублей для должностных лиц. Физические лица при первом нарушении должны будут заплатить от 30 тыс. рублей до 50 тыс. рублей, при повторном – от 50 тыс. рублей до 100 тыс. рублей.

Ранее штрафов за отказ от локализации баз ПДн не было. Нарушителей штрафовали только за отказ в предоставлении информации о выполнении требований закона 152 «О персональных данных». Размер взыскания по этому пункту составляет 3 тыс. рублей.

Кого коснется закон

В первую очередь поправки касаются деятельности государственных органов и крупных организаций. Под штрафные санкции попадают как иностранные компании, обрабатывающие ПДн россиян, так и отечественные, которые хранят данные российских граждан за пределами страны. «Российские компании могут хранить персональные данные жителей страны за рубежом по двум причинам: либо это дешевле, либо у них есть разработанное ПО, сервисы и ЦОДы, подходящие под заключение договора с иностранной организацией», — говорит Андрей Козак, аналитик отдела управления проектами департамента развития продуктов компании «Информационные системы и аутсорсинг».

Одним из главных зарубежных нарушителей специалисты называют Facebook, который собирает и обрабатывает ПДн не только зарегистрированных в соцсети, но и данные пользователей WhatsApp и Instagram. Их серверы и дата-центры располагаются в Америке и Европе.

Ежедневно на FB заходят более 600 млн человек, через WhatsApp отправляется более 60 млрд сообщений и 700 млн фотографий в день, количество активных аккаунтов Instagram насчитывает более 1 млрд

Подобная ситуация затронула иностранные системы бронирования авиабилетов, которыми пользуются крупнейшие российские авиакомпании: «Аэрофлот», «Россия», «Победа», «S7», «Якутия». Постановление, обязывающее системы бронирования билетов на внутренние рейсы, перенести в РФ серверы с ПДн российских пассажиров 1 августа 2019 года подписал премьер-министр Дмитрий Медведев.

Как происходит перенос

Перенос персональных данных осуществляется в утвержденном законодательством порядке. Российские компании должны разработать нормативные документы о переносе данных, купить сервер в России, перенести на него данные с иностранных дата-центров и отчитаться перед Роскомнадзором о проделанной работе.

«В зависимости от объема обрабатываемых данных стоимость переноса варьируется от нескольких миллионов рублей до нескольких сотен миллионов долларов. Компании нужно потратит деньги на покупку серверов, разработку ЦОДов, перепланировку хранения данных», — отмечает Андрей Козак.

Иностранные компании должны будут открыть представительство на территории РФ, чтобы обслуживать купленные в России сервера. Им также необходимо разработать нормативные акты, разделить внутреннюю единую базу жителей разных стран, отладить систему перенаправления данных и отправить подтверждение РКН, что данные россиян хранятся на территории РФ.

«Зарубежным корпорациям придется либо следовать нашему законодательству, либо уйти с рынка. Но, скорее всего, жесткие меры по блокировке не будут приняты сразу. Стороны будут вести диалог и находить точки соприкосновения», — считает Андрей Козак.