Локализация данных в россии что значит
Аналитика Публикации
Локализация персональных данных россиян для иностранных компаний
Что такое персональные данные?
Закон о персональных данных дает весьма широкое определение, согласно которому персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Что означат локализация?
Локализация применительно к персональным данным означает использование баз данных, находящихся на территории Российской Федерации.
Когда возникает обязанность локализовать базы данных?
Согласно ч. 5 ст. 18 Закона о персональных данных «при сборе персональных данных, в том-числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации». Из этого правила есть исключения, которые содержатся в ч. 1 ст. 6 Закона о персональных данных пунктах 2 (обработка для достижения целей, предусмотренных международным договором Российской Федерации, или для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей), 3 (обработка в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах), 4 (обработка при предоставлении государственных или муниципальных услуг) и 8 (обработка для осуществления профессиональной деятельности журналиста, законной деятельности СМИ, научной литературной творческой деятельности, если не нарушаются права и законные интересы субъекта персональных данных).
Таким образом, в соответствии с ч. 5 ст. 18 Закона о персональных данных обязанность локализовать базы данных возникает только в том случае (и при соблюдении остальных условий), если имеет место сбор персональных данных. Нет сбора – нет обязанности локализации.
Термин «сбор» не определен в Законе о персональных данных. Согласно разъяснениям (далее – Разъяснения(1) Министерства связи и массовых коммуникаций Российской Федерации под сбором следует понимать «целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц». Если персональные данные собрало иное лицо (например, работодатель), а в дальнейшем передало их для обработки иностранному лицу, у такого иностранного лица отсутствует обязанность локализовать базы данных, так как он не осуществлял сбор персональных данных.
Формулировка ч. 5 ст. 18 Закона о персональных данных говорит о сборе данных граждан РФ. При этом указанный Закон не поясняет, как должно определяться гражданство субъекта. Минкомсвязь России также предоставило данный вопрос оператору для самостоятельного решения. Вопрос определения гражданства рекомендуется отразить в документах оператора (например, в политике обработки персональных данных). Игнорирование данного вопроса, по мнению Минкомсвязи России, позволяет считать требование о локализации применимым ко всем персональным данным, сбор которых осуществлен на территории Российской Федерации.
Следует отметить, что даже согласие субъекта на обработку его персональных данных на зарубежных серверах не освобождает оператора от обязанности локализации. Такая позиция подтверждается Разъяснениями.
Распространяется ли требование локализации на иностранные компании?
Даже если иностранная компания ведет свою деятельность через Интернет без физического присутствия на территории России, на такую компанию могут распространяться требования локализации, если соблюден главный критерий – деятельность такой иностранной компании направлена на территорию РФ.
О направленности деятельности на территорию России, по мнению Минкомсвязи России, могут свидетельствовать:
– наличие русскоязычной версии интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом, за исключением функции автоматизированного переводчика, в сочетании со следующими условиями (одним их них):
а) возможность производить расчеты в российских рублях;
b) возможность доставки товара, оказания услуги или пользования цифровым контентом на территории России, а также иные случаи исполнения договора на территории Российской Федерации;
c) использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту;
d) иные обстоятельства, явно свидетельствующие о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию.
Таким образом, если налицо факторы, свидетельствующие о направленности деятельности иностранной компании на территорию России, а иностранная компания через свой сайт осуществляет сбор персональных данных граждан Российской Федерации, такая иностранная компания обязана локализовать базы данных, содержащие персональные данные россиян (при условии неприменимости исключений, предусмотренных Законом о персональных данных и кратко обозначенных выше).
Отметим также, что если деятельность иностранной организации направлена на территорию России (в соответствии с указанными выше критериями), то к такой организации применимы не только требования локализации, но и иные требования Закона о персональных данных, в том числе требование о направлении уведомления в уполномоченный орган об обработке персональных данных, об издании документа, определяющего политику оператора в отношении обработки персональных данных, о назначении лица, ответственного за обработку персональных данных и т. д.
Ответственность за невыполнение локализации
Административные штрафы, предусмотренные указанными выше статьями, невелики по сравнению с европейскими штрафами. Так, максимальный штраф по ст. 13.11 КоАП РФ составляет всего 75 тыс. руб. (около 1100 евро на 01.09.2017). Кроме того, взыскать штраф с иностранной компании, не имеющей физического присутствия на территории Российской Федерации, весьма проблематично.
Однако у Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор), которая является уполномоченным органом по защите прав субъектов персональных данных, есть в арсенале гораздо более действенный способ воздействия на нарушителей – блокирование интернет-ресурса.
Таким образом, для иностранных компаний, обязанных локализовать базы данных, но не исполнивших данную обязанность, основной мерой ответственности за несоблюдение Закона о персональных данных является блокирование доступа к информации, обрабатываемой с нарушением законодательства о персональных данных.
Роскомнадзор также ведет реестр нарушителей прав субъектов персональных данных. В соответствии с ч. 5 ст. 15.5 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» основанием для внесения информации в реестр является нарушение оператором законодательства о персональных данных, подтвержденное вступившим в силу решением суда.
Рекомендации иностранным компаниям
В целях минимизации риска блокирования интернет-ресурса в России рекомендуется прежде всего оценить, отвечает ли иностранная организация критериям осуществления деятельности на территории России. Если налицо факторы, свидетельствующие о направленности деятельности такой организации на территорию России, следует не только локализовать базы данных, содержащие персональные данные граждан России, но и соблюдать иные требования законодательства о персональных данных, а также быть готовыми к эффективному взаимодействию с Роскомнадзором.
Локализация обработки персональных данных граждан России: за что хотят ввести штрафы до 18 млн рублей?
В данной заметке рассказывается, (1) в чем состоит требование о локализации, (2) в каких случаях оно применяется к иностранным компаниям без физического присутствия в России, (3) возможна ли передача данных, подлежащих локализации, в зарубежные страны и (4) каковы реальные риски компаний, нарушающих требование о локализации.
В соответствии с требованием о локализации при сборе персональных данных, в том числе с использованием интернета, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан России с использованием баз данных, находящихся на территории России.
Требование о локализации не применяется, если обработка персональных данных:
Для правильного понимания требования о локализации нужно знать значение следующих терминов:
Требование о локализации применяется к иностранным компаниям без физического присутствия в России, если они осуществляют деятельность, направленную на территорию России. Например, интернет-сайт может считаться направленным на территорию России, если:
Требование о локализации не препятствует передаче персональных данных в зарубежные страны. Персональные данные гражданина России, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней, могут далее передаваться в базы данных, расположенные за пределами России, администрируемые иными лицами. Главное, чтобы при такой передаче соблюдались общие требования к трансграничной передаче персональных данных (например, для передачи данных в США часто необходимо письменное согласие субъекта).
Локализация персональных данных: когда иностранной компании нужно задуматься о соблюдении российских законов
В чем заключается обязанность локализации персональных данных в России?
Локализации персональных данных на территории России означает осуществление отдельных видов обработки персональных данных в базах данных, которые находятся на территории России. Эта обязанность касается таких видов обработки, как запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных.
По смыслу закона под базой данных понимается любой упорядоченный массив данных, независимо от вида материального носителя информации и используемых средств обработки (архивы, картотеки, электронные базы данных, в том числе таблицы в формате Excel, Word, содержащие персональные данные).
На какие иностранные компании распространяется обязанность?
Обязанность локализации в РФ определенных этапов обработки персональных данных распространяется на все иностранные компании, осуществляющие деятельность в России, в том числе те, которые работают без образования представительств и иных форм юр. лиц.
Что касается деятельности иностранных компаний в сети Интернет, то согласно разъяснениям Минцифры России, Роскомнадзора и мнениям судов, обязанность локализации возникает в случае направленности соответствующего Интернет-сайта на территорию РФ, о чем, в том числе может свидетельствовать:
Дополнительными критериями направленности сайта являются (обязательно наличие хотя бы одного):
Как передавать персональные данные российских граждан за рубеж?
Непосредственная передача персональных данных на сервер, находящийся за пределами РФ, нарушает требование о локализации.
Нарушением будет также параллельный ввод персональных данных в российскую информационную систему и информационную систему, расположенную за рубежом. Предоставление удаленного доступа к базам данных, находящихся на территории Российской Федерации, с территории другого государства не запрещается.
Для соблюдения законодательства необходимо организовать сбор и актуализацию персональных данных российских пользователей в базе данных, расположенной в РФ, в частности, не допускать первичный сбор персональных данных, например, из веб-форм, сразу на сервер, находящийся в иностранном государстве.
Последующая передача персональных данных из российской базы данных в зарубежную должна соответствовать требованиям к трансграничной передачи данных. Без особых условий и ограничений может осуществляться трансграничная передача персональных данных в страны-участницы Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или в страны, включенные Роскомнадзором в перечень обеспечивающих адекватную защиту прав субъектов персональных данных (туда включены, например, Израиль, Канада, Казахстан, Южная Корея, Сингапур, ЮАР, Япония и др.).
Если персональные данные передаются в иные страны (например, в Китай или США) необходимо получать отдельное согласие на трансграничную передачу персональных данных. Такое согласие можно не получать, в частности, когда персональные данные передаются для исполнения договора, стороной которого является субъект персональных данных.
Какая ответственность предусмотрена за несоблюдение требований?
Роскомнадзор осуществляет проверку соблюдения обязанности о локализации в отношении иностранных юр. лиц и в случае ее несоблюдения может инициировать судебный процесс по вопросу ограничения доступа к Интернет-ресурсу иностранного юр. лица, информация о таком Интернет-ресурсе будет включена в Реестр нарушителей прав субъектов персональных данных. Например, такое ограничение было применено в отношении компании LinkedIn Corporation.
За нарушение требования о локализации на иностранное юр. лицо может быть наложен административный штраф в размере от 1 до 6 млн. рублей (часть 8 статьи 13.11 Кодекса РФ об административных правонарушениях). Например, к такой ответственности уже были привлечены компании Twitter, Inc. и Facebook.
Роскомнадзор обязал компании локализовать данные пользователей РФ. Кого касается требование и как избежать штрафов?
Руководитель отдела по защите персональных данных компании «Б-152» CIPP/E
Максим Зиновьев, руководитель отдела по защите персональных данных компании «Б-152» CIPP/E, рассказал о ситуации с локализацией персональных данных на территории Российской Федерации и дал рекомендации компаниям, которые используют иностранный софт в своей работе.
«Б-152» — компания, которая специализируется на защите персональных данных и приведением в соответствие ФЗ 152, GDPR и иным законам, регулирующим соблюдение ПДн в локальных юрисдикциях.
Тест: привлечёт ли твой стартап финансирование?
До 1 июля 2021 года Роскомнадзор обязал крупные международные компании, российские организации, социальные сети и веб-сервисы локализовать персональные данные пользователей РФ, однако требование федеральной службы некоторыми компаниями не было выполнено.
«В настоящее время более 600 иностранных компаний перенесли базы данных пользователей на территорию Российской Федерации», — отмечает Милош Вагнер, заместитель главы Роскомнадзора, курирующий вопросы по защите прав субъектов персональных данных. Зарубежные интернет-ресурсы в соответствии с российским законодательством обязаны хранить персональные данные граждан РФ только на территории России.
Данное требование прописано в ФЗ № 152 «О персональных данных». За их нарушение предусмотрен административный штраф для физических лиц — от 30 тыс. до 50 тыс. рублей, для должностных лиц — от 100 тыс. до 200 тыс. рублей, для юридических лиц — от 1 млн до 6 млн рублей, за повторное нарушение для юридических лиц — от 6 млн до 18 млн рублей.
Суммы штрафов, введенные регулятором, должны повлиять на ситуацию и обязать иностранные интернет-сервисы перенести базы данных с информацией о гражданах РФ на территорию России. Однако до сих пор непонятно, каким образом Роскомнадзор будет требовать оплаты российских штрафов иностранными предприятиями, у которых нет в нашей стране ни дочерних организаций, ни филиалов, ни представительств.
На какие компании распространяется требование о локализации?
Данные требования в первую очередь затронут глобальный бизнес. Транснациональные корпорации чаще всего размещают свое внутреннее программное обеспечение, а именно интрасети, корпоративные бухгалтерские системы, HR-системы, за пределами Российской Федерации. Это касается и иностранных веб-сервисов, которые решили не локализовывать системы в РФ.
Также закон о персональных данных повлияет на функционирование компаний, занимающихся разработкой веб-сервисов, которые изначально приняли решение размещать свои системы в юрисдикциях других государств, работая при этом с российской аудиторией.
Минкомсвязи выделил следующие факторы, определяющие направленность деятельности на территорию Российской Федерации:
Что будет с компаниями и их сервисами, не выполнившими требования законодательства РФ в области персональных данных?
Помимо штрафов, суммы которых указаны выше, Роскомнадзор может заблокировать сайт или ограничить обработку персональных данных в нелокализованных базах. В данный момент сотрудники регулятора проверяют локализацию сайта или интернет-сервиса с помощью выездных проверок, в процессе которых устанавливается реальное местонахождение базы данных, содержащей персональную информацию о гражданах РФ. Также для осуществления проверки по определению местонахождения базы данных используются внешние веб-сервисы, не принадлежащие Роскомнадзору.
Одним из первых известных примеров блокировки интернет-сервиса на территории России является приостановление работы соцсети деловых контактов LinkedIn. В связи с нарушением требования регулятора о хранении и обработке информации о пользователях, в том числе полученную через интернет-ресурсы, на территории Российской Федерации ИТ-продукт Microsoft был внесен Роскомнадзором в реестр нарушителей закона о персональных данных, доступ к сайту на территории РФ был заблокирован. Несмотря на долгие переговоры представителей международной компании и Роскомнадзора, доступ к сайту до сих пор заблокирован.
В настоящее время установленные суммы штрафов и ответственность в виде блокировки несут действительно деструктивный характер для бизнеса. Исходя из этого, организациям, которые используют информационные системы, находящиеся за пределами территории Российской Федерации, для хранения и обработки персональной информации о пользователях, следует задуматься об исполнении требований Роскомнадзора о локализации интернет-сервисов.
Проблемы, возникшие у российских компаний, использующих иностранные сервисы
Иностранные облачные и интернет-сервисы давно и активно используются российскими компаниями. Корпоративная почта, CRM, ERP и HR-системы, бухгалтерские системы, разрабатываемыми иностранными ИТ-гигантами, удобны в использовании, и пользователи отдают предпочтение именно зарубежным решениям для бизнеса нежели отечественным.
Но с появлением правовых нововведений в сфере обработки и хранения персональных данных некоторым российским компаниям, возможно, придется отказаться от использования иностранных сервисов. Однако в Российской Федерации отсутствуют аналоги зарубежных сервисов и систем, помогающих вести бизнес. В России нет ни качественного отечественного маркетингового софта, ни систем рассылок (таких как Unisender или Mailchimp), ни ERP-систем.
В связи с отсутствием отечественных аналогов не понятно, как делать массовую рассылку клиентам, как осуществлять взаимодействие между департаментами или собирать информацию в ERP-системах, которая имеет обширный функционал. Если в какой-то момент РКН решит заблокировать или ограничить доступ к иностранным сервисам и системам, предоставляющих подобные услуги, то работа многих компаний остановится.
Рассматривая переход на новую платформу, база данных которой располагается на территории России, стоит отметить, что большое количество данных при переходе может быть бесследно утеряно: невозможно одномоментно настроить функционал системы под конкретную задачу, и долгое время придется адаптировать новый рабочий сервис под бизнес-процесс.
Как выстраивать дальнейшую работу бизнеса?
Следует провести анализ информации по каждой системе (адреса баз данных, состав обрабатываемых данных, возможность изменения/добавления новых данных в систему) и составить карту потоков данных.
Если локализация отсутствует у внутренних информационных систем, к которым относятся кадровые и бухгалтерские системы, ERP и корпоративная электронная почта, то тут есть вероятность получения штрафа. Возможно, придется приостановить обработку персональной информации в них. Нарушения во внутренних системах можно выявить только в ходе очной проверки.
Внешние информационные системы в виде веб-сайтов могут заблокировать за невыполнение требований о локализации. На основе анализа сайта регулятор проверяет выполнение требований по хранению и обработке персональных данных: определить месторасположение интернет-сервиса очень просто. Меры систематического наблюдения Роскомнадзором за сайтами в настоящее время являются неотъемлемым видом контроля за информационными системами.
Не следует придерживаться ошибочного мнения, что требования о локализации затрагивают только предприятия, входящие в международные группы компаний, или филиалы иностранных корпораций. Правовые новеллы также распространяются на российские компании, использующие в процессе своей работы информационные системы для хранения и обработки персональных данных.
В юридической плоскости существует более девяти способов исполнения данных требований: например, обосновать, что данные не являются персональными, указать на то, что статус оператора — у иностранного юридического лица, переложить ответственности на подрядчика-провайдера информационной системы и так далее; в сфере информационных технологий — технологическая локализация; в аспекте бизнес-рисков можно принять риски и ничего не делать или вовсе отказаться от использования информационной системы.
Например, компания пользуется сервером для обработки информации о клиентах, принадлежащим международной корпорации. Международная компания еще не локализовала свои серверы на территории России. И чтобы продолжить пользоваться им первоочередно, нужно обрабатывать и обезличивать информацию о пользователях на серверах, расположенных на территории РФ, а затем отправлять на сервер, принадлежащей иностранной компании.
Однако к новым затратам на содержание дублирующих баз данных готов не каждый бизнес. И поэтому ряд российский организаций в связи с оптимизацией данных расходов будет вынужден отказаться от использования нелокализованных сервисов и искать решение на российском ИТ-рынке. Переход на отечественное ПО, интернет- и облачные сервисы может вызвать большие трудности для предпринимателей — им придется менять привычный алгоритм работы.
Таким образом, иностранным компаниям, работающим на российскую аудиторию, и отечественным компаниям, использующим в процессе работы иностранный софт, необходимо выполнить в ближайшем будущем все законодательные требования по локализации персональных данных граждан Российской Федерации. Основные рекомендации, что можно предпринять предпринимателям, чтобы не получить административный штраф:
Локализация персональных данных
Ох, сколько уже было сказано о персональных данных! Интернет предпринимателей особенно взбудоражила история с локализацией. И до сих пор не совсем понятно, как и к кому этот 242 ФЗ применяется. Поэтому мы с коллегами из Б152 решили на примерах все разобрать и предложить варианты хранения данных, подходящие совершенно разным компаниям.
Напомним, что он вступил в силу 1 сентября 2015 года, хотя принят был еще летом 2014-го. О нем много разговоров, но судебной практики пока нет. Поэтому мы обратимся к опыту иностранных коллег.
Суть закона заключается в том, что отныне юридическим лицам, которые работают с персональными данными граждан РФ, запрещено собирать и хранить эти данные за рубежом – они обязаны локализовать базы данных на территории России. Закон этот вносит важные изменения в ФЗ № 152 «О персональных данных», вступивший в силу еще в 2007 году.
По части жестких требований к локализации ПДн мы далеко не одиноки. На территории других стран подобные законы действуют уже не один год.
Вьетнам
В 2013 году во Вьетнаме владельцев нескольких конкретных видов ресурсов (новостных, социальных сетей и онлайн-игр) обязали локализовать копии данных. Для чего это было сделано, нетрудно догадаться. Конечно же, для предоставления их компетентным органам и облегчения рассмотрения претензий пользователей. Запрета на параллельную обработку персональных данных за рубежом власти Вьетнама не ввели.
Китай
Китайцы подошли более сурово к вопросу трансграничной передачи данных, правда, в отношении только одного вида персональной информации. На два года опередив вьетнамцев, Китайский народный банк опубликовал Уведомление банковским институтам о защите персональной финансовой информации. Этот документ запретил кредитным организациям хранить, обрабатывать или анализировать за границей личную финансовую информацию, полученную внутри страны.
Индия
В том же 2011 году Министерство коммуникаций и информационных технологий Индии утвердило Правила по процедурам и практикам. Такое размытое название документа подразумевает под собой вполне конкретные цели, а именно – обеспечение безопасности специальных категорий персональных данных. В Правилах определены эти самые специальные категории, в список включили пароли, финансовую информацию (включая данные о банковском счете или кредитной карте), сведения о здоровье, сексуальной ориентации и биометрические данные.
Для этих категорий ПДн установили требование, согласно которому передача их любой другой компании или физическому лицу, находящемуся в Индии или в другом государстве, возможна только при условии обеспечения последними должного уровня защиты. И возможно все это только в рамках выполнения договора, заключенного с субъектом данных, или в случае получения от него согласия на передачу.
Малайзия
Финальной на сегодня глубиной нашего погружения в историю будет 2010 год, когда закон о защите персональных данных Малайзии ввел запрет на передачу ПДн за пределы страны. Осуществлять трансграничную передачу персональных данных можно лишь при соблюдении определенных условий и в ряде исключительных случаев. Например: согласие субъекта ПДн, необходимость исполнения договора между субъектом и оператором, необходимость исполнения контракта между оператором и третьим лицом, который был заключен по запросу или в интересах субъекта ПДн.
Однако подобные нововведения касаются не только азиатских стран. Запрет на передачу персональных данных за рубеж был введен в Австралии, правда, только в отношении данных о здоровье.
Вот только на фоне ФЗ-242 все вышеупомянутые законы и указания – детские сказки. Наш закон более суров и специфичен.
Больше всего споров возникает вокруг того, что этот закон запрещает хранение ПДн российских граждан за рубежом, но параллельное хранение, на первый взгляд, невозможно отследить. К тому же закон не содержит правовых инструментов, решающих эту проблему.
Минкомсвязи внес ясность в вопрос трансграничной передачи. Согласно их разъяснениям, ПДн граждан, изначально внесенные в базы данных на территории России, могут быть переданы за рубеж в соответствии с положением о трансграничной передаче данных. Также ведомство подтвердило возможность предоставления удаленного доступа к российским БД с территории других государств.
Перейдем к практике.
Судебных решений пока нет, слишком мало времени прошло. Пока мы можем лишь сказать, что изменения коснулись всех компаний, которые работают на территории РФ. Как им быть и что делать? Как строить теперь свою работу?
В первую очередь не надо паниковать. А что делать дальше – советуют наши коллеги из Б-152.
Итак, что делать если:
1. Вы иностранная компания, которая работает на территории РФ, в том числе через отдельное юридическое лицо или филиал.
Вариант 1. Передать данные за рубеж в обезличенном виде.
Это значит, что персональные данные будут находиться на серверах в России, но каждому физическому лицу будет присвоен ID, который и передается за рубеж. Таким образом персональные данные отделяются от субъекта, и их невозможно будет соотнести с конкретным человеком. Такой подход предлагает Microsoft для работы со своими сервисами и Microsoft Azure.
Вариант 2. Трансграничная передача данных с хранением первичной актуальной базы на территории России.
Как мы уже сказали, закон не запрещает обрабатывать данные за границей, но только в том случае, если база данных в РФ является наиболее полной и актуальной. То есть если сбор и хранение первоначально происходит в БД на территории России, то персональные данные можно передавать за рубеж и использовать там. На данный момент это один из самых востребованных способов локализации персональных данных.
И самый простой вариант его реализации – использование буферного сервера в России. В этом случае данные сначала попадают на этот сервер, и только потом – за рубеж. Позиция регуляторов позволяет это сделать, ведь соблюдено главное требование – первичная база данных находится в России.
Напомним, что базой данных, с точки зрения Минкомсвязи и Роскомнадзора, считаются в том числе бумажные базы. Например, это может быть шкаф с личными делами сотрудников в виде картотеки или таблица в excel.
2. Вы российская компания
Самый очевидный способ – перенести базы персональных данных, их обработку, сбор и хранение на территорию РФ, используя российские дата-центры.
Однако варианты с трансграничной передачей и обезличиванием вам тоже подойдут.
За нарушение норм локализации отдельной ответственности не предусмотрено. А значит, действует ст. 13.11 КоАП РФ, устанавливающая санкции за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных. Штраф за это совсем небольшой, для юридических лиц он составляет не более 10 тыс. руб.
Но это не единственная мера воздействия. Альтернативой является возможность внесения доменных имен и сетевых адресов в реестр нарушителей прав субъектов персональных данных. Что, пожалуй, более существенно, нежели штраф.