Рано или поздно владельцу сайта хочется дешевого хостинга на серверах в тропической деревне. Цены там низкие, «мусорный» дата-центр выстроен за считанные доллары, а сбои в работе если и случаются, то это с лихвой компенсируется ценой обслуживания. Поддаваться соблазну не стоит. Российские законы суровы.
Не все помнят о существовании такой конторы, как Роскомнадзор. Еще меньше владельцев сайтов знают о законе №152 «О персональных данных». О существовании ФЗ-242 мало кто слышал. А о проекте нового административного кодекса многие и не догадываются.
Между тем, зимой 2016 года проверку Роскомнадзора прошли крупнейшие российские интернет-магазины: Ozon, Wildberries, KupiVIP и др. Ведомство интересовало, где хранятся персональные данные россиян.
Если вы собираетесь завести собственный сайт для публикации рецензий о кино или кулинарных рецептов, хостинг за границей вам не навредит. Хуже, если вы владелец интернет-сервиса, магазина или другого ресурса, предусматривающего отправку пользователем на ваш сервер персональных данных.
Что такое персональные данные? Формулировка в 152-ФЗ довольно строгая: «любая информация, прямо или косвенно относящаяся к определенному или определяемому лицу (субъекту персональных данных)».
Вкратце – просто ФИО пользователя персональными данными не являются. Ивановых Петров Сидоровичей в стране много и определить, кто из них зарегистрировался на сайте, не представляется возможным.
С другой стороны, ФИО + номер мобильного телефона и адрес регистрации – безусловно персональные данные и защищаются законом. Как минимум, для нарушителей прав субъектов персональных данных есть статья 13.11 КоАП.
На первый взгляд, вы вполне имеете право хранить персональные данные клиентов, собственных сотрудников и партнеров за рубежом. Тем более, что их трансграничная передача прямо допускается в 152-ФЗ.
Многое изменилось прошлым летом. Вступил в силу закон №242, в частности, изменивший другой закон – «Об информации, информационных технологиях и о защите информации».
В двух словах – персональные данные россиян следует хранить в России (за редкими исключениями, к которым обычные веб-сайты не относятся).
Роскомнадзор, о котором так мало известно рядовым гражданам, может провести как плановую проверку, так и внеплановую. Например, к вам могут наведаться, если гражданин пожаловался в прокуратуру, либо к Роскомнадзору обратилось государственное/муниципальное учреждение, правоохранительные органы и т. п.
На первый взгляд, наказание по ст. 13.11 КоАП предусмотрено небольшое – штраф до 10000 рублей. С другой стороны, Роскомнадзор, выявив нарушения, будет держать дело на контроле до их устранения и, если это необходимо, вправе вовсе заблокировать сайт, заодно внеся его в «Реестр нарушителей прав субъектов персональных данных».
Стоит ли в таком случае хранить персональные данные пользователей за рубежом, даже, если это обходится дешевле, чем дома? Вопрос спорный. Вероятно, крупнейшие интернет-магазины страны выбрали для проверки не случайно. Если добрались до них, то веб-ресурс с тысячей-другой клиентов могут раздавить походя, как таракана.
Кстати, как неоднократно сообщал Роскомнадзор, в вопросе о месте хранения персональных данных речь идет не только о ресурсах, владельцы которых находятся в России, но и вообще сайтах, которыми пользуется российская аудитория. Штраф невелик, но возможная блокировка ресурса – дело крайне неприятное.
Ранее российские парламентарии уже планировали внести изменения в ст. 13.11 КоАП. Соответствующий законопроект уже внесли на рассмотрение Госдумы, однако, после первого чтения он так и не продвинулся дальше. Теперь понятно – почему.
Если будет принят новый административный кодекс (законопроект №957581-6), материальная ответственность за нарушения в области обработки персональных данных, вырастет в десятки раз (ст. 22.9 нового кодекса).
Выбирать хостинг для сайта – право заказчика. Однако, стоит быть готовым к тому, что в любой момент его могут заблокировать. При желании, организовать грамотно оформленную жалобу в Роскомнадзор для внеплановой проверки можно быстро.
Впрочем, напомним еще раз, трансграничная передача персональных данных клиентов, партнеров и сотрудников не запрещена. Главное требование – хранить основную базу данных на серверах на территории России или передавать персональные данные за рубеж в «обезличенном» виде.