23 декабря 2019
Итоги-2019: ключевые события в правовой сфере, которые произошли в уходящем году | комментарий Елены Агаевой для «ЭЖ-Юрист»

Субсидиарная ответственность по долгам банкрота и дальнейшее развитие правового регулирования процедур банкротства, ужесточение борьбы с картелями и многомиллионные штрафы за нарушение требований о хранении персональных данных российских пользователей на территории РФ, легализация гонорара успеха и активное развитие электронного документооборота — для итогового номера в 2019 году газета «ЭЖ-Юрист» попросила коллег вспомнить самые значимые правовые события уходящего года. […]

Елена Агаева, руководитель практики слияний и поглощений и корпоративного права АБ ЕПАМ в Санкт-Петербурге

Одним из ключевых событий 2019 года в IT-сфере стало введение значительных штрафов за нарушение «правила о локализации персональных данных». Как известно, с сентября 2015 года как российские, так и иностранные компании должны осуществлять обработку персональных данных российских граждан с использованием баз данных, находящихся на территории Российской Федерации. Из-за недостаточно четкой формулировки правила о локализации данных среди государственных органов, представителей бизнеса и юридического сообщества существуют различные подходы к тому, как данное правило применять. В частности, ведутся дискуссии о том, в какой степени разрешено использование облачных решений или «зеркальных» баз данных за пределами России. С 2016 года регулятор усилил контроль за соблюдением правила о локализации данных. Однако до декабря 2019 года не было предусмотрено специальной ответственности за нарушение этого требования. Теперь компании, нарушившие правило о локализации данных, могут подвергнуться многомиллионным штрафам. Так, 2 декабря 2019 года вступил в силу Федеральный закон от 02.12.2019 № 405-ФЗ, устанавливающий значительные штрафы за нарушение правила о локализации персональных данных. Теперь штрафы для юридических лиц составляют от 1 млн до 18 млн руб. Следует отметить, что формулировка нового закона недостаточно конкретна и потенциально предоставляет государственным органам возможность наложить несколько штрафов по результатам каждой проверки с применением последующих штрафов, не предоставляя компаниям достаточного времени для устранения нарушений. Текст закона допускает широкое толкование и возможность наложения штрафов в зависимости от числа нелокализованных баз данных, что может привести к значительному увеличению совокупного размера штрафов. Многое будет зависеть от первой практики применения нового закона контролирующими органами и судами. Нередко серверы, используемые для размещения глобальных баз данных и хостинга сайтов, расположены за пределами России. Российским и иностранным компаниям, использующим глобальные базы данных или собирающим персональные данные через сайты, следует уделять особое внимание соблюдению правила о локализации данных. Регулятор вправе проверять компании несмотря на то, что они могут не иметь юридического присутствия в России. При определении объектов проверки регулятор использует критерии, которые позволяют рассматривать деятельность иностранной компании как «направленную на территорию Российской Федерации». По итогам проверки Роскомнадзор часто выдает предписание об устранении нарушений. При этом процесс переноса баз данных в Россию может потребовать значительного времени, весомых затрат и существенных изменений в бизнес-процессах компании. Невыполнение предписания может привести к дополнительным штрафам, а также к дисквалификации должностных лиц компании (например, генерального директора). В условиях введения значительных санкций за нарушение правил о сборе и обработке персональных данных и усиления контроля за их соблюдением целесообразно провести проверку процессов обработки данных в компании, выявить возможные нарушения и устранить их.

Статья опубликована в «ЭЖ-Юрист» №50 (1101) 2019. С полным текстом статьи можно ознакомиться по ссылке.

КЛЮЧЕВЫЕ КОНТАКТЫ

Елена Агаева

Елена Агаева

Санкт-Петербург