«Поправки о повышении штрафов за неисполнение требований статьи 13.11 КОАП РФ, в п. 8 и 9 вступил в силу год назад. Формально такая статья действовала с 2015 года, но не все стремились её соблюдать, что, очевидно, и явилось причиной резкого ужесточения наказания со стороны государства. Если ранее штраф за отказ от локализации составлял 3000 рублей, то сейчас за повторное нарушение юридическое лицо могут оштрафовать до 18 миллионов», - рассказывает руководитель направлений «Комплаенс» и «Аудит» управления информационной безопасности Softline Илья Тихонов. Стоит отметить что прямого запрета не передачу персональных данных за границу РФ нет, но процедура обмена персональными данными значительно облегчена со странами, подписавшими Конвенцию о защите физических лиц при автоматизированной обработке персональных данных (Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data CETS No.: 108)».
В 2020 году число проектов Softline в области локализации персональных данных составило 70% от общего числа проектов аудита по исполнению требований ФЗ-152. «Этот показатель наглядно демонстрирует, как много организаций используют удаленные от РФ сервера с хранящимися на них персональными данными», - подчеркивает Илья Тихонов.
Эксперт подчеркивает, что проблемы, которые возникают при реализации проектов в области локализации персональных данных, чаще всего связаны с техническими особенностями информационных систем - не любую ИС, находящуюся за рубежом можно разделить, или выделить из потока входящих данных трафик из одной страны.
«Штрафы за неисполнение требований статьи 13.11 КОАП РФ пока редки: регуляторы приглядываются к крупным игрокам. Тем не менее, с учетом общей тенденции усиления контроля безопасности персональных данных, мы советуем своим заказчикам найти возможность «приземлить» конфиденциальную информацию на территории России и при выполнении аудита на выполнение требований ФЗ-152 всегда разрабатываем для них соответствующие рекомендации. Сегодня многие компании активно внедряют в свою работу облачные технологии, и в этом случае важно уточнить, выполняет ли провайдер требования законодательства в области защиты персональных данных. Проще всего обеспечить выполнение требований законодательства при внедрении импортонезависимых решений: российские вендоры и облачные провайдеры разрабатывают свои решения с учетом существующих в стране правовых норм и в большинстве своем стремятся обеспечить для своих клиентов возможность «приземления» информации», - добавляет Илья Тихонов.