Правила о локализации персональных данных, вступившие в силу более года назад, оказались серьезным вызовом для бизнеса. В будущем компаниям, возможно, придется также столкнуться с регулированием так называемых «больших данных».

Правила локализации персональных данных: год применения 

Уже более года в России действуют правила локализации персональных данных, о которых мы сообщали ранее (см. по ссылке). На этом этапе Роскомнадзор подвел некоторые итоги своей деятельности по применению правил локализации за первый год их действия.

По информации представителей Роскомнадзора, за истекший период было проведено 1036 проверок, включая 82 внеплановые. При этом Роскомнадзор выявил 23 нарушения, связанных с локализацией данных. Также восемь таких нарушений было выявлено при проведении мероприятий по систематическому наблюдению, о которых мы также сообщали ранее. Следует отметить, что количество нарушений правил по локализации занимает незначительную часть от общего количества выявленных нарушений, что говорит, в частности, о том, что Роскомнадзор продолжает активно выявлять и иные нарушения в сфере защиты персональных данных, в том числе неполучение согласий на обработку персональных данных в тех случаях, когда такое согласие требуется. Как и ранее, Роскомнадзор предпочитает предоставлять нарушителям время для устранения нарушений, а не применять санкции в виде штрафов. 

Роскомнадзор осуществлял секторные проверки, исходя из сферы ведения бизнеса проверяемых компаний. Так, за прошедший год Роскомнадзор проверил, в частности, страховые компании, рекрутинговые агентства, операторов электронной торговли, сервисы бронирования билетов, кредитные организации, дилерские центры. Перечень проверяемых компаний показывает, что под проверки в первую очередь попадают компании, которые собирают и обрабатывают значительные объемы персональных данных.

Роскомнадзор также сообщил, что сведения о нахождении баз данных, содержащих персональные данные российских граждан, предоставили около 63 тысяч операторов.

В результате деятельности Роскомнадзора Реестр нарушителей прав субъектов персональных данных пополнился сведениями о 161 Интернет-ресурсе.

Кроме того, в августе 2016 года требования Роскомнадзора о блокировке известного веб-ресурса LinkedIn были удовлетворены в суде первой инстанции. В настоящее время идет апелляционное производство по этому делу, и, в случае оставления решения в силе, LinkedIn будет также внесен в Реестр нарушителей.

Это дело может оказаться сигналом для бизнес-сообщества, указывающим на то, что Роскомнадзор готов применять санкции за нарушение правил локализации, в том числе и к крупным, публичным компаниям.

Готовность Роскомнадзора включать веб-ресурсы в Реестр нарушителей следует в особенности учитывать компаниям, бизнес-процессы или активная маркетинговая деятельность которых ведется в сети Интернет и связаны со сбором и обработкой персональных данных.

Регулирование «больших данных»

«Большие данные» или big data сегодня являются одним из системообразующих элементов деятельности компаний в сфере IT технологий и электронной коммерции, подразумевающей обработку значительного объема неструктурированных данных с целью ее представления в воспринимаемой человеком форме.

В связи с возрастанием роли «больших данных» и объема их использования, государственные органы многих стран, в том числе и России, выражают мнение о необходимости специального законодательного вмешательства в отношения, связанные с обработкой «больших данных».

Александр Жаров, руководитель Роскомнадзора, неоднократно указывал на необходимость специального контроля «больших данных», в частности говоря как о создании единого оператора «больших данных», так и о принятии специального закона.

Несмотря на то, что официально эти инициативы еще не были приняты, компаниям, использующим средства обработки «больших данных», следует:

  • следить за законопроектной деятельностью в этой сфере; и
  • вводить корпоративное регулирование процессов с целью наиболее прозрачного ведения бизнеса и контроля потенциальных нарушений в сфере персональных данных при обработке «больших данных».