LinkedIn: вне закона России и вне стандартов ОЭСР?

Александра Коваль
Руководитель Клуба Россия-ОЭСР
опубликовано

04 августа 2016 г. Таганский районный суд удовлетворил иск Роскомнадзора к LinkedIn Corporation. В частности, нарекания у уполномоченного органа вызвала обработка LinkedIn персональных данных третьих лиц без их согласия, а также непредоставление сведений о локализации данных на территории России.

10 ноября уже Московский государственный суд оставил в силе решение суда первой инстанции: спустя неделю крупнейшая профессиональная сеть была заблокирована в России Роскомнадзором.

В 2015 г. в России вступил в силу 242-ФЗ "О внесении изменений в отдельные законодательные акты РФ в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях", который установил требование о локализации данных в России. Требование о локализации данных, законодательно закрепленное в России, негативно оценивается ОЭСР, т.к. политика локализации может привести к фрагментации интернета и неоправданным препятствиям в трансграничных коммерческих отношениях. ОЭСР рассматривает обязательную локализацию данных в качестве барьера для открытого интернета.

Как отмечает ОЭСР, требования локализации данных могут быть установлены в связи с опасениями по поводу несанкционированного доступа иностранных лиц к информации, которая может идентифицировать граждан страны, устанавливающей требование локализации, к ценным коммерческим данным (экономический шпионаж) или к государственным сведениям (например, данные, связанные с национальной обороной и безопасностью, налогообложением и др.). Однако такие ограничения могут быть вызваны исключительно экономическими или протекционистскими причинами, а их принятие может наносить вред трансграничной торговле. Например, требование локализации центров обработки данных и облачных сервисов может быть установлено в связи с тем, что такие действия будут защищать национальные ИТ-компании и создавать дополнительные рабочие места.

ОЭСР признает, что некоторые случаи локализации данных могут быть правомерными, но подчеркивает, что все же такие требования ограничивают конкуренцию, делают интернет более закрытым, препятствуют свободе трансграничных потоков информации.

В соответствии с ч. 5 ст. 18 ФЗ «О персональных данных» сбор персональных данных, их обновление и изменение должны производиться с использованием баз данных, расположенных на территории России, за исключением ряда случаев (если иное предусмотрено в международном договоре, обработка персональных данных для осуществления правосудия, обработка данных для осуществления деятельности СМИ или научной, литературной, иной творческой деятельности и др.). Однако изменения в ФЗ «О персональных данных», внесенные ФЗ-242, не затронули положений закона о трансграничной передаче данных, которая определяется в соответствии со ст.12 ФЗ от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Принятое законодательство в отношении локализации данных предусматривает обременение для операторов данных, что связано с необходимостью обеспечения их локализаии, однако сохраняет возможность для последующей их трансграничной передачи.