Первый пошел! Прецедентная блокировка сайта за отказ хранить персональные данные в РФ

10 ноября 2016 г. Мосгорсуд подтвердил прецедентное решение Тверского районного суда г. Москвы о блокировке социальной сети LinkedIn за нарушение законодательства о персональных данных.

С момента вступления решения в силу хостинг-провадйер социальной сети обязан по запросу Роскомнадзора ограничить доступ российских пользователей к сайту. В противном случае, Роскомнадзор самостоятельно внесет социальную сеть в специальный Реестр нарушителей законодательства о персональных данных, после чего операторы связи ограничат доступ абонентов по всей стране к ресурсу.

Прецедентность решения заключается не только в статусе нарушителя (крупнейшая профессиональная социальная сеть), но и в нарушениях, которые Роскомнадзор, а за ним и суды, установили в действиях LinkedIn:

• сбор и обработка персональных данных третьих лиц (не являющихся пользователями) без заключения с ними пользовательского соглашения (ч. 1 ст. 6 ФЗ «О персональных данных»);
• хранение персональных данных российских граждан на серверах за пределами страны (ч. 5 ст. 18 ФЗ «О персональных данных»).

Решение Тверского районного суда не содержит подробной мотивировки и ограничивается лишь ссылками на скриншоты сайта и отчет инспектора Роскомнадзора как доказательства нарушения LinkedIn.

Тем не менее, из решения с очевидностью следует, что потенциально под удар со стороны Роскомнадзора попадает чрезвычайно широкий круг лиц (юридически такая ответственность была введена 1 сентября 2015 г. поправками в ФЗ «О персональных данных», но фактически применена впервые).

Теперь любой иностранный интернет-сервис, имеющий дело с обработкой персональных данных россиян (законодательные определения «персональных данных»(прим. 1)  и их «обработки» (прим. 2) распространяются практически на любые действия с информацией о физических лицах), не имеющий серверов для хранения информации в России, рискует быть заблокированным по решению российского суда.

Наилучшей рекомендацией в данном случае будет проверка бизнеса на предмет соответствия законодательству о персональных данных, а также выстраивание отлаженной политики по обработке и хранению персональных данных, если работа иностранного сервиса направлена, в том числе, на русскоязычную аудиторию.

Примечание 1. Пункт 1 статьи 3 ФЗ «О персональных данных»: «Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Примечание 2. Пункт 3 статьи 3 ФЗ «О персональных данных»: «Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».