К вступлению в силу в сентябре 2015 года 242-ФЗ были выпущены разъяснения Минкомсвязи об распространении требований российского законодательства в области защиты персональных данных на иностранные организации, не имеющих физического присутствия на территории страны. Произошло это за год до публикации GDPR. РКН очень прогрессивный регулятор.
http://minsvyaz.ru/ru/personaldata/
Сфера действия ФЗ-242 по территории и кругу лиц
В связи с трансграничным характером сети Интернет, обеспечивающей возможность приобретения товаров и услуг у иностранных лиц, возникает вопрос, при каких условиях требования ч. 5 ст. 18 ФЗ «О персональных данных» распространяются на иностранные организации, не имеющие физического присутствия на территории Российской Федерации.
ФЗ «О персональных данных» не содержит специальных положений, регламентирующих сферу его действия по территории и кругу лиц. В связи с этим для решения вопроса необходимо обратиться к положениям иных законов. В соответствии с ч. 1 ст. 15 ФЗ «Об информации, информационных технологиях и защите информации» на территории Российской Федерации использование информационно-телекоммуникационных сетей осуществляется с соблюдением требований законодательства Российской Федерации в области связи, настоящего Федерального закона и иных нормативных правовых актов Российской Федерации.
Таким образом, действие российских законов, включая ФЗ «О персональных данных», по общему правилу, ограничено территорией Российской Федерации. Однако при осуществлении деятельности в информационно-телекоммуникационной сети Интернет, которая в силу своего трансграничного, децентрализованного и виртуального характера не позволяет четко обозначить географические границы осуществления такой деятельности, необходимо установление специальных критериев, при которых она может быть отнесена к осуществляемой на территории Российской Федерации. Одной лишь доступности интернет-сайта на территории Российской Федерации недостаточно для вывода о том, что на него распространяется законодательство Российской Федерации, в том числе о персональных данных, поскольку в таком случае сфера его применения носила бы по существу всемирный характер и делала бы практически невозможным контроль за его исполнением.
В связи с этим в международном частном праве и законодательстве о защите прав потребителей (ст. 1212 Гражданского кодекса РФ), с которым тесно связано законодательство о персональных данных, был выработан критерий направленности деятельности лица на территорию Российской Федерации как условия применения законодательства Российской Федерации к отношениям с иностранным субъектом. Аналогичный критерий используется и в европейской практике (Ст. 15(1)(с) Регламента ЕС № 44/2001 от 22 декабря 2000 г. «О юрисдикции, признании и исполнении судебных решений по гражданским и торговым делам»; ст. 6 Регламента EC № 593/2008 от 17 июня 2008 «О праве, применимом к договорным отношениям»; Ст. 3 (2) Draft EU General Data Protection Regulation).
В данном случае действие ФЗ «О персональных данных» будет направлено на интернет-ресурсы (сайт в сети Интернет, страница сайта в сети Интернет), с использованием которых лицо осуществляет направленную на территорию Российской Федерации деятельность, которые могут быть заблокированы в установленном порядке при несоблюдении их владельцем, являющимся резидентом иностранного государства требований Федерального закона «О персональных данных».
О наличии направленности интернет-сайта на территорию Российской Федерации могут свидетельствовать следующие обстоятельства: 1) использование доменного имени, связанного с Российской Федерацией или субъектом РФ (.ru, .рф., .su, .москва., moscow и т.п.) и (или) 2) наличие русскоязычной версии интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом (использование на сайте или самим пользователем плагинов, предоставляющих функционал автоматизированных переводчиков с различных языков не должно приниматься во внимание). При этом поскольку русский язык широко используется в некоторых странах за пределами Российской Федерации, для определения направленности интернет-сайта именно на территорию Российской Федерации дополнительно необходимо наличие как минимум одного из следующих элементов: возможности осуществления расчетов в российских рублях; возможности исполнения заключенного на таком интернет-сайте договора на территории Российской Федерации (доставки товара, оказания услуги или пользования цифровым контентом на территории России), использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту, или иных обстоятельств, явно свидетельствующих о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию.
Таким образом, обязанности по локализации отдельных процессов обработки персональных данных распространяются на иностранных операторов при условии осуществления ими направленной деятельности на территорию Российской Федерации и отсутствии исключений, прямо указанных в ч. 5 ст. 18 ФЗ «О персональных данных» (например, международного договора, для достижения целей которого осуществляется обработка).
И блокирует РКН довольно активно, так за первые 4 месяца действия 242-ФЗ 29 интернет-ресурсов подверглись блокировке. Самый известный случай – LinkedIn.
В отличии от 152-ФЗ, в GDPR есть специально выделенный раздел, описывающий взаимодействие с третьими странами-не членами ЕС.
Выводы:
1. Во времена Интернета не важно под чьей вы юрисдикцией географически, важно географическое направление деятельности вашего сайта.
2. Будет применяться наказания за невыполнение GDPR российскими организациями, не имеющих физического присутствия в ЕС, – блокировка сайта.
P.S. Думаю, что позиция ФАС - "учитывая особенности правового регулирования интернета и признавая Рунет «виртуальной территорией Российской Федерации», полагает, что под действие закона «О рекламе» попадают только сайты, зарегистрированные в трех доменных зонах — .ru, .su и .рф, " основана на этих же принципах.
