Защита персональных данных в России регулируется достаточно детально. Часть российских требований пересекается с GDPR и законами других стран.
Соответствие российскому законодательству о персональных данных
В чем суть
Защита персональных данных в России регулируется достаточно детально. Часть российских требований пересекается с GDPR и законами других стран (например, обязанность иметь законное основание для обработки, обязанность обеспечить конфиденциальность персональных данных, разработать и внедрить основные политики и внутренние документы), но есть и ряд «самобытных» требований.

Самое сложное для соблюдения из них – требование обеспечить хранение персональных данных российских граждан на территории России (так называемое «требование о локализации»). Согласно разъяснениям Минкомсвязи, это правило не делает невозможной передачу данных за рубеж, однако накладывает на компанию, собирающую данные российских пользователей, обязанность обеспечить хранение данных в России в объеме не меньшем, чем хранится за рубежом.

В целом штрафы за нарушения в сфере персональных данных в России не очень высоки – до 75 000 рублей. Однако до сих пор судебная практика не определилась: это штраф за одно нарушение или за каждого «пострадавшего» субъекта персональных данных. Соответственно, разные суды накладывают этот штраф по-разному.

Единственное нарушение, которое может повлечь наложение более высоких штрафов – нарушение требования о локализации данных. Штраф за первое нарушение составит до 6 000 000 рублей, а за повторное – до 18 000 000 рублей.

Еще одной возможной санкцией является блокировка сайтов, нарушающих закон о персональных данных, по просьбе Роскомнадзора.
Примеры
В 2016 году был заблокирован сайт LinkedIn на территории России, и это самый известный случай блокировки сайта за несоблюдение правил локализации персональных данных россиян.

Также Twitter и Facebook были оштрафованы в 2020 году на 4 млн. рублей каждый за то же нарушение.
Для кого это важно
Для всех проектов, предусматривающих функционал совершения внутриигровых покупок.
На что нужно обратить внимание
За проверки и штрафы в этой сфере отвечает Роскомнадзор. При проверке в основном проверяется:

  • какие данные собирает компания, в каком объеме и с какой целью;
  • какое основание использует компания для обработки данных;
  • сколько и как хранятся собранные персональные данные;
  • происходит ли «первичный сбор» данных в России;
  • принят и внедрен ли в компании основной пакет документов по обработке персональных данных, корректно ли составлены согласия на обработку;
  • зарегистрирована ли компания как оператор персональных данных в Роскомнадзоре;
  • корректно ли осуществляется трансграничная передача данных и передача данных третьим лицам.

Стоит отметить, что Роскомнадзор проводит не более 300-400 плановых проверок в год (что делает шансы на проверку конкретной компании достаточно низкими), но может организовать и внеплановую проверку, если поступит жалоба.