Информационные технологии и связь | Налоговое право Россия Информационное Компании будут обязаны хранить и обрабатывать персональные данные письмо Июль 2014 российских граждан на территории РФ Последние изменения www.bakermckenzie.com 21 июля 2014 года в России принят закон, который с некоторыми исключениями предписывает всем компаниям, осуществляющим сбор и обработку персональных данных российских граждан, использовать базы Контакты: 1 данных, расположенные в России («Закон»). Доступ к онлайн-ресурсам, не соответствующим этому требованию, может быть заблокирован для Эдуард Бекещенко российских пользователей. Новые правила вступят в силу с 1 сентября +7 495 787 27 17 [email protected] 2016 года. Игорь Макаров +7 495 787 27 09 [email protected] Основные последствия принятия Закона Начиная с сентября 2016 года компании, осуществляющие сбор персональных данных российских граждан, обязаны будут разместить Александр Монин базы данных для хранения и обработки таких персональных данных на +7 495 787 31 07 [email protected] российской территории. Это требование в первую очередь коснется Арсений Сеидов +7 495 787 27 37 [email protected] Максим Калинин +7 812 303 90 00 [email protected] Бейкер и Макензи — Си-Ай-Эс, Лимитед Белые Сады, 10-й этаж Лесная улица, 9 Москва 125047, Россия Тел.: +7 495 787 27 00 Факс: +7 495 787 27 01 BolloevCenter, 2-й этаж Переулок Гривцова, 4А Санкт-Петербург 190000, Россия Тел.: +7 812 303 90 00 Факс: +7 812 325 60 13 операторов социальных сетей, электронной почты и сервисов бронирования, а также других аналогичных онлайн-ресурсов. Российские регулирующие органы вправе будут заблокировать доступ к веб-сайтам, нарушающим данное требование, на основании соответствующего судебного акта. Закон не содержит прямого требования, чтобы операции с персональными данными российских граждан осуществлялись исключительно с использованием российских баз данных, и не вводит дополнительных ограничений на трансграничную передачу персональных данных. Исходя из буквального толкования Закона, российские базы данных могут просто использоваться в уже существующих моделях и средствах обработки данных. В то же время из-за неоднозначности формулировки Закона в будущем правоприменительная практика может выработать более ограничительное толкование Закона. Кроме того, в долгосрочной перспективе операторы соответствующих онлайн-ресурсов могут столкнуться с риском возникновения «постоянного представительства» в России для налоговых целей в силу наличия сервера на территории РФ. 1. Федеральный закон РФ № 242-ФЗ от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». Информационные технологии и связь | Налоговое право Положения Закона Создание баз данных в России Общие требования. Согласно Закону, операторы онлайн-ресурсов, через которые осуществляется сбор персональных данных российских граждан, обязаны обеспечить, чтобы базы данных, с использованием которых осуществляется сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных, были расположены на территории РФ. Отметим, что в российском законодательстве «персональные данные» определены очень широко. К ним причисляется любая информация, прямо или косвенно относящаяся к конкретному физическому лицу. Не существует исчерпывающего перечня таких данных, но, как правило, они включают имя, дату рождения, паспортные данные, адрес, сведения об образовании, семейном положении и другую информацию, позволяющую идентифицировать физическое лицо. Объем ограничений. Хотя Закон требует, чтобы юридические лица обрабатывали персональные данные российских граждан с использованием находящихся на территории РФ баз данных, его формулировка не налагает каких-либо других серьезных ограничений, в частности: – – – к операторам не предъявляется прямое требование осуществлять операции по обработке данных исключительно с использованием баз данных, расположенных в России; не налагаются дополнительные ограничения на трансграничную передачу персональных данных российских граждан; от юридических лиц не требуется, чтобы соответствующие серверы с базами персональных данных, расположенные в России, находились в их собственности. Налоговые последствия. В настоящее время в российском законодательстве отсутствует концепция налогооблагаемого постоянного представительства по признаку наличия сервера. Однако многие концепции налогового права, возникшие в странах ОЭСР, постепенно внедряются и в России. В долгосрочной перспективе юридические лица, использующие находящиеся в России базы данных в связи со своей коммерческой деятельностью, могут столкнуться с риском предъявления к ним требований, основанных на наличии у них такого «серверного» постоянного представительства в России, в частности, в сегментах электронной торговли и «облачных» сервисов. Санкции за невыполнение требований Закон предусматривает создание Реестра нарушителей прав субъектов персональных данных («Реестр»). Юридические лица, нарушающие требование о размещении базы данных в России, будут включаться в Реестр на основании соответствующего судебного акта. Российские органы исполнительной власти, осуществляющие контроль и надзор в сфере массовых коммуникаций, вправе будут заблокировать доступ к веб-сайтам нарушителей, включенных в Реестр. Юридическое лицо подлежит исключению из Реестра, а соответствующий ресурс — разблокированию в случае, если исходный судебный акт будет отменен или если юридическое лицо примет меры по устранению нарушений законодательства. 2 Информационное письмо Июль 2014 Информационные технологии и связь | Налоговое право Рекомендуемые действия Принятие Закона окажет наиболее существенное влияние на российский сегмент бизнеса тех предприятий, для которых сбор персональных данных в онлайн-режиме является ключевым элементом их коммерческой деятельности. Закон широко обсуждался в СМИ. В результате такой реакции правительство сформировало рабочую группу для обсуждения и подготовки необходимых изменений к Закону, которые должны смягчить его негативные последствия для бизнеса. Таким образом, в текущую редакцию Закона могут быть внесены изменения еще до его вступления в силу. Мы будем внимательно следить за развитием ситуации. На данном этапе мы рекомендуем своим клиентам, которые ведут сбор и обработку персональных данных российских граждан и на текущий момент не используют расположенные на территории РФ базы данных, изучить юридические и технические возможности создания такой базы персональных данных с минимальными финансовыми и технологическими затратами для бизнеса и наименьшими налоговыми и иными рисками. Настоящее ИНФОРМАЦИОННОЕ ПИСЬМО уведомляет клиентов фирмы Baker & McKenzie и других заинтересованных лиц об изменениях в законодательстве, которые могут тем или иным образом повлиять на их деятельность или представлять для них особый интерес. Приведенные в настоящем ИНФОРМАЦИОННОМ ПИСЬМЕ мнения и комментарии не являются юридическим заключением и не могут заменять собой необходимость получения юридической консультации в конкретных практических ситуациях. 3 Информационное письмо Июль 2014