Наверное, уже весь Хабр знает, что наши персональные данные давно и успешно стали объектом законной и незаконной торговли. Про рынок банковской информации, данных мобильных операторов и госорганов я писал тут в статье: «Анализ цен черного рынка на персональные данные и пробив».

Про так называемую законную часть этого бизнеса сейчас говорить не будем, поговорим о ее незаконной стороне и попробуем разобраться с тем, как всё-таки пресекают эту деятельность и пресекают ли вообще.

В этой статье расскажу о том, кого и как в России ловят за незаконную торговлю данными. Только реальные случаи, никакой теории!

Если судить по огромному количеству предложений по «пробиву» на черном рынке, то может сложиться впечатление, что государство и частные компании — операторы персональных данных (банки, операторы сотовой связи и т.п.) попросту самоустранились от решения данной проблемы.

Однако, случаи, когда продавцов персданных ловят и даже судят, есть. Правда, стоит отметить, что ловят, как правило, непосредственных исполнителей заказов, т.е.

сотрудников организаций, имеющих доступ к информации в силу своих служебных обязанностей.

А вот посредники, активно нанимающие таких неблагонадежных сотрудников банков, операторов связи, госорганов, а затем перепродающие данные граждан на черном рынке, зачастую остаются в тени и уходят от наказания.

Я сделал подборку за год всех случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными, про которые писали СМИ и которые проходили в моем канале «Утечки информации». Их оказалось не так много, но чем богаты…

Февраль 2018

В суд направлено дело четверых жителей Пензы, арестованных за продажу персональных данных абонентов сотовых операторов.

По данным следствия, в октябре 2016 года 26-летний житель Пензы и его 27-летний знакомый решили найти инсайдеров, имеющих доступ к двум операторам сотовой связи, которые за вознаграждение станут копировать персональные данные абонентов и сведения об их телефонных переговорах.

Подельникам удалось договориться с двумя 20-летними девушками, работавшими в салонах операторов сотовой связи. В интернете на специализированных форумах было размещено объявление о продаже персональных данных абонентов и информации о звонках. С декабря 2016 по конец марта 2017 года было получено 17 заказов, каждый стоимостью от 500 до 4 000 рублей.

Март

Прокуратура Нижегородской области сообщает, что по версии следствия 30–летний оперуполномоченный уголовного розыска ОМВД России по Богородскому району в 2015 году за денежное вознаграждение организовал незаконную передачу информации из ведомственных банков данных МВД.

В 2016 году он привлёк к этому и своего младшего брата, также занимавшего должность оперуполномоченного уголовного розыска. Злоумышленники систематически использовали доступ в базы данных МВД России для получения и передачи служебной информации через интернет неопределенному кругу лиц. Эта преступная деятельность продолжалась более года.

Отмечается, что таким образом мужчины получили доход свыше 700 тыс. рублей.

В Липецкой области на сотрудницу банка завели сразу три уголовных дела. Финансовый консультант местного офиса известного банка незаконно использовала персональные данные клиентов о счетах и вкладах.

В ходе проверки выяснилось, что сотрудница банка использовала личные данные клиентов для хищения денег с их счетов и вкладов. Замечу только, что тут было хищение средств со счетов клиентов, а не торговля данными, видимо поэтому банк решился на подачу заявления в МВД.

Других публичных случаев, когда банки официально расследуют незаконный доступ к информации клиентов, мне не известно.

Два бывших оперуполномоченных из Богородска (Нижегородская область) получили по 1,5 года лишения свободы условно за использование персональных данных из базы МВД.

В ходе следствия установлены обстоятельства получения полицейскими 800 тысяч рублей от граждан из более чем 20 субъектов РФ.

Большая часть переданных персональных данных связана с проверкой сведений о собственниках автомототранспортных средств.

Апрель

33-летний экс-следователь одного из московских райотделов полиции, уволившись по собственному желанию из правоохранительных органов, решил зарабатывать деньги на торговле данными о частных телефонных переговорах.

Раздобыв поддельную печать Мещанского райсуда Москвы, за два года успел оформить порядка 300 липовых судебных решений о предоставлении данных детализации телефонных переговоров, а также информации о самих абонентах у основных операторов сотовой связи. Стоимость одного заказа на детализацию и данные об абоненте колебалась от 45 тыс. до 100 тыс. руб.

, при этом самому бывшему следователю доставалось 10–15 тыс. руб. Остальные деньги распределялись между посредниками, с которыми экс-следователь в основном общался с помощью мессенджеров.

В Саратове по результатам прокурорской проверки возбуждено уголовное дело в отношении должностного лица.

Установлено, что с марта по декабрь 2016 года помощник оперативного дежурного управления внутренних дел по городу Саратову, имеющий доступ к сведениям о происшествиях и преступлениях, произошедших на территории города Саратова, систематически передавал сведения о фактах смерти граждан индивидуальному предпринимателю, который осуществлял деятельность в сфере ритуальных услуг.

Поймали бывшего начальника одного из подразделений Комитета по управлению городским имуществом и земельными ресурсами администрации Нижнего Новгорода.

За взятку в 1,2 миллиона рублей 36-летний начальник управления согласился в течение года передавать любые сведения ограниченного доступа, в том числе персональные данные граждан, которые содержатся в информационных системах по учёту объектов недвижимости и земельных участков. В подтверждение своей готовности к «сотрудничеству» чиновник передал USB-носитель с частью запрошенных данных. В декабре суд приговорил бывшего начальника к лишению свободы на срок 8 лет с отбыванием в колонии строго режима, а также штрафу в размере 3,6 млн рублей, по статье за взяточничество. Кроме того, в течение 5 лет он не сможет занимать определенные должности.

Май

В Воронеже бывшую сотрудницу сотовой компании обвинили в незаконной слежке за телефонными звонками.

Ей вменяют нарушение части 2 статьи 138 УК РФ (нарушение тайны переписки, телефонных переговоров и иных сообщений граждан, совершенное лицом с использованием своего служебного положения).

Следователи установили, что с 30 ноября 2017 года по 22 февраля 2018-го работница сотовой компании, находясь на рабочем месте, незаконно просматривала детализации телефонных соединений.

Июнь

В Мордовии сотрудники сотовых компаний, торговавшие персональными данными, получили условный срок. 27-летний оператор контактного центра ООО «Т2Мобайл» Анатолий Панишев получил 1 год 7 месяцев, а 24-летняя специалист ПАО «Вымпелком» Анна Синева – 1 год 4 месяца.

Следствием установлено, что в феврале 2017 года к Панишеву с использованием Telegram обратилась бывшая сотрудница ООО «Т 2-Мобайл» (г. Саранск) Синева с предложением передачи ей фотографий с паспортными данными, номерами телефонов, которые она предоставляла в WhatsApp и Telegram. За один номер телефона она обещала платить по 200 рублей.

По некоторым данным, Синева перепродавала персональные данные в интернете по 500 рублей.

В период с февраля по апрель 2017 года Панишев через компьютерную программу Invoice копировал на свой телефон персональные данные абонентов, включающие фамилии, имена, отчества, реквизиты документов, удостоверяющих личность, параметры оказания услуг — сведения о денежных средствах на лицевом счете, и через Telegram передавал их на мобильный телефон Синевой.

Сентябрь

Бывший замначальника отдела полиции №1 «Северное» ОМВД России по Нахимовскому району в Севастополе получил три года колонии за продажу данных о смерти людей сотрудникам ритуальной фирмы. Александр Барановский признан виновным в получении взяток от владельца ритуальной фирмы. Он в течение нескольких лет он передавал информацию о фактах смерти граждан и данные их родственников.

Октябрь

ФСБ задержала российского пограничника, который, вероятно, продал информацию о заграничных поездках Александра Петрова и Руслана Боширова, обвиненных в отравлении полковника ГРУ Сергея Скрипаля. Пограничник работал в Северо-Западном федеральном округе.

Вместе с ним был задержан сотрудник одного из подразделений Федеральной налоговой службы (ФНС). Задержания проходили в рамках спецоперации по предотвращению утечек из закрытых баз данных.

Кстати говоря, эта спецоперация довольно сильно подкосила черный рынок «госпробива» на какое-то время.

Ноябрь

В Калининграде задержали 25-летнего менеджера салона сотовой связи за продажу персональных данных клиента. К менеджеру обратился неизвестный мужчина, который попросил за вознаграждение предоставить данные на определенного абонента. Дело возбуждено по части 3 статьи 272 УК РФ (неправомерный доступ к компьютерной информации). Максимальное наказание — лишение свободы на срок до пяти лет.

Суд Томска приговорил к трем годам условно бывшего участкового полиции, который за финансовое вознаграждение сообщал сотруднику ритуального бюро персональные данные умерших.

“Установлено, что в период с 27 декабря 2017 года по 3 апреля 2018 года подсудимый, являясь участковым ОМВД России по Томскому району, получил взятку в виде денег на общую сумму 21 тысяча рублей за незаконное предоставление конфиденциальных сведений умерших лицу, действующему в интересах коммерческой организации, предоставляющей ритуальные услуги. Эти данные в дальнейшем использовались для обеспечения заключения с родственниками умерших граждан договоров на оказание ритуальных услуг”.

Декабрь

Следственное управление Следственного комитета по Новосибирской области возбудило уголовное дело о незаконной передаче сведений, составляющих коммерческую тайну, в отношении сотрудницы «Русской телефонной компании».

20 ноября прошлого года подозреваемая зашла в систему под своим рабочим логином и паролем и скопировала информацию, содержащую сведения о дате и времени соединений, номерах исходящих и входящих соединений абонента сотовой связи МТС, после чего передала эти данные третьим лицам. В отношении подозреваемой возбуждено уголовное дело по ч.2 ст.

183 УК РФ (незаконная передача третьим лицам сведений, составляющих коммерческую тайну). Сотруднице грозит до трех лет лишения свободы.

Прокуратура Ленинского района Магнитогорска направила в суд уголовное дело в отношении бывшей начальницы городского управления пенсионного фонда, обвиняемой в получении взятки и злоупотреблении полномочиями.

В 2017 году женщина передала сотруднику коммерческого банка персональные данные горожан, которые незаконно использовались в служебной деятельности кредитного учреждения. За это начальница пенсионного фонда получила взятку в размере 61,4 тыс. руб.

Эти деньги были перечислены на банковский счет ее дочери под видом оказания материальной помощи от работодателя.

Домодедовский городской суд Московской области признал сотрудника полиции виновным в совершении коррупционных преступлений и приговорил к четырем годам шести месяцам лишения свободы. Кроме того, осужденный оштрафован на 600 тыс. руб.

Суд установил, что полицейский на протяжении нескольких месяцев неоднократно получал взятки в размере до 15 тыс. руб.

через посредника за предоставление бланков миграционных карт и персональных данных иностранцев из автоматизированной базы данных.

Январь 2019

В Муроме завершено расследование уголовного дела в отношении бывшего работника салона сотовой связи, которому предъявлено обвинение по ч. 2 ст. 138 УК РФ (нарушение тайны телефонных переговоров), ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации) и ч. 3 ст.

183 УК РФ (незаконное получение сведений, составляющих коммерческую тайну). В январе 2017 года, 23-летний бывший сотрудник салона сотовой связи неоднократно подделывал заявления от имени клиентов на получение сведений о соединениях, а при получении данных копировал их на сменный носитель.

Он направил от имени клиентов 43 сервисных запроса на получение детализаций абонентов — часть запросов была удовлетворена. Такая активность насторожила сотрудников безопасности телефонной компании — работника вычислили, после чего он был уволен, а материалы были переданы в следственные органы.

Уголовное дело с утвержденным обвинительным заключением направлено в суд. В соответствии с законом обвиняемому грозит до 5 лет лишения свободы.

В Перми бывшая сотрудница полиции обвиняется в злоупотреблении должностными полномочиями (ч. 1 ст. 285 УК РФ) и мелком взяточничестве (ч. 1 ст. 291.2 УК РФ). В 2017 году она имела доступ к сведениям банков, которые содержали персональные данные клиентов.

Без ведома самих граждан и соответствующих запросов компетентных органов она предоставляла эти данные директору коммерческой организации. За эти сведения бывшая сотрудница полиции получала вознаграждение — от 100 до 500 рублей.

После того, как случаи взяточничества вскрылись, женщину уволили из органов внутренних дел. Уголовное дело завершено, материалы дела переданы в суд.

Сотрудник мобильного оператора «Мегафон» в Санкт-Петербурге был обвинен в совершении преступления, ч. 2 ст. 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений).

Суд установил, что подсудимый находился в должности инженера по разработке отчетности корпоративного хранилища данных и нес обязательство по сохранению конфиденциальной информации компании. Он, используя свое служебное положение, имея доступ к данным биллинговых систем, получил доступ к конфиденциальной информации потерпевшего и передал эту информацию неустановленным лицам.

С учетом позиции государственного обвинения, отсутствии возражений со стороны потерпевшего, ходатайство следователя удовлетворено, подсудимому назначен штраф в размере 100 тыс. рублей.

Февраль

В Новосибирске суд вынес приговор двум бывшим сотрудникам МТС, которые украли базу данных абонентов Новосибирска, Барнаула, Новокузнецка и Бердска. На момент совершения кражи, один из злоумышленников уже уволился из МТС, а второй продолжал работать в должности ведущего супервайзера. Кража была совершена 18 июля 2018 года.

Двое злоумышленников свободно зашли в офис и проникли в кабинет с компьютером, который имел доступ в корпоративную сеть. Один из них попросил логин и пароль у начальства. Скачанную базу данных попытались отправить себе на личную почту в виде файла-архива, но из-за большого размера это не удалось сделать.

Тогда архив разделили на несколько частей и вновь отправили на почту. Всего в украденной базе были данные 506,185 абонентов, содержащие: фамилии, имена, отчества, номера телефонов и адреса.

Во время предварительного следствия злоумышленники признались, что пытались продать данные каждого абонента по одному рублю за запись, заработав таким образом более 500 тысяч рублей.

26 февраля 2019 года суд признал Никиту Черницова и Виталия Иванова виновными по статье 183 УК РФ «Сбор сведений, составляющих коммерческую тайну, причинивший крупный ущерб или совершенный из корыстной заинтересованности». Черницова приговорили к 1 году 6 месяцам условно с аналогичным испытательным сроком, а Иванову дали на три месяца меньше.

В Томске вынесен приговор бывшему участковому уполномоченному полиции, получившему взятку за предоставление в интересах ритуальной фирмы сведений об умерших гражданах.

В суде выяснили, что со 2 января по 18 июня 2018 года подсудимый, в то время работавший в должности участкового, получил взятку в 42 тысячи рублей за незаконное предоставление конфиденциальных сведений о персональных данных умерших граждан лицу, действующему в интересах коммерческой организации, оказывающей ритуальные услуги. Эти данные в дальнейшем предназначались для обеспечения заключения с родственниками умерших граждан договоров на оказание ритуальных услуг Суд приговорил подсудимого к трем с половиной годам лишения свободы условно с испытательным сроком три года. Также его лишили права в течение двух лет занимать должности в системе правоохранительных органов РФ.

Суд в Новосибирске признал виновным руководителя ритуального агентства в даче взяток. 41-летнего мужчину приговорили к семи годам лишения свободы условно с испытательным сроком три года. Предприниматель давал взятки сотрудникам полиции, чтобы получить информацию о персональных данных умерших в Новосибирске, а именно их фамилию, имя, отчество, дату рождения и смерти, а также местонахождение.

Март

В Воронежской области суд рассмотрит дело 38-летней начальницы отдела ПАО СК «Росгострах», которая незаконно копировала базу данных клиентов в июле 2018 года. По версии следствия, женщина, имея доступ к базе клиентов, скопировала себе их персональные данные, контакты и информацию о стоимости страховых услуг.

Для отправки данных самой себе она использовала корпоративную электронную почту. Уголовное дело возбуждено по ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации). Максимальная санкция – лишение свободы на 4 года.

Как собрать базу клиентов и не попасть на штраф — «Жиза» — бизнес-блог для предпринимателей

Законы

Если у вас интернет-магазин, блог с ми или имейл-рассылка, вы попадаете под закон о хранении персональных данных. Вам предстоит отчитаться перед Роскомнадзором о том, как вы храните данные клиентов или читателей. Если этого не сделать, придется заплатить 300 000₽.

• Максим Локтунов
• Редактор: Саша Волкова
• Иллюстратор: Ivan Might

В начале июля в силу вступила поправка к статье 13.11 КоАП. Раньше хранение персональных данных контролировала прокуратура, и штрафы за нарушения выписывала мизерные — до 10 000₽ для организаций. Закон был, но мало кто его соблюдал; дешевле было заплатить штраф.

Поправка изменила ситуацию — соблюдение закона теперь контролирует Роскомнадзор, штрафы подняли до 300 000₽. Роскомнадзор обещает проводить проверки чаще и тщательнее.

Что называют персональными данными

• Данные — это любая информация о человеке и его деятельности:
  — фамилия, имя, отчество;
  — дата рождения;
  — телефон;
  — адрес;
  — электронная почта;
  — ссылки на социальные сети;
  — место работы;
• — должность.

Точного определения, что считать «Персональными данными», нет: ни Роскомнадзор, ни Минкомсвязи не смогли очертить рамки. Мы посмотрели статьи закона, судебную практику и поняли вот что: персональные данные — это информация «в связках». Например, имя, телефон или электронная почта по отдельности — простая информация.

А если взять имя и телефон вместе, эта информация станет персональной:
— Ульяна, 8 (100) 000-00-01;
— Иван, 10.01.1990, визажист;

1. — Главный бухгалтер, ООО «Берёзка».
2. Всё это — информация в связках, ее Роскомнадзор посчитает персональными данными.

Бывают случаи, когда персональными данными признают информацию без связок и без возможности идентифицировать человека. Поэтому, если есть сомнения, храните вы простую информацию о человеке или его персональные данные, лучше спросите у Роскомнадзора.

Саша ведет блог. Чтобы постоянные читатели не пропускали новые статьи, она добавила подписку: читатели вводят имя и имейл в форму и раз в неделю получают письма со статьями.

Саша хранит персональные данные читателей и должна отчитаться перед Роскомнадзором. Но этого можно избежать — достаточно убрать поле имени из формы.

Брокеры данных: кто, где и как продает информацию о нас

Содержание статьи:

Кто такие брокеры данных

Брокеры данных (информационные брокеры) — это компании, которые занимаются сбором и зарабатывают на продаже персональных данных.

СМИ часто пишут, что эта индустрия возникла с расцветом интернета и цифровых сервисов, но это не совсем верно. Так, одна из старейших компании, которую можно отнести к числу data brokers, — это основанное в 1899 году американское бюро кредитной истории Equifax.

Сейчас Equifax располагает сведениями о 800 млн человек, предоставляет кредитные рейтинги и демографические данные для бизнеса, а также предлагает услуги кредитного мониторинга и предотвращения мошенничества самим потребителям. Выручка компании за 2019 год составила $3,5 млрд.  

• Александр Анушкевич, совладелец компании SharesPro
• На сегодня в мире существуют более 4 тысяч компаний, оперирующих в качестве информационных брокеров.

В США, где закон о конфиденциальности данных не является очень уж строгим, существуют организации, которые могут иметь тысячи различных атрибутов информации о человеке. В ЕС брокеры данных оперируют на грани закона и могут использовать неосмотрительность интернет-пользователей, которые практически никогда не читают то, на что соглашаются. 

Заявления о том, что в таких компаниях больше информации о гражданах, чем в государственных органах, недалеки от истины.

Информация может включать в себя данные переписей и смены адресов, записи о личных транспортных средствах и вождении, данные из соцсетей, сообщения из СМИ и судебных дел, регистрационные списки голосующих, истории офлайн- и онлайн-покупок, данные о транзакциях по банковским картам, данные из органов здравоохранения, а также истории просмотра интернет-сайтов. 

Большинство людей даже не подозревают, что такие компании существуют, но брокерская деятельность в сфере данных стала прибыльной отраслью, которая приносит ей постоянно увеличивающийся доход, насчитывающий уже более $200 млрд в год.

Откуда брокеры берут информацию

Брокеры могут собирать данные самостоятельно и покупать у других организаций — коммерческих компаний (от банков, хранящих данные пользователей кредитных карт, до сайтов знакомств) и госструктур. Например, можно получить данные переписи населения или регистрации транспортных средств. Также есть множество открытых данных в интернете, которые затем можно объединить с данными из офлайна. 

1. Александр Старостин, CEO и сооснователь компании First Data
3. Покупка персональных данных на условном Митинском рынке давно ушла в прошлое — сегодня личные данные, которые появляются в продаже, можно грубо разделить на две большие категории.

Первая — всевозможные утечки и взломы как результат слабой защиты сайтов даже у очень крупных магазинов и сервисных компаний. Вторая — данные, которые пользователи сами оставляют в интернете в открытом виде. Речь идет о сайтах по поиску работы, сайтах с объявлениями о покупке/продаже товаров, а также о социальных сетях. 

Александр Анушкевич, совладелец компании SharesPro 

За последние десять лет индустрия брокеров данных активно развивалась, причем делала это в состоянии практически полного виртуального регуляторного вакуума. В частности, рост числа подключенных к интернету устройств способствовал расширению направления междуустройсройственного отслеживания. 

Технологические компании и рекламодатели используют трекеры, часто в форме уникальных идентификаторов, файлов cookie или даже ультразвуковых сигналов, для создания профиля пользователей на нескольких устройствах, таких как смартфоны, обычные и «умные» телевизоры и персональные компьютеры, а не просто на одном.

Сколько стоят данные

В 2013 году газета Financial Times запустила калькулятор, благодаря которому можно рассчитать свою цифровую стоимость в современном коммерческом мире. На тот момент, по информация издания, базовые сведения о человеке, такие как возраст, пол и местоположение, стоили всего лишь $0.0005, а данные о наличии определенных заболеваний — $0.26.   

Александр Анушкевич, совладелец компании SharesPro 

С одной стороны, потребительские данные стоят больших денег. Стоимость среднего адреса электронной почты для компаний с течением временем доходит до $89 (а адреса путешественников — до $251 за штуку), поэтому неудивительно, что они готовы платить, чтобы дешевле получить такую информацию. 

С другой, получение данных может быть удивительно легким.

В октябре 2018 года испанская журналистка Джоанна Молл смогла купить онлайн-профили знакомств 1 млн человек за 136 евро у брокера данных USDate.

Данные из профилей ничего не подозревающих клиентов, полученные из онлайн-приложения для знакомств Plenty Of Fish, содержали 5 млн фотографий, а также даты рождения, почтовые индексы, пол и даже такую интимную информацию, ​​как сексуальная ориентация и религиозные взгляды.

Разные компании работают по-разному, но обычно они продают информацию в виде списков контактной информации по людям, которые делятся на конкретные категории. В большинстве случаев эти списки сортируются по интересам и характеристикам, таким как «любители фитнеса» или «молодые родители».

• Однако в некоторых случаях списки более сомнительны — например, одна из компании предлагала данные тысячи человек с такими заболеваниями, как анорексия, токсикомания и депрессия, всего за $79. 
• Алексей Поляков, сооснователь и CEO Locomizer
• Для работы нашей платформы предсказательной аналитики и создания поведенческих моделей мы лицензируем «сырые» данные (широта, долгота, время и уникальный анонимный идентификатор) у брокеров, которые собирают их через различные мобильные приложения. 

Чаще всего с брокером заключается договор минимум на год и каждый месяц платится фиксированная сумма, которая зависит от количества пользователей в образце. Другой (очень нераспространенный) вариант — revenue share, когда данные поставляются бесплатно, но с любого заработка, где они использовались, мы платим процент с продаж.

В нашем случае цены сильно варьируются, но примерно они составляют районе $5–10 за локационные данные тысячи пользователей в месяц.

При этом, как правило, у всех брокеров есть лимиты на подписку — меньше, чем за $5 тыс. в месяц, мы не встречали. То есть даже если вас интересуют данные только в одной маленькой стране, где число пользователей с собранными данными может быть всего 10 тысяч, это обойдется не в $50–100 в месяц, а в гораздо большую сумму. 

Где можно купить данные

Александр Анушкевич, совладелец компании SharesPro 

Локализация обработки персональных данных граждан России: значение баз данных как объектов интеллектуальной собственности

10 сентября 2019 года Государственная дума приняла в первом чтении законопроект о введении штрафов за нарушение требования о локализации обработки персональных граждан России (законопроект № 729516-7).

Согласно законопроекту за невыполнение требования о локализации компания может быть оштрафована на 2 — 6 миллионов рублей, а за повторное невыполнение этого требования — на 6 — 18 миллионов рублей.

В связи с этим компаниям, на которые распространяется требование о локализации, следует дополнительно проверить достаточность мер, принятых для исполнения этого требования, и оценить правовые риски, связанные с возможным нарушением этого требования.

1. В чем состоит требование о локализации обработки персональных данных граждан России и при каких условиях оно применяется к компаниям

Согласно части 5 статьи 18 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» («Закон о персональных данных») при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о персональных данных:

• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

• обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

• обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

• обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.

При толковании приведенных правовых норм следует учитывать разъяснения Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, доступные на сайте министерства, а также комментарий сотрудников Роскомнадзора, доступный на сайте уполномоченного органа.

Для правильного понимания требования о локализации важно обратить внимание на значение понятий, используемых в приведенных правовых нормах:

• Сбор персональных данных. Согласно разъяснениям Министерства цифрового развития под сбором можно понимать целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц.

Таким образом, требование о локализации не распространяется на персональные данные, полученные оператором не в результате сбора персональных данных (например, на персональные данные, полученные от другого оператора).

• Персональные данные. В соответствии с пунктом 1 статьи 3 Закона о персональных данных персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Следовательно, требование о локализации не распространяется на данные, не являющиеся персональными данными (например, на анонимизированные данные).

• Оператор. Согласно пункту 2 статьи 3 Закона о персональных данных оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Таким образом, требование о локализации не распространяется на лиц, которые не являются операторами (например, на «обработчиков данных», то есть лиц, которые обрабатывают персональные данные по поручению оператора, — провайдеров «облачных» сервисов, организации, осуществляющие расчет заработной платы и т. п.).

• Запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных. Закон и его толкование Министерством цифрового развития и Роскомнадзором не определяют данные понятия.

Следовательно, требование о локализации не распространяется на другие операции с персональными данными, такие как использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

• Граждане Российской Федерации. Согласно разъяснениям Министерства цифрового развития вопрос о порядке определения гражданства субъектов персональных данных не урегулирован в нормативном порядке. Законодатель тем самым предоставил возможность оператору персональных данных самостоятельно решать данный вопрос исходя из специфики его деятельности. Если же этот вопрос не был решен оператором самостоятельно, то возможно применение требования о локализации ко всем персональным данным, сбор которых был осуществлен на территории Российской Федерации.

• База данных. Согласно комментарию сотрудников Роскомнадзора база данных — это упорядоченный массив данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных). Так, например, базой данных можно считать таблицу в формате Excel, Word, в которой содержатся персональные данные граждан.

Согласно разъяснениям Министерства цифрового развития требование о локализации применяется к иностранным компаниям, которые не имеют физического присутствия в России, если они осуществляют деятельность, направленную на территорию России. Например, о наличии направленности интернет-сайта на территорию Российской Федерации могут свидетельствовать следующие обстоятельства:

1. использование доменного имени, связанного с Российской Федерацией или субъектом РФ (.ru, .рф., .su, .москва., moscow и т.п.) и (или)

1. наличие русскоязычной версии интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом (использование на сайте или самим пользователем плагинов, предоставляющих функционал автоматизированных переводчиков с различных языков не должно приниматься во внимание). При этом поскольку русский язык широко используется в некоторых странах за пределами Российской Федерации, для определения направленности интернет-сайта именно на территорию Российской Федерации дополнительно необходимо наличие как минимум одного из следующих элементов:

• возможности осуществления расчетов в российских рублях,

• возможности исполнения заключенного на таком интернет-сайте договора на территории Российской Федерации (доставки товара, оказания услуги или пользования цифровым контентом на территории России),

• использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту, или

• иных обстоятельств, явно свидетельствующих о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию.

Требование о локализации не препятствует трансграничной передаче персональных данных. Трансграничная передача персональных данных — это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (пункт 11 статьи 3 Закона о персональных данных).

Согласно разъяснениям Министерства цифрового развития, персональные данные гражданина Российской Федерации, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней («первичная база данных»), могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных.

2. Реальные риски компаний, связанные с нарушением требования о локализации персональных данных

Реальные риски компаний, связанные с нарушением требования о локализации, лучше всего видны на примерах из правоприменительной практики:

• Дело социальной сети LinkedIn(определение Московского городского суда от 10 ноября 2016 года по делу № 33-38783/2016). Суд оставил без изменения решение нижестоящего суда, который обязал Роскомнадзор внести доменные имена, адреса страниц сайта и IP-адреса социальной сети LinkedIn в реестр нарушителей прав субъектов персональных данных. После внесения сведений об информационном ресурсе в указанный реестр операторы связи ограничивают доступ к этому ресурсу согласно статье 15.5 Федеральный закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

По мнению суда, компания LinkedIn нарушила требование о локализации при сборе информации о пользователях социальной сети, а также гражданах Российской Федерации, не являющихся пользователями социальной сети.

• Дела

Законна ли продажа программного обеспечения без НДС?

Продажа программного обеспечения без НДС на внутреннем рынке Российской Федерации возможна на основании льготы, указанной в подп. 26 п. 2 ст. 149 НК РФ.

Однако бывают и случаи, когда применение данной льготы незаконно, а значит, покупатель программного обеспечения обязан оплатить предъявленную продавцом сумму НДС.

Рассмотрим порядок налогообложения налогом на добавленную стоимость реализацию программного обеспечения.

Гражданским кодексом РФ компьютерные программы обозначены как результат интеллектуальной деятельности и отнесены к объектам охраняемой законом интеллектуальной собственности, на которые признаются интеллектуальные права, включающие исключительное или имущественное право (ст. 1225 и 1226 ГК РФ). Также программы для компьютеров отнесены к объектам авторских прав, охраняемым как литературные произведения (п. 1 ст. 1259, ст. 1261 и 1262 ГК РФ).

Автор или соавторы программного обеспечения, внесшие личный творческий вклад в создание объекта интеллектуальной деятельности, выступают его первоначальными правообладателями (ст. 1228 ГК РФ) и могут распорядиться имущественным правом на данный объект одним из не противоречащих законодательству способов (п. 1 ст. 1233 ГК РФ):

1. Правообладатель может передать принадлежащее ему исключительное право на результат интеллектуального труда в полном объеме другому лицу — приобретателю по договору об отчуждении исключительного права (п. 1 ст. 1234 ГК РФ). Такой документ заключают в письменной форме и регистрируют в патентном органе (в предусмотренном законом случае). Переход исключительного права происходит в полном объеме в момент регистрации договора. Важными условиями договора об отчуждении являются передача исключительного права в полном объеме, согласованный размер и порядок оплаты программного обеспечения. Иначе договор может быть признан незаключенным.
2. Право использования программного обеспечения в пределах, определенных документом, может быть предоставлено обладателем исключительного права (лицензиаром) другому лицу (лицензиату) по лицензионному договору (п. 1 ст. 1235 ГК РФ).

При этом лицензия может быть как простой (неисключительной), сохраняющей право выдачи лицензий другим лицам за лицензиаром, так и исключительной, при которой данное право не сохраняется. Возможен и случай, предусмотренный п. 1 ст.

 1238 ГК РФ, при котором лицензиар может дать письменное согласие лицензиату на право использования интеллектуального продукта по договору другим лицом на основании заключения сублицензионного договора.

При этом правила о лицензионном договоре, отмеченные в Гражданском кодексе, применимы и к сублицензионному договору.

Договор должен быть заключен в письменном виде при полном согласовании сторонами существенных условий:

• предмета договора и права его использования (с указанием даты и номера патента, свидетельства, другого документа, удостоверяющего исключительное право на объект);
• размера оплаты в случае заключения возмездного договора;
• способов использования объекта интеллектуальной собственности.

Моментом заключения лицензионного договора является дата его госрегистрации (письмо Минфина от 04.05.2012 № 03-03-06/1/226).

Государство поддерживает развитие IT отрасли в России и для этого вводит ряд налоговых мер, так называемый налоговый маневр.

В чем заключаются такие меры и какие преференции предусмотрены для IT компаний, подробно рассказали эксперты КонсультантПлюс. Получите бесплатный демо-доступ к К+ и переходите в Готовое решение, чтобы узнать все подробности мер поддержки отрасли. 

Продажа программного обеспечения без НДС

Обязанность по исчислению и уплате того или иного налога возникает у налогоплательщика при наличии объекта налогообложения (п. 1 ст. 38 НК РФ). На территории Российской Федерации реализация товаров, работ, услуг и имущественных прав признана объектом обложения НДС соответственно подп. 1 п. 1 ст. 146 НК РФ.

Не подлежащие обложению (освобожденные от налогообложения) НДС операции указаны в ст. 149 НК РФ. Налоговым законодательством, согласно подп. 26 п. 2 ст.

 149 НК РФ, разрешено льготное налогообложение передачи исключительных прав на программное обеспечение, выполненной согласно договору на отчуждение исключительных прав или лицензионному договору.

 Для освобождения от НДС необходимо, чтобы программа для ЭВМ или база данных, на которую вы передаете исключительные права или права на ее использование, была российской и значилась в специальном реестре, утв. Постановлением Правительства от 16.11.2016 №1236.

ВАЖНО! Применить освобождение можно только в том случае, если передаваемые права не связаны с интернет-рекламой и торговлей (абз. 2 пп. 26 п. 2 ст. 149 НК РФ).