"Первичная" база данных может быть в любой форме, в том числе бумажной, поэтому требование о локализации будет исполнено, если в России в бумажном виде хранятся персональные данные, которые затем в электронном виде передаются за границу. В то же время обработка данных может осуществляться за границей, если база в РФ является наиболее полной и актуальной (недопустимо нахождение за пределами РФ данных, которые одновременно не находятся в РФ).
Главная проблема требования о локализации персональных данных — отсутствие эффективных мер ответственности за несоблюдение этого требования, которые бы оправдали для многих компаний высокие расходы на реструктуризацию IT-систем. Так, ст. 13.11 КоАП сейчас предусматривает максимальный штраф за нарушение правил обработки персональных данных в размере 10 тыс. руб. На самом деле одна только консультация специалиста по информационной безопасности относительно потенциальной реструктуризации IT-системы обойдется компании в десятки раз дороже, не говоря уже о самой реализации проекта. Принятые в начале этого года в первом чтении поправки в КоАП, увеличивающие в несколько раз размер ответственности, существенно картину не поменяют. Специальная ответственность в виде внесения сайта нарушителя в "Реестр нарушителей прав субъектов персональных данных" и последующей блокировки этого сайта тоже вызывает массу вопросов. Согласно закону, блокировке будут подлежать сайты, "содержащие информацию, обрабатываемую с нарушением законодательства РФ в области персональных данных".
Иными словами, речь идет о сайтах, содержащих персональные данные. К ним могут относиться "базы данных граждан России онлайн", "телефонные книги" и прочие сайты, которые незаконно размещают на массивы персональных данных. Таким образом, термин "содержащий персональные данные" не позволяет блокировать корпоративные сайты, а также сайты, которые собирают персональные данные, но не публикуют их (интернет-магазины и пр.).
Требование о локализации персональных данных россиян может "заработать" только в том случае, если правила игры будут прозрачны и едины для всех и будет существовать механизм ответственности, обладающий достаточной "мотивационной" силой для всех компаний.