Прокуратура информирует, что все базы данных, содержащие персональные данные граждан Российской Федерации, должны находиться на территории Российской Федерации. Данное требование закреплено в статье 18.1 Федерального закона от 27.07.2006 № 149-ФЗ (введена Федеральным законом от 21.07.2014 № 242-ФЗ). Операторы обязаны обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан России с использованием баз данных, физически размещенных на территории РФ. Это требование распространяется на все операции по обработке персональных данных, включая сбор, систематизацию, хранение, уточнение, использование, распространение, передачу и уничтожение данных.
Прокуратура разъясняет, что в целях проверки соблюдения данного требования Роскомнадзор вправе проводить проверки операторов, включая выездные проверки с осмотром серверного оборудования. При выявлении нарушений оператору направляется предписание об устранении нарушений с установлением конкретного срока, в течение которого необходимо обеспечить локализацию баз данных на территории РФ. В случае неисполнения предписания доступ к информационному ресурсу оператора ограничивается на территории РФ на основании решения Роскомнадзора до устранения нарушения. При этом административная ответственность по статье 13.11 КоАП РФ за нарушение порядка локализации баз данных влечет наложение штрафа на юридических лиц в размере от 1 до 6 миллионов рублей, а за повторное нарушение — до 18 миллионов рублей. Прокуратура также обращает внимание, что локализация должна обеспечиваться не только для основных баз данных, но и для резервных копий, а также для систем, используемых для их обработки и управления.