Поправки в п. 5 ст. 18 Закона о персональных данных устанавливают запрет на сбор персональных данных граждан РФ с использованием баз данных, находящихся за пределами территории РФ. Эксперты, опрошенные «ЭЖ-Юристом», рекомендуют бизнесу провести аудит используемых схем локализации персональных данных на предмет соответствия новым требованиям.
C 1 июля вступят в силу новые требования по локализации персональных данных
Комментарий эксперта
При планировании процессов обработки ПДн, включающих иностранный элемент, важно учитывать, что запрет на использование иностранных баз данных при обработке ПДн граждан РФ обязаны соблюдать также иностранные лица, которые осуществляют обработку ПДн граждан РФ на основании их согласия, договора или иного соглашения с субъектами ПДн. При этом в силу экстерриториального действия Закона № 152-ФЗ такая обязанность возлагается на иностранных лиц, как имеющих филиалы/представительства в России, так и не имеющих в нашей стране никакого присутствия.
За время, оставшееся до вступления в силу новых требований по локализации, целесообразно проанализировать процессы обработки ПДн, которые включают иностранный элемент, например: участие в процессе иностранных лиц, передающих или получающих ПДн граждан РФ; использование информационных систем, размещенных за пределами РФ, иностранных источников ПДн (зарубежные сайты и пр.); если для обработки ПДн используются открытые источники информации или облачные ресурсы, в отношении них также необходимо проверить, кому принадлежат такие сайты и ресурсы и где размещены серверы / базы данных.
Если системы, ресурсы находятся не в России или информация об их месте нахождения отсутствует, стоит уделить особое внимание отдельным процессам. С учетом новых требований законодательства внутренние документы нужно актуализировать, а алгоритмы операций по обработке ПДн в отношении сбора и использования и/или передачи уже собранных ПДн пересмотреть и при необходимости разделить, так как формально требование о локализации не распространяется на «использование» и «передачу» ПДн. Однако разграничение этих действий и определение момента завершения сбора осложняется отсутствием их законодательного определения.
Комментарий эксперта
С 1 июля вступит в силу новая редакция п. 5 ст. 18 Федерального закона № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ), которой предусмотрено, что при сборе ПДн, в том числе посредством интернета, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся за пределами территории РФ, не допускаются, за исключением ряда случаев.
Обновленные требования по использованию российских баз данных будут распространяться не только на операторов ПДн, а на всех лиц, обрабатывающих ПДн российских граждан, например, «обработчиков» по поручению. С учетом экстерриториального действия Закона № 152-ФЗ (ч. 1.1 ст. 1 Закона № 152-ФЗ), можно предположить, что требования коснутся и иностранных лиц, осуществляющих обработку данных по поручению. Такое изменение в целом соответствует логике ч. 6 ст. 6 Закона № 152-ФЗ, введенной в действие в 2022 г. и предусматривающей ответственность иностранных лиц, осуществляющих обработку по поручению. При позитивной трактовке представляется, что компании смогут и далее использовать иностранные базы данных при условии того, что первичный сбор, а именно все указанные в новой редакции действия с данными, осуществляются в РФ и соблюдаются все требования законодательства. Новая редакция закона не содержит запрета на использование иностранных баз после окончания сбора, а также не запрещает трансграничную передачу данных.
При отсутствии официальных разъяснений и правоприменительной практики, на текущий момент сложно однозначно ответить, как регуляторы будут трактовать положения новой редакции закона. Однако всем компаниям, так или иначе использующим в своей деятельности иностранные информационные системы, следует использовать риск-ориентированный подход и до 1 июля 2025 г. провести аудит используемых схем локализации на предмет соответствия новым требованиям, оценить юридические и технические риски и при необходимости адаптировать свои бизнес-процессы. Напомним, что штрафы за нарушение требований по локализации для операторов ПДн — до 6 млн руб. за первичное нарушение и до 18 млн за повторное.