Принят закон[1], касающийся локализации персональных данных (ПДн) и особой категории их субъектов.
1. Локализация
Закон изменяет редакцию ч. 5 ст. 18 Федерального закона «О персональных данных». Новой формулировкой прямо запрещаются при сборе ПДн (в том числе посредством сети Интернет) запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся за пределами территории РФ. При этом, если в прежней редакции требование было буквально адресовано операторам ПДн, то теперь запрет формально касается всех.
Существует риск консервативного толкования изменений как практически полного (за отдельными исключениями) запрета на использование зарубежных серверов и баз данных для обработки ПДн граждан РФ, в том числе собираемых с помощью файлов cookies.
Поскольку в новой редакции осталась оговорка «при сборе ПДн», то для митигации рисков требуется более четкое разграничение в процессах и документах понятий «сбор» и «использование». Это осложняется отсутствием четких определений этих понятий в законодательстве. Кроме того, необходима корректировка практики использования глобальных систем обработки данных (в том числе HR, CRM) и практики создания «зеркальных» баз данных за рубежом. Ранее это допускалось при условии, что все действия с ПДн всегда в первую очередь совершались в российской базе и объем данных в ней был не меньше, чем в иностранной базе, а также при условии соблюдения иных требований законодательства. При консервативном толковании новых правил обработка ПДн граждан РФ в глобальных базах данных, создание «зеркальных» баз данных, перенос баз данных с российских серверов на иностранные могут оказаться под запретом.
Кроме того, изменения требования о локализации влекут неопределенность в отношении трансграничной передачи. В частности, встает вопрос с какого момента оператор считается выполнившим правило о локализации и вправе осуществить трансграничную передачу.
Помимо консервативной позиции, существует толкование, что Закон не вносит существенных изменений в ранее действовавшие правила. Официальных разъяснений регулятора в отношении нововведений пока нет.
С учетом экстерриториального действия Федерального закона «О персональных данных» запрет на использование иностранных баз данных могут быть обязаны соблюдать также иностранные лица, не имеющие присутствия в РФ, но осуществляющие обработку ПДн граждан РФ на основании их согласия, договора или иного соглашения с субъектами ПДн.
Административная ответственность за нарушение требования о локализации ПДн остается без изменений: штраф для должностных лиц до 200 тыс. руб. (за повторное нарушение – до 800 тыс. руб.), для юридических лиц – до 6 млн руб. (за повторное нарушение – до 18 млн руб.)[2]. При этом не исключено, что использование иностранных баз данных в нарушение требования о локализации будет также рассматриваться на практике как утечка ПДн, за которую с 30.05.2025 вводится существенная ответственность, в том числе оборотные штрафы[3].
2. Особая категория субъектов ПДн
Кроме порядка локализации, новый Закон обновил правила обработки ПДн в отношении особой категории субъектов ПДн.
Речь идет о должностных лицах определенных органов государственной власти (в частности, правоохранительных, контролирующих, судебных), а также лицах, оказывающих им содействие на конфиденциальной основе, подлежащих государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства. Особенности обработки ПДн указанных лиц устанавливаются специальным законодательством.
Закон также обязывает операторов ПДн по предписанию уполномоченных должностных лиц предоставить доступ к своим информационным системам и (или) базам данных для обработки содержащихся в них ПДн указанной категории субъектов, в том числе для возможности внести в них изменения.
РЕКОМЕНДАЦИИ:
- Проанализируйте процессы обработки ПДн, в которых так или иначе фигурируют иностранные лица, разбейте их по стадиям (сбор / получение, запись, систематизация, перезапись, использование, передача, трансграничная передача и т.п.), определите локации задействованных серверов и статус участвующих в обработке лиц (оператор или лицо, осуществляющее обработку по поручению оператора); оцените наличие правовых оснований для использования иностранных серверов / баз данных.
- Составьте отдельные алгоритмы операций по обработке ПДн, которые касаются сбора и использования и/или передачи уже собранных ПДн.
- Проверьте свои информационные системы и базы данных на предмет возможного содержания в них ПДн особой категории субъектов.
- Актуализируйте внутренние документы с учетом новых требований законодательства
_______________________________________________________________
[1] Федеральный закон от 28.02.2025 № 23-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и отдельные законодательные акты Российской Федерации» (далее – «Закон»). Новые правила вступают в силу с 1 июля 2025 года.
[2] Части 8, 9 ст. 13.11 КоАП РФ.
[3] https://epam.ru/ru/legal-updates/view/uzhestochenie-otvetstvennosti-v-oblasti-personalnyh-dannyh:-oborotnye-shtrafy-i-specialnaya-statya-v-ugolovnom-kodekse-rf.