Карта сайта | English

Новые требования о локализации сбора и хранения персональных данных на территории РФ

Юридический отдел МКПЦ
Специально для www.mkpcn.ru

С 01.09.2015 вступили в силу новые требования о локализации хранения и отдельных процессов обработки персональных данных на территории РФ. Соответствующие изменения внесены в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) [1]. Изменения распространяются на персональные данные, собранные или обрабатываемые после 01 сентября 2015 г. (если данные были собраны до 01 сентября 2015 г. и больше не обрабатываются, на такие «архивные» базы данных требование не распространяется).

[1]. Поправки внесены Федеральным законом от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

Гостиницы, интернет-магазины, кадровые агентства, туроператоры и турагенты, а также многие другие организации осуществляют сбор и обработку персональных данных.

Вместе с тем отдельные термины и формулировки, использованные в законе, не имеют четких законодательных дефиниций и допускают различные толкования. Кроме того, по причине новизны концепции локализации персональных данных возникает ряд вопросов относительно соотношения данного положения с иными нормами Закона № 152-ФЗ.

В связи с этим многие компании не понимают, какие изменения им необходимо внести в свою ИТ-инфраструктуру и (или) бизнес-процессы для того, чтобы исполнить закон, особенно если такая инфраструктура носит трансграничный характер (международный характер).

Требование о локализации должны исполнять:

  • российские компании;
  • иностранные компании, имеющие в РФ официальные представительства/филиалы;
  • иностранные компании, не имеющие официального присутствия в РФ, но ведущие бизнес через Интернет, который направлен на территорию РФ (о чем, например, может свидетельствовать использование доменных имен .ru, .рф; наличие русскоязычной версии сайта; возможность осуществлять расчеты в рублях; использование рекламы на русском языке и пр.);
  • закон не имеет экстерриториального действия и не распространяется на нерезидентов, собирающих персональные данные россиян за границей (если они не ведут деятельность в Интернете, направленную на РФ).

При этом локализации подлежат только те персональные данные, которые были получены оператором в результате осуществляемой им целенаправленной деятельности по организации сбора таких данных, а не в результате случайного (незапрошенного) попадания к нему персональных данных, например, вследствие получения писем по электронной или иной почте, в которых содержатся персональные данные.

Например, не является сбором получение одним юридическим лицом персональных данных от другого юридического лица, если такие данные представляют собой контактную информацию работников или представителей такого юридического лица, переданную в ходе осуществления ими своей законной деятельности.

Возможность сбора и обработки персональных данных на территории иностранных государств (с использованием облачных ИТ-решений)

В соответствии с ч. 5 ст. 18 Закона о персональных данных сбор персональных данных, их обновление и изменение должны производиться с использованием баз данных, расположенных на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 ч. 1 ст. 6 Закона о персональных данных.

Однако при этом следует иметь в виду, что изменения в Законе о персональных данных, внесенные ФЗ-242, не затронули положений закона о трансграничной передаче данных. Соответственно, передача персональных данных за пределы Российской Федерации возможна, как и ранее, с соблюдением условий, указанных в ст. 12 ФЗ «О персональных данных» (условия трансграничной передачи данных не претерпели изменений в связи с принятием ФЗ № 242-ФЗ).

Таким образом, персональные данные гражданина РФ, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней («первичная база данных»), могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных. Такие вторичные базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр.

Также не запрещается предоставление удаленного доступа к базам данных, находящихся на территории РФ и содержащих персональные данные, с территории другого государства (при условии соблюдения общих положений Закона о персональных данных).

Возможные способы исполнения организациями требования о локализации данных:

  • сбор, запись, систематизация, накопление, хранение, уточнение, извлечение данных осуществляются с использованием базы данных в РФ (бумажная и (или) автоматизированная форма);
  • база данных может быть в любой форме, в том числе бумажной, поэтому требование о локализации будет исполнено, если в РФ в бумажном виде хранятся персональные данные, которые затем в электронном виде передаются за границу;
  • обработка данных может осуществляться также за границей, если база в РФ содержит больший объем персональных данных или равный находящемуся за пределами РФ (недопустимо нахождение за пределами РФ данных, которые одновременно не находятся в РФ).

Следует отметить, что на текущий момент существует значительный спектр вопросов, касающийся реализации требований российского закона о локализации обработки персональных данных граждан РФ на территории РФ. Так, например, могут возникать вопросы по определению гражданства субъекта, учитывая особенности развития интернет-сервисов и стандартно используемых ими процедур регистрации (где при регистрации достаточно проблематично определить гражданство или данная информация может не соответствовать действительности).

Позиция Минсвязи России: [2]

Каждый оператор может самостоятельно выбрать способ определения гражданства субъекта персональных данных. При этом по умолчанию требование о локализации распространяется на персональные данные, собранные на территории РФ;

  • перечня операторов, на деятельность которых не распространяются требования о локализации обработки персональных данных.

[2]. http://minsvyaz.ru/ru/personaldata/#1438172602582

Позиция Минсвязи России:

Требование не распространяется на деятельность российских и иностранных авиаперевозчиков, а также их уполномоченных агентов в части сбора и обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов. Разъяснений в отношении иных сфер деятельности пока Минсвязи России не выпускало;

  • практического применения к операторам, собирающим данные граждан РФ в сети Интернет, которые не являются резидентами РФ, и (или) доменные имена расположены в доменных зонах, не относящихся к РФ.

Позиция Минсвязи России:

Действие Закона «О персональных данных» будет направлено на интернет-ресурсы (сайт в сети Интернет, страница сайта в сети Интернет), с использованием которых лицо осуществляет направленную на территорию Российской Федерации деятельность.

О наличии направленности интернет-сайта на территорию Российской Федерации могут свидетельствовать следующие обстоятельства:

1) использование доменного имени, связанного с Российской Федерацией или субъектом РФ (.ru, .рф, .su, .москва, .moscow и т.п.) и (или)

2) наличие русскоязычной версии интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом (использование на сайте или самим пользователем плагинов, предоставляющих функционал автоматизированных переводчиков с различных языков, не должно приниматься во внимание).

При этом, поскольку русский язык широко используется в некоторых странах за пределами Российской Федерации, для определения направленности интернет-сайта именно на территорию Российской Федерации дополнительно необходимо наличие как минимум одного из следующих элементов:

  • возможности осуществления расчетов в российских рублях;
  • возможности исполнения заключенного на таком интернет-сайте договора на территории Российской Федерации (доставки товара, оказания услуги или пользования цифровым контентом на территории России);
  • использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту, или иных обстоятельств, явно свидетельствующих о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию.

Таким образом, по нашему мнению, новые правила о локализации сбора и обработки персональных данных требуют внимательной оценки со стороны соответствующих служб организации.

Также отметим, что за нарушение требования о локализации сбора и обработки персональных данных граждан РФ возможна блокировка интернет-сайтов (через которые осуществляется сбор персональных данных), а также привлечение к административной ответственности (ст. 13.11 КоАП РФ). [3]

[3]. На данный момент штраф для организаций за нарушение правил обработки персональных данных составляет от 5 тыс. руб. до 10 тыс. руб.

С учетом этого, если организация осуществляет обработку персональных данных граждан РФ (клиентов, сотрудников и т.д.) рекомендуем проанализировать используемые организацией механизмы сбора и обработки персональных данных на предмет необходимости изменения ИТ-инфраструктуры и внутренние документы для соблюдения требований о локализации персональных данных в РФ.