С 1 июля 2025 года вступают в силу изменения в Закон о персональных данных, усиливающие требования к использованию иностранных баз данных при сборе персональных данных граждан РФ.
В связи с вступлением в силу данных изменений необходимо обратить внимание на следующее:
1. Запрет на использование иностранных баз данных
В новой редакции ч. 5 ст. 18 Закона о персональных данных установлен более строгий запрет на применение зарубежных баз данных при сборе персональных данных, чем это установлено в старой редакции.
При этом формулировка новой редакции вызвала дискуссии среди представителей бизнеса и экспертов в области персональных данных. С одной стороны, многие опасаются риска сверхконсервативного правоприменения нового требования как запрета на использование иностранных баз данных для обработки персональных данных граждан РФ в целом. С другой стороны, поскольку в законе по-прежнему сохранена формулировка «при сборе персональных данных», то превалирующим является понимание, что требование об использовании российских баз данных распространяется не на всю обработку персональных данных, а только на первоначальный сбор персональных данных и только на определенные действия с ними (запись, систематизация, накопление, хранение, уточнение, извлечение).
На данный момент официальных разъяснений новых требований Роскомнадзор публично не представил. Однако в частных разъяснениях регулятор высказывает позицию, что требование об использовании баз данных, находящихся в РФ, распространяется на этап сбора персональных данных и не ограничивает возможность их последующей трансграничной передачи за пределы РФ при соблюдении требований ст. 12 Закона о персональных данных.
Таким образом, на данный момент можно сделать вывод, что новая редакции статья о локализации не должна трактоваться как запрещающая использование зарубежных баз данных и трансграничную передачу персональных данных из российских баз данных за пределы РФ (при условии соблюдения требований ст. 12 Закона о персональных данных).
Представляется, что основная цель данных изменений – это установление законодательного ограничения на параллельный сбор персональных данных граждан РФ одновременно в российскую и иностранную базы данных. Эта позиция уже озвучивалась регулятором в прошлом, поэтому не должна являться неожиданностью для экспертов и бизнеса.
2. Требование о локализации не только для операторов
Отдельного внимания заслуживает также еще одно изменение в формулировке ч. 5 ст. 18 Закона о персональных данных: если ранее обязанность по локализации была прямо возложена только на оператора, обрабатывающего персональные данные, то в новой редакции данное уточнение отсутствует.
На практике это будет означать распространение требований о локализации не только на операторов, но и на лиц, действующих по поручению операторов (обработчиков персональных данных). К таким лицам могут относиться, например, провайдеры кадровых услуг (в том числе по расчету заработной платы), провайдеры облачных сервисов, электронного документооборота и прочих интернет-сервисов.
Напоминаем, что несоблюдение требований о локализации персональных данных может повлечь административную ответственность[2] в виде штрафа на юридических лиц в размере от 1 млн до 6 млн руб., за повторное нарушение штраф составит от 6 млн до 18 млн руб.
В связи с законодательными нововведениями рекомендуем:
-
Проверить фактическое расположение баз данных и серверов, которые задействованы в бизнес-процессах, связанных с обработкой персональных данных российских граждан; определить этапы обработки персональных данных (сбор или получение от третьего лица, хранение и дальнейшая передача и т.п.) и убедиться, что базы данных, используемые для сбора персональных данных, расположены на территории РФ.
-
Провести аудит используемых сайтов на предмет соответствия новым требованиям, в частности проверить формы, аналитические и другие сервисы, через которые могут собираться персональные данные посетителей сайта.
-
Оформить результаты внутреннего контроля (аудита) соответствия компании новым требованиям по локализации путем издания отдельных подтверждающих документов (например, через оформление приказа о назначении комиссии для проведения необходимых мероприятий и акта комиссии о результатах проведения внутреннего контроля).
-
Актуализировать внутренние и иные документы в области персональных данных, где упоминается требование о локализации персональных данных в старой редакции (например, в рамках Положения об обработке персональных данных).
-
Отслеживать появление разъяснений Роскомнадзора и практики применения нормы о локализации персональных данных в новой редакции.
Мы будем рады оказать экспертную поддержку по вышеуказанным вопросам и предоставить детальные рекомендации по приведению бизнес-процессов в соответствие с новыми требованиями законодательства.
Дополнительная информация
Данный обзор подготовил Вадим Ковалёв, управляющий юрист корпоративной практики CLS.
По всем вопросам, возникающим в связи с вышеизложенным, или для получения дополнительных материалов Вы можете обратиться в один из офисов CLS в Москве или Санкт-Петербурге.
Целью настоящего обзора является предоставление клиентам CLS и иным заинтересованным лицам самой свежей информации об изменениях в законодательстве, которая в той или иной степени может повлиять на их деятельность или каким-либо образом затрагивает их интересы. Мнения и комментарии, приведенные в настоящем обзоре изменений в законодательстве, не являются юридическими заключениями и не отменяют необходимость получения юридической консультации или юридического заключения по отдельно взятым вопросам.
Обзор законодательства на сайте CLS.
| 
