ЛОКАЛИЗАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ: НЕ «ОБЯЗАН», А «ЗАПРЕЩЕНО»
С 1 июля 2025 года вступает в силу Федеральный закон от 28.02.2025 № 23-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и отдельные законодательные акты Российской Федерации»
По большей степени поправки касаются персональных данных сотрудников ФСБ, СВР, государственной охраны и органов внутренних дел, однако среди нововведений есть одно, которое касается обязанности любого оператора персональных данных в отношении российских граждан.
С июля сбор персональных данных россиян, а также их запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение с использованием баз данных, находящихся за пределами Российской Федерации, не допускается. Обращаем внимание, что и ранее такая обязанность по «локализации» персональных данных граждан РФ уже существовала, однако до принятия поправок законодатель использовал более мягкую формулировку — «обязан».
Обязанность обработки персональных данных в Российской Федерации не исключала последующего хранения или систематизации персональных данных за границей. Если понимать поправку буквально, то можно сделать вывод, что базы данных, содержащие информацию о российских гражданах, должны находиться только на территории нашей страны и не передаваться во вне за некоторыми исключениями.
Вместе с тем подобная трактовка изменений может привести к тому, что бизнес вообще не сможет хранить персональные данные за пределами России. Поправки прямо не запрещают использование, передачу и предоставление персональных данных в зарубежные базы после сбора данных. То есть в целом существует большая вероятность того, что предприниматели смогут и далее передавать данные иностранным контрагентам, например, в целях исполнения договоров или использования зарубежного ПО, если изначально сбор и обработка персональных данных российских граждан были осуществлены на территории Российской Федерации.
В настоящее время рано делать выводы, насколько сильно изменения повлияют на ведение бизнеса. Пока что ещё не сложилось никакой правоприменительной практики. Однако учитывая, что новые поправки превратили обязанность в запрет, предпринимателям стоит уже сейчас проанализировать и сформировать целостное представление о том, как у них происходит процесс обработки персональных данных и наметить пути для минимизации рисков. Так бизнес быстрее сможет адаптироваться к изменениям.
Первое, с чего может начать компания, например, определить, каким образом осуществляются сбор и дальнейшая обработка персональных данных посетителей сайта компании (cookie, IP-адрес или сведения о действиях на сайте). Если предприниматель использует Google Analytics, это существенно повышает вероятность нарушения им нововведений. Все дело в том, что по мнению Роскомнадзора использование данного сервиса предполагает трансграничную обработку персональных данных, то есть с использованием баз данных, не находящихся на территории Российской Федерации.
Игнорирование нововведений может дорого обойтись предпринимателям. Согласно ч. 8 и 9 ст. 13.11 КоАП РФ невыполнение оператором обязанности по обеспечению записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению) или извлечению персональных данных российских граждан посредством баз данных, находящихся на территории Российской Федерации влечет наложение административного штрафа от одного миллиона до шести миллионов рублей. Повторное невыполнение обязанности повлечет за собой ещё один штраф, но уже от шести до восемнадцати миллионов рублей. Причем индивидуальные предприниматели будут уплачивать административные штрафы в размерах наравне с юридическими лицами.
С июля сбор персональных данных россиян, а также их запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение с использованием баз данных, находящихся за пределами Российской Федерации, не допускается. Обращаем внимание, что и ранее такая обязанность по «локализации» персональных данных граждан РФ уже существовала, однако до принятия поправок законодатель использовал более мягкую формулировку — «обязан».
Обязанность обработки персональных данных в Российской Федерации не исключала последующего хранения или систематизации персональных данных за границей. Если понимать поправку буквально, то можно сделать вывод, что базы данных, содержащие информацию о российских гражданах, должны находиться только на территории нашей страны и не передаваться во вне за некоторыми исключениями.
Вместе с тем подобная трактовка изменений может привести к тому, что бизнес вообще не сможет хранить персональные данные за пределами России. Поправки прямо не запрещают использование, передачу и предоставление персональных данных в зарубежные базы после сбора данных. То есть в целом существует большая вероятность того, что предприниматели смогут и далее передавать данные иностранным контрагентам, например, в целях исполнения договоров или использования зарубежного ПО, если изначально сбор и обработка персональных данных российских граждан были осуществлены на территории Российской Федерации.
В настоящее время рано делать выводы, насколько сильно изменения повлияют на ведение бизнеса. Пока что ещё не сложилось никакой правоприменительной практики. Однако учитывая, что новые поправки превратили обязанность в запрет, предпринимателям стоит уже сейчас проанализировать и сформировать целостное представление о том, как у них происходит процесс обработки персональных данных и наметить пути для минимизации рисков. Так бизнес быстрее сможет адаптироваться к изменениям.
Первое, с чего может начать компания, например, определить, каким образом осуществляются сбор и дальнейшая обработка персональных данных посетителей сайта компании (cookie, IP-адрес или сведения о действиях на сайте). Если предприниматель использует Google Analytics, это существенно повышает вероятность нарушения им нововведений. Все дело в том, что по мнению Роскомнадзора использование данного сервиса предполагает трансграничную обработку персональных данных, то есть с использованием баз данных, не находящихся на территории Российской Федерации.
Игнорирование нововведений может дорого обойтись предпринимателям. Согласно ч. 8 и 9 ст. 13.11 КоАП РФ невыполнение оператором обязанности по обеспечению записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению) или извлечению персональных данных российских граждан посредством баз данных, находящихся на территории Российской Федерации влечет наложение административного штрафа от одного миллиона до шести миллионов рублей. Повторное невыполнение обязанности повлечет за собой ещё один штраф, но уже от шести до восемнадцати миллионов рублей. Причем индивидуальные предприниматели будут уплачивать административные штрафы в размерах наравне с юридическими лицами.
Мы будем рады ответить на любые юридические вопросы
Тел. +7 499 990-72-35
Электронная почта: abp@abp.legal
