С 01.07.2025 г. вступает в силу Федеральный закон от 28 февраля 2025 г. № 23-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" и отдельные законодательные акты Российской Федерации" (далее - Федеральный закон), содержащий новую редакцию ч. 5 ст. 18 152 ФЗ:
|
Редакция ч.5 ст.18 152-ФЗ (действует до 01.07.2025 г.) |
Редакция ч.5 ст.18 152-ФЗ (вступит в силу с 01.07.2025 г.)
|
|
«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в пунктах 2,3,4,8 части 1 статьи 6 152-ФЗ».
|
«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся за пределами территории РФ, не допускаются, за исключением случае, указанных в пунктах 2,3,4,8 части 1 статьи 6 152-ФЗ».
|
Кратко о разнице в требованиях к локализации персональных данных (ПДн)
|
|
|
Акцент на обязанности Оператора при сборе обеспечить указанные действия по обработке ПДн с использованием российских баз данных.
|
Акцент на прямом запрете при сборе осуществлять указанные действия по обработке с использованием баз данных, находящихся за пределами РФ. Оператор удален в качестве субъекта ранее позитивной обязанности.
|
|
Указанные действия по обработке ПДн допускаются за пределами РФ после первичного сбора ПДн с использованием базы данных на территории РФ (например, посредством трансграничной передачи ПДн при условии уведомления РКН).
|
Перечень указанных действий по обработке ПДн и условие «при сборе, в т.ч. посредством сети Интернет» - остались прежними в сравнении с текущей редакцией, однако в новой редакции запрещено их осуществление с использованием иностранных баз данных.
|
|
Важно: требования распространяются не только на Операторов, но и на лиц, обрабатывающих ПДн по поручению Оператора («Обработчиков») в силу требований ч. 3 ст. 6 ФЗ 152-ФЗ. При этом специальный состав административной ответственности за нарушение данного требования Обработчиками отсутствует - ч. 8 ст. 13.11 КоАП не подверглась ряду последних изменений КоАП РФ в части ответственности за правонарушения, связанные с обработкой ПДн. Максимальный размер штрафа за нарушение требований о локализации для Оператора - до 6 млн. рублей за первичное нарушение и до 18 млн. рублей за повторное нарушение.
|
|
Как новый запрет повлияет на возможность трансграничной передачи ПДн?
Требование о запрете указанного перечня действий по обработке ПДн граждан РФ с использованием иностранных баз данных в первую очередь касается случаев первичного сбора ПДн в базы данных, расположенные вне территории РФ, новое требования напрямую не содержит запрет трансграничной передачи ПДн, поскольку передача (предоставление, распространение, доступ) является отдельной операцией по обработке ПДн, не поименованной в списке ч.5 ст. 18 152-ФЗ, что формально не исключает возможности передачи ПДн на территорию иных стран после завершения целенаправленного процесса сбора ПДн на территории РФ, с учетом перечисленных запретов. Однако, в СМИ ранее были высказаны иные позиции представителей Госдумы, подразумевающие толкование изменений в виде полного запрета трансграничной передачи ПДн граждан РФ. Дополнительные разъяснения управомоченных органов новой редакции нормы, а также уточнение толкования операций по обработке ПДн (н.р. сбора персональных данных) помогут в формировании единообразной практики применения требований нового Федерального закона. В связи с этим мы будем внимательно следить за развитием правоприменительной практики и позицией регулятора.
Чтобы подготовиться к новым изменениям, мы рекомендуем:
-
Выявить процессы обработки ПДн, которые сопровождаются трансграничной передачей ПДн, привлечением 3 лиц к обработке ПДн по модели поручения, а также первичным сбором ПДн в базы данных, расположенных на территориях иностранных государств;
-
Определить способы локализации, а также обновления, пополнения, изменения баз данных, находящихся на территории РФ, а также способы передачи указанных баз данных на территорию РФ/доступа иностранных лиц к данным базам данных;
-
Проверить уведомление о трансграничной передаче ПДн, наличие соответствующих правовых оснований и целей обработки;
-
Проверить договоры с 3 лицами, привлекаемыми к обработке ПДн по модели поручения на соответствие требованиям законодательства;
-
Определить и оценить риски принятых в компании решений и позиций по обработке ПДн, а также возможности по их изменению в целях соответствия новому Федеральному закону.
Мы готовы помочь Вам провести анализ соответствующих бизнес-процессов и используемых IT-решений, проверить необходимые локально-нормативные акты по порядку обработки ПДн, а также Уведомления РКН. Эксперты Lidings готовы предоставить оценку рисков, а также способы их минимизации в целях соответствия процессов обработки ПДн новым требованиям о локализации персональных данных граждан РФ.