Уточнения по локализации: поправки в федеральный закон «О персональных данных» вступят в силу с 1 июля 2025 года
Руководящий юрист Ксения Петровец подготовила краткий обзор поправок в федеральный закон «О персональных данных».
28 февраля 2025 года был опубликован Федеральный закон № 23-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и отдельные законодательные акты Российской Федерации».
Принятые поправки начнут действовать уже с 1 июля 2025 года.
Помимо введения особого режима обработки персональных данных отдельных категорий субъектов (а именно: сотрудников органов ФСБ России, внешней разведки, государственной охраны, МВД России, судей, участников уголовного судопроизводства и некоторых иных лиц), принятые поправки уточняют требования к процессу сбора персональных данных.
Так, согласно принятым изменениям формулировка ч. 5 ст. 18 152-ФЗ ранее закреплявшая позитивную обязанность оператора обеспечить при сборе обработку персональных данных с использованием баз данных на территории РФ скорректирована в целях закрепления прямого запрета на сбор персональных данных с использованием зарубежных баз данных.
Практические последствия принятых изменений
Первичный сбор данных с использованием сервисов и программных решений, размещенных на зарубежных серверах (к примеру через Google-таблицы), равно как и первичный сбор данных в иностранной базе с последующим формальным «дублированием» данных в российские базы данных (в том числе так называемая «локализация по API») – будет как и ранее входить в прямое противоречие с ч. 5 ст. 18 152-ФЗ.
Первичная локализация в РФ с последующим переносом данных в иностранную базу. Пожалуй, данный сценарий обработки на данный момент является наиболее широко обсуждаемым. Ряд экспертов уже высказали позицию о том, что последующая передача в иностранные базы в целом не должна допускаться, однако, по нашей оценке такая трактовка лишала бы всякого смысла оставшиеся неизменными положения закона о трансграничной передаче.
Отдельно также высказывалась позиция о том, что обработка в иностранной базе данных после локализации в РФ не должна осуществляться в рамках той же цели, что и первичный сбор. Условно, по такой логике компания не сможет параллельно использовать локальное решение для записи контактов контрагентов и сервис, базирующийся на зарубежных сервисных мощностях (если, как это часто бывает на практике, такое решение используется на глобальном уровне в группе компаний).
По нашей оценке, такая трактовка положений закона является слишком строгой и при надлежащем первичном сборе и любом последующем изменении данных в первую очередь в локализованной системе – дальнейшая передача и работа с базой данных, размещенной заграницей также должна быть разрешена.
Использование иностранных мессенджеров и почтовых сервисов – с учетом того, что каждый отдельный почтовый сервис, равно как и мессенджер имеет свои серверные мощности, и по сути, представляет из себя отдельную базу данных (зачастую размещенную заграницей)– спорным остается вопрос возможно ли будет квалифицировать иностранные сервисы по доставке сообщений (такие как Gmail или Telegram) способами доставки данных в основную локализованную базу, или само по себе использование мессенджеров для первичного сбора уже будет расцениваться как несоответствующее требованиям ч. 5 ст. 18 152-ФЗ.
Вывод
Первичная запись данных при сборе, так же как и дальнейшая актуализация (уточнение / обновление / изменение) собранных данных, должны производиться только с использованием базы данных, размещенной на территории РФ. При этом последующая передача собранных таким образом данных для их использования в иностранных системах, по нашей оценке, не входит в прямое противоречие с уточненной редакцией ч. 5 ст. 18 152-ФЗ.
Будет ли данная норма более строго толковаться на практике судами и со стороны регулятора – покажет время, а мы будем обязательно следить за любыми обновлениями по данному вопросу.
Потенциальная ответственность
Размеры штрафов за несоблюдение требований о локализации остались неизменными. В части административной ответственности все также будет применяться ч. 8 и ч. 9 ст. 13.11 КоАП РФ, закрепляющая штрафы для должностных лиц от 100 000 рублей и для юридических лиц от 1 млн рублей.