Поправки в п. 5 ст. 18 № 152-ФЗ вносятся законом № 23-ФЗ от 28.02.25 — это так называемый закон о локализации персональных данных, который Госдума начинала рассматривать ещё в 2023 году и который претерпел множество изменений по ходу чтений.
Меняется формулировка, которая превращает положение закона из контролирующего в запрещающее.
▶ Сейчас в законе закреплено, что оператор обязан обеспечить сбор персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.
▶ С 1 июля формулировка станет жёстче — не допускается сбор персональных данных с использованием баз данных, находящихся за пределами РФ. Таким образом, устанавливается, по сути, запретительный режим сбора ПД на иностранных серверах.
От себя напомним, что требование по локализации персональных данных россиян было введено ещё в 2015 году, однако только в 2019-ом появились первые штрафы за нарушения, которые к настоящему времени значительно ужесточились. Мы писали о них подробно в этой новости.
Сбор персональных данных в законе расшифровывается как запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение.
Хотя определения каждого из этих терминов закон не даёт, что значительно затрудняет толкование закона.
Как поясняют законодатели, первая формулировка допускает операторам осуществлять сбор данных в т.ч. и за рубежом, что это создаёт риски их утечки.
При этом закон не запрещает передавать базы данных за границу — после того, как произошёл сбор данных в пределах России. Новыми положениями закона запрещается только изначальный сбор ПД в зарубежные базы данных.
Предусмотрено несколько исключений, когда всё же возможен сбор данных за рубежом — если это нужно для судопроизводства, исполнения международных договоров, научной деятельности, работы госорганов и СМИ и т.п.
Таким образом, допускается использовать иностранные CRM-системы или передавать данные зарубежным контрагентам для исполнения договоров (если начальный сбор осуществлялся в российском пространстве).
Только нужно соблюсти все положения закона, потому что штрафы за нарушения очень большие.
Что нужно сделать предпринимателям — провести аудит и выяснить, где осуществляется сбор персональных данных. Т.е. нужно проверить местоположение хостинга сайта, используемых сервисов (чат-боты, электронная почта, облачные и аналитические сервисы и др.), условия договоров с подрядчиками.
Также нужно проверить актуальность документов, регулирующих обработку ПД (политика обработки данных, формы согласий и поручений). Если осуществляется передача данных за границу, то внести в документы соответствующие положения.
Все операторы персональных данных должны подать уведомление в Роскомнадзор, после чего их включают в реестр. Если оператор осуществляет трансграничную передачу данных, то должен подать отдельное уведомление.
По состоянию на 25 июня в реестре зарегистрировано 2,1 млн операторов (хотя только субъектов МСП зарегистрировано более 6 млн, а также 12 млн самозанятых). Теперь они должны использовать российские базы данных при сборе ПД.
