Принят закон[1], касающийся локализации персональных данных (ПДн) и особой категории их субъектов.

1. Локализация

Закон изменяет редакцию ч. 5 ст. 18 Федерального закона «О персональных данных». Новой формулировкой прямо запрещаются при сборе ПДн (в том числе посредством сети Интернет) запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся за пределами территории РФ. При этом, если в прежней редакции требование было буквально адресовано операторам ПДн, то теперь запрет формально касается всех.

Существует риск консервативного толкования изменений как практически полного (за отдельными исключениями) запрета на использование зарубежных серверов и баз данных для обработки ПДн граждан РФ, в том числе собираемых с помощью файлов cookies.

Поскольку в новой редакции осталась оговорка «при сборе ПДн», то для митигации рисков требуется более четкое разграничение в процессах и документах понятий «сбор» и «использование». Это осложняется отсутствием четких определений этих понятий в законодательстве. Кроме того, необходима корректировка практики использования глобальных систем обработки данных (в том числе HR, CRM) и практики создания «зеркальных» баз данных за рубежом. Ранее это допускалось при условии, что все действия с ПДн всегда в первую очередь совершались в российской базе и объем данных в ней был не меньше, чем в иностранной базе, а также при условии соблюдения иных требований законодательства. При консервативном толковании новых правил обработка ПДн граждан РФ в глобальных базах данных, создание «зеркальных» баз данных, перенос баз данных с российских серверов на иностранные могут оказаться под запретом.

Кроме того, изменения требования о локализации влекут неопределенность в отношении трансграничной передачи. В частности, встает вопрос с какого момента оператор считается выполнившим правило о локализации и вправе осуществить трансграничную передачу.

Помимо консервативной позиции, существует толкование, что Закон не вносит существенных изменений в ранее действовавшие правила. Официальных разъяснений регулятора в отношении нововведений пока нет.

С учетом экстерриториального действия Федерального закона «О персональных данных» запрет на использование иностранных баз данных могут быть обязаны соблюдать также иностранные лица, не имеющие присутствия в РФ, но осуществляющие обработку ПДн граждан РФ на основании их согласия, договора или иного соглашения с субъектами ПДн.

Административная ответственность за нарушение требования о локализации ПДн остается без изменений: штраф для должностных лиц до 200 тыс. руб. (за повторное нарушение – до 800 тыс. руб.), для юридических лиц – до 6 млн руб. (за повторное нарушение – до 18 млн руб.)[2]. При этом не исключено, что использование иностранных баз данных в нарушение требования о локализации будет также рассматриваться на практике как утечка ПДн, за которую с 30.05.2025 вводится существенная ответственность, в том числе оборотные штрафы[3].

2. Особая категория субъектов ПДн

Кроме порядка локализации, новый Закон обновил правила обработки ПДн в отношении особой категории субъектов ПДн.

Речь идет о должностных лицах определенных органов государственной власти (в частности, правоохранительных, контролирующих, судебных), а также лицах, оказывающих им содействие на конфиденциальной основе, подлежащих государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства. Особенности обработки ПДн указанных лиц устанавливаются специальным законодательством.

Закон также обязывает операторов ПДн по предписанию уполномоченных должностных лиц предоставить доступ к своим информационным системам и (или) базам данных для обработки содержащихся в них ПДн указанной категории субъектов, в том числе для возможности внести в них изменения.

РЕКОМЕНДАЦИИ:

• Проанализируйте процессы обработки ПДн, в которых так или иначе фигурируют иностранные лица, разбейте их по стадиям (сбор / получение, запись, систематизация, перезапись, использование, передача, трансграничная передача и т.п.), определите локации задействованных серверов и статус участвующих в обработке лиц (оператор или лицо, осуществляющее обработку по поручению оператора); оцените наличие правовых оснований для использования иностранных серверов / баз данных.
• Составьте отдельные алгоритмы операций по обработке ПДн, которые касаются сбора и использования и/или передачи уже собранных ПДн.
• Проверьте свои информационные системы и базы данных на предмет возможного содержания в них ПДн особой категории субъектов.
• Актуализируйте внутренние документы с учетом новых требований законодательства

_______________________________________________________________

[1] Федеральный закон от 28.02.2025 № 23-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и отдельные законодательные акты Российской Федерации» (далее – «Закон»). Новые правила вступают в силу с 1 июля 2025 года.

[2] Части 8, 9 ст. 13.11 КоАП РФ.

[3] https://epam.ru/ru/legal-updates/view/uzhestochenie-otvetstvennosti-v-oblasti-personalnyh-dannyh:-oborotnye-shtrafy-i-specialnaya-statya-v-ugolovnom-kodekse-rf.