28 февраля 2025 года был опубликован Федеральный закон № 23-ФЗ, который вводит прямой запрет хранения ПДн россиян за рубежом. Изменения вступают в силу уже 1 июля 2025 года.
Если действующая редакция позволяла параллельно собирать ПДн в России и за рубежом или создавать промежуточную базу данных в России, то теперь, как отмечают некоторые представители власти, вводится запрет на использование иностранных баз данных для записи, хранения, накопления ПДн россиян.
Принятые изменения являются предметом бурных обсуждений в privacy-сообществе.
Мы выделили следующие подходы к интерпретации новых требований о локализации:
Базы данных с ПДн россиян должны размещаться только в РФ без возможности последующей трансграничный передачи;
Базы данных с ПДн россиян должны размещаться только в РФ с возможностью последующей трансграничный передачи;
Базы данных с собранными ПДн россиян должны размещаться только в РФ, за рубежом возможно размещать базы со сгенерированным* ПДн;
Базы данных с собранными ПДн для первичной цели размещаются в РФ, за рубежом возможно размещение таких баз для «вторичной цели».
К сожалению, ввиду отсутствия правоприменительной практики и разъяснений уполномоченных органов, понять какой из подходов является наиболее реальным — сложно. Однако полный запрет противоречит и положениям законодательства о ПДн, в части возможности трансграничной передачи, и международным обязательствам России.
Стоит отметить, что рассматриваемым изменениям не противоречит процесс получения данных от иностранного лица, если они попадают сразу в российскую базу данных.
*Сгенерированные ПДн — это данные, которые не были получены напрямую от субъектов или их представителей, а были созданы или образованы другими способами. Такие данные могут быть получены от третьих лиц, сформированы в результате действий, совершаемых в отношении субъектов, временно или постоянно присвоены субъектам, синтезированы на основе простого анализа других данных или спрогнозированы с использованием продвинутого анализа наборов данных.
Какие, по мнению экспертов, существующие процессы использования иностранных баз данных могут признаваться незаконными?
- Если бизнес собирает ПДн в CRM-систему с российской базой данных, далее организует последующее хранение собранных данных в иностранной CRM- системе.
- Если бизнес предусматривал ввод первоначально собранных данных в российскую информационную систему с последующим переносом в иностранную.
- Если бизнес использует иностранные email или мессенджеры (с иностранными базами) как способ доставки ПДн в собственные базы данных, которая находится в России.
Наше мнение:
На наш взгляд, к вопросу толкования данных изменений нужно подходить буквально.Фактически эти изменения сводятся к одному — меняется субъектный состав и если сейчас, норма обязывает только оператора соблюдать требования о локализации, то с 01.07.2025 года данная обязанность распространится и на обработчиков, и на субобработчиков. В остальном ничего не меняется.
Считаем, что запрет на использование иностранных баз данных будет распространятся лишь в отношении первичного сбора персональных данных, как это и есть сейчас. В тексте закона нет слов о запрете последующей трансграничной передаче собранных данных.
Рекомендуем не поддаваться панике, а ждать официальных разъяснений Роскомнадзора.
Дата публикации: 09.06.2025
