Хранение персональных данных на иностранном сервере: угроза для бизнеса?
Осуществление предпринимательской деятельности в современных условиях неразрывно связано с обработкой персональных данных: сбор контактов клиентов осуществляется через формы на интернет-сайте, учет сотрудников ведется в HR-системах, обработка заказов и платежей также оформляется на интернет-сайтах. В этих условиях решение о том, где хранится база данных клиентов, становится не просто IT-вопросом, а элементом соответствия требованиям законодательства и управления рисками.
С 01.07.2025г. в Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных» (далее – «ФЗ № 152») внесены изменения. Так, при сборе персональных данных запрещается использовать базы данных, размещенные за пределами России (п. 5 ст. 18 ФЗ № 152).
Правомерность сбора персональных данных на серверах, располагаемых вне территории Российской Федерации
Под «сбором персональных данных» понимается целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц (например, заполнение формы сбора персональных данных для регистрации пользователя в личном кабинете на сайте оператора).
Сбор персональных данных включает в себя следующие действия (п. 5 ст. 18 ФЗ № 152):
Запись;
Систематизация;
Накопление;
Хранение;
Уточнение;
Извлечение.
Первичный сбор таких данных должен осуществляться исключительно при помощи баз данных, зарегистрированных в России (например, сервисы Google Analytics попадают под запрет, поскольку механизм их функционирования предполагает немедленную передачу данных в т.ч. в США).
Таким образом, законодательством РФ предусмотрен принцип локализации персональных данных: персональные данные должны сначала поступать в базы, размещенные в РФ.
Правомерность передачи персональных данных за рубеж
Передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу допускается (так называемая «трансграничная передача персональных данных»).
Для этого оператору необходимо соблюсти установленные требования, в частности: уведомить Роскомнадзор о планируемой трансграничной передаче, получить от иностранных лиц, которым планируется трансграничная передача данных, определенные сведения (ст. 12 ФЗ № 152).
Таким образом, передача персональных данных за пределы России, сохраненных при сборе на российском сервере, допускается при условии соблюдения требований, указанных в ст. 12 ФЗ № 152.
Ответственность за нарушение требований о локализации персональных данных
Роскомнадзор регулярно выявляет компании, которые хранят данные граждан РФ за границей. В отношении таких организаций возбуждаются дела об административных правонарушениях, налагаются штрафы, а сайты могут быть внесены в реестр нарушителей и заблокированы. Кроме того, возможно поступление дополнительных требований от Роскомнадзора.
В российском законодательстве предусмотрена административная ответственность оператора, не выполняющего при сборе персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных, находящихся на территории РФ (ч. 8 ст. 13.11 КоАП РФ):
Для физического лица: административный штраф от 30 тыс. до 50 тыс. руб.;
Для должностного лица: административный штраф от 100 тыс. до 200 тыс. руб.;
Для юридического лица: административный штраф от 1 млн. до 6 млн. руб.
Рекомендации команды C Cases
Установить, какие персональные данные собираются через сайт;
Проанализировать процесс обработки персональных данных, выяснить, где физически хранятся базы персональных данных (на какой сервер поступает первая запись, где находится база данных, какая система осуществляет систематизацию и хранение);
Локализовать базы данных в российских дата-центрах при обработке данных граждан РФ;
Включить в договоры с подрядчиками или обработчиками обязанность по локализации персональных данных и санкции за её нарушение;
Проверить, осуществляется ли трансграничная передача; если осуществляется, проверить, подано ли соответствующее уведомление в Роскомнадзор;
Проанализировать и отредактировать (при необходимости) политику в отношении обработки персональных данных, согласия субъектов, договоры с обработчиками, внутренние регламенты, уведомления Роскомнадзора.
Заключение
Сбор персональных данных российских пользователей через сайт, в т.ч. мобильное приложение, должен первоначально происходить в базе данных, физически расположенной в России. Только после этого может осуществляться последующая передача таких данных за рубеж при условии соблюдения соответствующих требований законодательства.
Если Вам как оператору или обработчику персональных данных необходимо установить, где и как законно собирать персональные данные клиентов, определить, какие данные требуют локализации в РФ, регламентировать порядок трансграничной передачи и минимизировать для Вашего бизнеса юридические риски, команда C Cases готова провести комплексный юридический аудит локальных нормативных актов, договоров с подрядчиками и обработчиками, а также построить детальную «карту» маршрутов сбора и хранения персональных данных с рекомендациями по устранению выявленных нарушений.
Источники
- Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных».
- Кодекс Российской Федерации об административных правонарушениях от 30.12.2001г. № 195-ФЗ.