Норма о локализации персональных данных действует в новой редакции с 1 июля 2025 года. Правда ли, что ввели полный запрет на использование зарубежных сервисов, через которые происходит сбор данных? Означают ли поправки, что и трансграничная передача данных невозможна? Какие есть способы сделать процессы обработки персональных данных в иностранных сервисах законными?
Несмотря на минимальные изменения нормы, у многих сложилось впечатление, что ввели полный запрет на использование иностранных баз данных. Соответственно, возникло мнение, что и трансграничная передача данных теперь тоже невозможна и нельзя пользоваться любыми иностранными сервисами.
Как изменилась норма о локализации?
Ранее было закреплено, что сбор и последующая обработка персональных данных граждан РФ должны осуществляться с использованием баз данных, которые физически находятся на территории России (ч. 5 ст. 18 Закона № 152-ФЗ).
Еще были разъяснения Минкомсвязи от 25.08.2015 (сейчас сняты с публикации на сайте ведомства), в которых прямо предусматривалось, что компании могут создавать промежуточные базы данных в России, а основную обработку допускалось проводить за рубежом.
Теперь же в ч. 5 ст. 18 Закона № 152-ФЗ внесены поправки. Причем, на первый взгляд, кажется, что они носят косметический характер.
«При сборе персональных данных, в том числе посредством сети «Интернет», оператор обязан обеспечить запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на за пределами территории РФ, не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».
Получается, что ранее при сборе персональных данных граждан РФ оператор должен был обеспечить их обработку в базах, расположенных на территории России, а теперь – запрещено использовать зарубежные базы данных при сборе персональных данных.
Ключевое, что, как и раньше, такое ограничение действует только в отношении одного этапа обработки данных – при их сборе.
Что означают поправки?
Раньше не ставилась под сомнение возможность компаний использовать иностранные ИТ-системы при соблюдении формального требования – иметь и поддерживать первоначальный «слепок» данных на территории России.
На практике компании применяли разные сценарии локализации персональных данных (разные по степени комплаенса и сложности их внедрения). Несколько примеров в таблице ниже.
Сейчас возникли мысли о том, что госорганы нацелены не только на локализацию баз данных, но и на локализацию процесса их обработки.
Высказывания представителей госорганов не внесли ясность. Некоторые из них заявляют радикально о запрете любой зарубежной обработки персональных данных. Несколько примеров тому:
Сенатор Артем Шейкин: «Базы с информацией граждан должны находиться на территории России и не иметь копий за ее пределами».
То есть новая редакция ч. 5 ст. 18 Закона № 152-ФЗ не ограничивает трансграничную передачу персональных данных, ранее собранных в базы данных на территории России.
Что такое сбор персональных данных?
Требование о локализации касается процесса сбора персональных данных. То есть нет запрета на обработку персональных данных в зарубежных базах вне рамок сбора персональных данных, а вот при сборе обработка запрещена. Возникает вопрос, что же такое сбор персональных данных, где он начинается и заканчивается?
Сбор персональных данных – это «…целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц…».
Буквально это означает, что не будет сбором:
получение персональных данных от другой компании в рамках взаимодействия по модели «оператор-оператор»,
перенос персональных данных из одной ИТ-системы в другую внутри инфраструктуры компании,
случайное (незапрошенное) попадание персональных данных к компании,
генерация производных данных компанией на основе ранее собранных.
Соответственно, сбором будет считаться, например:
заполнение формы сбора персональных данных для регистрации пользователя в личном кабинете на сайте оператора или формы обратной связи и другие формы,
первичное внесение в ИТ-систему персональных данных работника при трудоустройстве,
использование на сайте Google Analytics для сбора статистики и Google reCAPTCHA для защиты от спама, ddos-атак,
актуализация сведений о семейном положении работника, смене его фамилии, рождении ребенка и др.
В разъяснениях Минкомсвязи есть еще и такая формулировка: «внесение персональных данных в информационную систему персональных данных, используемую в целях, аналогичных сбору данных на бумажных носителях, следует рассматривать как единый процесс, реализация которого должна осуществляться в строгом соответствии с требованиями ч. 5 ст. 18 Закона № 152-ФЗ».
Исходя из этого и в зависимости от радикальности взглядов интерпретатора формулировка «при сборе» может «заражать» всю последующую обработку персональных данных. Это фактически запрещает любую зарубежную обработку лицом, собравшим такие персональные данные, для тех целей обработки, которые оно заявляло при сборе.
Но с учетом недавних ответов Минцифры и Роскомнадзора все-таки не стоит придерживаться таких радикальных взглядов.
Что же делать в такой ситуации?
Пока четкая позиция не сформирована, однозначного вывода из имеющегося контекста сделать не получится. Но рекомендуем убедиться в принятии следующих мер.
Сбор отделен от иных действий с персональными данными. Чтобы передавать персональные данные за рубеж и там же их обрабатывать, это должно выполняться в рамках отдельного от сбора процесса и осуществляться в целях, отличных от целей первоначального сбора персональных данных. Иными словами, локализован в России должен быть лишь тот процесс обработки, который включает сбор персональных данных.
Пример разделения процессов и целей обработки персональных данных
Российская компания передает персональные данные своих работников в зарубежные Workday или SAP HR для обучения и развития.
В этом случае сбор данных не происходит, поскольку российская компания собрала персональные данные работников на этапе трудоустройства для целей их оформления и онбординга, например, в 1С ЗУП (то есть в России), а теперь передает в иностранную ИТ-систему ранее собранные данные для иной цели.
То есть это разные процессы обработки, где первый включает сбор и загрузку данных в 1С, а второй – не включает сбор, но включает передачу данных в Workday или SAP HR (если, конечно, при этом не появляется новый объем данных).
Таким образом, следует посмотреть на описание процессов обработки персональных данных в реестрах процессов (RoPA) и раздробить описание тех процессов, в которых используются зарубежные базы данных. На практике это может выглядеть следующим образом (на примере корректировки описания процесса в RoPA в режиме исправлений):
То есть один комплексный процесс предлагаем разделить на три. Первый процесс, предполагающий сбор персональных данных, необходимо сделать полностью локализованным – исключить из него передачу в зарубежные базы данных. Передача же в зарубежные базы данных будет по-прежнему осуществляться компанией, но формально уже в рамках отдельных процессов, которые не сопряжены со сбором персональных данных. Такое дробление процесса и представлено выше.
Зачастую такое разделение процессов логически оправдано. Важно, чтобы обоснование отсутствия сбора было убедительным и правдоподобным для Роскомнадзора. Попытки искусственно дробить процесс могут быть расценены как нарушение локализации.
Технический сценарий локализации. Достаточно распространенный технический сценарий обеспечения локализации персональных данных – перехватывающая техническая база данных, известный как «interceptor» или «перехватчик». То есть компания функционально использует зарубежную ИТ-систему, включая базу данных, но до того, как данные попадут в зарубежную базу, их перехватывает база данных, которая развернута на российских серверах. Такая база является «технической», потому что у нее ограниченный функционал – только хранение данных для обеспечения локализации и, в лучшем случае, аналог бэкапа.
Ранее Роскомнадзор, в том числе при выездных проверках, тщательно изучал такой сценарий и не высказывал претензий, поскольку можно было подтвердить правильную последовательность обработки персональных данных и их локализацию с помощью логов и технической документации.
Однако с учетом изменений, применение этого сценария становится более рискованным. Вряд ли получится убедить контролирующий орган, что сбор данных заканчивается именно загрузкой их в «перехватчик», поскольку «перехватчик» представляет собой техническую базу данных, не имеющую самостоятельной бизнес-цели, кроме как обеспечения требований локализации. То есть цель обработки на уровне «перехватчика» не будет достигнута.
Рекомендуется тщательно проверить сценарии локализации для сервисов и процессов, к которым применимо требование о локализации, и на основании этого принять решение о дальнейшем использовании или корректировке существующих процессов и ИТ-инфраструктуры.
Какова ответственность за нарушение локализации и кто в зоне риска?
Штрафы. Штраф за несоблюдение требования о локализации достигает 6 млн рублей за первое нарушение и 18 млн рублей за повторное (ч. 8 и 9 ст. 13.11 КоАП).
Еще раз напомним, что любой иностранный сервис, связанный с обработкой персональных данных, как прежде, так и сегодня сопряжен с рисками их локализации и трансграничной передачи. В этом смысле с 1 июля 2025 года ничего не изменилось.
Суды в большинстве ситуаций привлекают владельцев иностранных ИТ-сервисов за нарушение требований о локализации, а не компании, использующие эти сервисы. Например:
Контроль. На данный момент действует мораторий на плановые проверки Роскомнадзора.
Мораторий на внеплановые проверки прекратился с 1 января 2025 года. Кроме того, у Роскомнадзора есть широкий арсенал инструментов для выявления нарушений, включая мониторинг сайтов, направление запросов, жалобы субъектов.
Не так давно Приказом Минцифры от 01.08.2024 № 682 дополнился перечень индикаторов риска двумя фактами неуведомления Роскомнадзора о трансграничной передаче персональных данных.
Все это несколько повышает риск внеплановой проверки.
Наконец, нельзя исключить изменение ритма и фокуса контрольно-надзорной деятельности применительно к локализации персональных данных в связи с этими изменениями.
В любом случае необходимо быть готовыми оперативно предоставить доказательства соблюдения требования о локализации, как минимум, в отношении публично видимых процессов обработки персональных данных (например, сбор персональных данных на сайте компании). Рекомендации
Пока сложно с уверенностью сказать, как контролирующие органы будут интерпретировать поправки о локализации. Но исходя из имеющихся разъяснений Роскомнадзора и Минцифрывсе же предлагаем пока не занимать радикальную позицию и не «выключать из розетки» все зарубежные сервисы.
При этом ст.12 и ч. 5 ст.18 Закона № 152-ФЗ прямо не предусматривают ограничений на осуществление трансграничной передачи персональных данных, собранных в России.
В любом случае рекомендуем выполнить, как минимум, следующее:
Маппинг процессов. Проведите детальный анализ бизнес-процессов, в рамках которых происходит и сбор персональных данных, и взаимодействие с зарубежными базами данных. Это позволит понять, к каким процессам и системам применимо требование о локализации и произвести обоснованное дробление процессов, в которых используются зарубежные базы данных.
Техническая локализация. Определите наиболее подходящий способ технической локализации для каждого процесса. Ранее использовавшийся метод с применением перехватчика данных (interceptor) теперь будет более рискованным. В связи с этим необходимо провести аудит инфраструктуры.
Defense-файл. Уделите внимание анализу логов, блок-схем и технической документации, а также убедитесь, что есть договоры с хостинг-провайдерами или документы, подтверждающие владение собственными серверами. Именно с этими документами предстоит защищаться в случае претензий Роскомнадзора.
Договорные обязательства. Убедитесь, что в договорах с провайдерами (особенно зарубежными) предусмотрены требования о локализации данных, включая описание потоков данных и ИТ-архитектуры, исключающих сбор персональных данных напрямую в зарубежные базы данных, запрет на одностороннее изменение контрагентом порядка обработки данных, ответственность и компенсацию убытков при нарушении таких требований.