Принят закон, который с 1 июля 2025 года запрещает сбор и последующую обработку персональных данных (ПД) россиян за рубежом. Поправки к статье 18 закона «О персональных данных» вызвали бурные дискуссии: бизнес пытается понять, останется ли возможной трансграничная передача информации после локализации в РФ или это начало цифрового «железного занавеса». Forbes разбирается, что изменится для компаний и почему даже юристы пока предпочитают «гадать на кофейной гуще».
Что написано в законе?
В соответствии с новой редакцией части 5 статьи 18 «при сборе ПД запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся за пределами территории РФ, не допускаются». Исключения — случаи, «связанные с реализацией международных договоров РФ» и пара дополнительных нерелевантных для большинства операторов исключений. При этом ключевая формулировка — «при сборе» — стала яблоком раздора. Оптимисты настаивают: если данные уже собраны и локализованы в РФ, их можно передавать за рубеж, как и раньше. Пессимисты парируют: Роскомнадзор (РКН) трактует обработку данных как «единый процесс», а значит, почти любая передача за границу будет считаться частью сбора — и попадет под запрет.
В соответствии с новой редакцией части 5 статьи 18 «при сборе ПД запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся за пределами территории РФ, не допускаются». Исключения — случаи, «связанные с реализацией международных договоров РФ» и пара дополнительных нерелевантных для большинства операторов исключений. При этом ключевая формулировка — «при сборе» — стала яблоком раздора. Оптимисты настаивают: если данные уже собраны и локализованы в РФ, их можно передавать за рубеж, как и раньше. Пессимисты парируют: Роскомнадзор (РКН) трактует обработку данных как «единый процесс», а значит, почти любая передача за границу будет считаться частью сбора — и попадет под запрет.
Почему это важно?
До сих пор схема работы с ПД была понятна: данные сначала локализуются в РФ, затем их можно передавать за рубеж при соблюдении условий 152-ФЗ (например, при наличии уведомления РКН). Это позволяло компаниям работать в России без полного разрыва с зарубежными серверами и сервисами. Теперь под вопросом сама возможность такой передачи.
Три сценария для бизнеса
Пока регуляторы молчат, эксперты предлагают три варианта интерпретации закона:
1. «Ничего не изменится»
Сбор и локализация в РФ, затем передача за рубеж — как экспорт редкоземельных металлов. Закон лишь уточняет существующие правила. «Хватит пугать рынок!» — говорят адепты этой версии.
До сих пор схема работы с ПД была понятна: данные сначала локализуются в РФ, затем их можно передавать за рубеж при соблюдении условий 152-ФЗ (например, при наличии уведомления РКН). Это позволяло компаниям работать в России без полного разрыва с зарубежными серверами и сервисами. Теперь под вопросом сама возможность такой передачи.
Три сценария для бизнеса
Пока регуляторы молчат, эксперты предлагают три варианта интерпретации закона:
1. «Ничего не изменится»
Сбор и локализация в РФ, затем передача за рубеж — как экспорт редкоземельных металлов. Закон лишь уточняет существующие правила. «Хватит пугать рынок!» — говорят адепты этой версии.
2. «Ужесточение без драмы»
Основная обработка ПД должна вестись в России. Раньше компании создавали «технические» базы в РФ, перехватывающие передаваемые за рубеж данные за секунду до такой передачи, а реальная работа с данными шла в зарубежных базах данных. Теперь РКН усилит контроль: трансграничная передача возможна, но основная обработка ПД должна осуществляться на территории РФ.
3. «Полный запрет»
«Баста!» — никакой передачи ПД за рубеж, даже после локализации. Исключение — если цель передачи кардинально отличается от заявленной при сборе (например, данные собрали для договора, а передают по требованию закона). Такой сценарий, вероятно, противоречит не только 152-ФЗ, но и международным обязательствам России, включая Конвенцию Совета Европы 1981 года о защите данных.
Основная обработка ПД должна вестись в России. Раньше компании создавали «технические» базы в РФ, перехватывающие передаваемые за рубеж данные за секунду до такой передачи, а реальная работа с данными шла в зарубежных базах данных. Теперь РКН усилит контроль: трансграничная передача возможна, но основная обработка ПД должна осуществляться на территории РФ.
3. «Полный запрет»
«Баста!» — никакой передачи ПД за рубеж, даже после локализации. Исключение — если цель передачи кардинально отличается от заявленной при сборе (например, данные собрали для договора, а передают по требованию закона). Такой сценарий, вероятно, противоречит не только 152-ФЗ, но и международным обязательствам России, включая Конвенцию Совета Европы 1981 года о защите данных.
Что говорят власти?
В аппарате вице-премьера утверждают: поправки лишь «конкретизируют обязанность операторов обрабатывать ПД россиян в РФ». Комитет Госдумы по информационной политике уточняет: «Базы с ПД должны храниться только в России без зарубежных копий». Однако эти заявления прямо не отвечают на главный вопрос: возможна ли трансграничная передача после локализации?
Что делать бизнесу?
Пока регуляторы не дали разъяснений, компании остаются в подвешенном состоянии. Юристы советуют:
и на основании этих данных подготовить стратегию защиты, включая понятные доказательства того, что данные локализованы и при сборе не передаются за пределы РФ. Это теперь не только системные логи с указанием времени загрузки данных в локальный и зарубежный сервер, но и описание бизнес-процесса. .
Одно ясно уже сейчас: даже если закон сохранит лазейки, контроль за его соблюдением станет жестче. А значит, бизнесу пора готовиться к новым затратам — как минимум, на юристов и серверы. Ведь технические перехватывающие базы данных, вероятно, теперь в зоне риска.
В аппарате вице-премьера утверждают: поправки лишь «конкретизируют обязанность операторов обрабатывать ПД россиян в РФ». Комитет Госдумы по информационной политике уточняет: «Базы с ПД должны храниться только в России без зарубежных копий». Однако эти заявления прямо не отвечают на главный вопрос: возможна ли трансграничная передача после локализации?
Что делать бизнесу?
Пока регуляторы не дали разъяснений, компании остаются в подвешенном состоянии. Юристы советуют:
- оценить инфраструктуру и возможность изменения процессов для большей локализации обработки ПД;
- анализировать цепочки передачи данных;
- участвовать в обсуждении подзаконных актов через отраслевые ассоциации,
и на основании этих данных подготовить стратегию защиты, включая понятные доказательства того, что данные локализованы и при сборе не передаются за пределы РФ. Это теперь не только системные логи с указанием времени загрузки данных в локальный и зарубежный сервер, но и описание бизнес-процесса. .
Одно ясно уже сейчас: даже если закон сохранит лазейки, контроль за его соблюдением станет жестче. А значит, бизнесу пора готовиться к новым затратам — как минимум, на юристов и серверы. Ведь технические перехватывающие базы данных, вероятно, теперь в зоне риска.