Новости Comply.

Одна надежда операторов – формулировка «при сборе»

Insights
Принят закон, который с 1 июля 2025 года запрещает сбор и последующую обработку персональных данных (ПД) россиян за рубежом. Поправки к статье 18 закона «О персональных данных» вызвали бурные дискуссии: бизнес пытается понять, останется ли возможной трансграничная передача информации после локализации в РФ или это начало цифрового «железного занавеса». Forbes разбирается, что изменится для компаний и почему даже юристы пока предпочитают «гадать на кофейной гуще».
Что написано в законе?

В соответствии с новой редакцией части 5 статьи 18 «при сборе ПД запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся за пределами территории РФ, не допускаются». Исключения — случаи, «связанные с реализацией международных договоров РФ» и пара дополнительных нерелевантных для большинства операторов исключений. При этом ключевая формулировка — «при сборе» — стала яблоком раздора. Оптимисты настаивают: если данные уже собраны и локализованы в РФ, их можно передавать за рубеж, как и раньше. Пессимисты парируют: Роскомнадзор (РКН) трактует обработку данных как «единый процесс», а значит, почти любая передача за границу будет считаться частью сбора — и попадет под запрет.
Почему это важно?

До сих пор схема работы с ПД была понятна: данные сначала локализуются в РФ, затем их можно передавать за рубеж при соблюдении условий 152-ФЗ (например, при наличии уведомления РКН). Это позволяло компаниям работать в России без полного разрыва с зарубежными серверами и сервисами. Теперь под вопросом сама возможность такой передачи.

Три сценария для бизнеса

Пока регуляторы молчат, эксперты предлагают три варианта интерпретации закона:

1. «Ничего не изменится»

Сбор и локализация в РФ, затем передача за рубеж — как экспорт редкоземельных металлов. Закон лишь уточняет существующие правила. «Хватит пугать рынок!» — говорят адепты этой версии.
2. «Ужесточение без драмы»

Основная обработка ПД должна вестись в России. Раньше компании создавали «технические» базы в РФ, перехватывающие передаваемые за рубеж данные за секунду до такой передачи, а реальная работа с данными шла в зарубежных базах данных. Теперь РКН усилит контроль: трансграничная передача возможна, но основная обработка ПД должна осуществляться на территории РФ.

3. «Полный запрет»

«Баста!» — никакой передачи ПД за рубеж, даже после локализации. Исключение — если цель передачи кардинально отличается от заявленной при сборе (например, данные собрали для договора, а передают по требованию закона). Такой сценарий, вероятно, противоречит не только 152-ФЗ, но и международным обязательствам России, включая Конвенцию Совета Европы 1981 года о защите данных.
Что говорят власти?

В аппарате вице-премьера утверждают: поправки лишь «конкретизируют обязанность операторов обрабатывать ПД россиян в РФ». Комитет Госдумы по информационной политике уточняет: «Базы с ПД должны храниться только в России без зарубежных копий». Однако эти заявления прямо не отвечают на главный вопрос: возможна ли трансграничная передача после локализации?

Что делать бизнесу?

Пока регуляторы не дали разъяснений, компании остаются в подвешенном состоянии. Юристы советуют:

  • оценить инфраструктуру и возможность изменения процессов для большей локализации обработки ПД;
  • анализировать цепочки передачи данных;
  • участвовать в обсуждении подзаконных актов через отраслевые ассоциации,

и на основании этих данных подготовить стратегию защиты, включая понятные доказательства того, что данные локализованы и при сборе не передаются за пределы РФ. Это теперь не только системные логи с указанием времени загрузки данных в локальный и зарубежный сервер, но и описание бизнес-процесса. .

Одно ясно уже сейчас: даже если закон сохранит лазейки, контроль за его соблюдением станет жестче. А значит, бизнесу пора готовиться к новым затратам — как минимум, на юристов и серверы. Ведь технические перехватывающие базы данных, вероятно, теперь в зоне риска.