Главная  /  FAQ  /  Вопрос хранения персональных данных за пределами РФ

Вопрос хранения персональных данных за пределами РФ

Вопрос - можем ли мы хранить персональные данные клиентов на серверах, которые находятся за пределами РФ?

 


 

ОТВЕТ ЮРИСТА

Хранение данных граждан России за пределами РФ наказуемо штрафом для организации (ст. 13.11 пп.8-9 КоАП РФ) от 1 000 000 до 6 000 000 рублей, повторное нарушение по хранению данных граждан России за пределами РФ от 6 000 000 до 18 000 000 рублей.

1. Проблема переноса базы данных хранения ПД за пределы РФ

В отношении данной проблемы существует ряд позиций государственных органов, которые противоречат друг другу:

Позиция Государственно-правового управления Президента РФ.

Базы данных должны находиться только в РФ.

Дублирующие базы данных (имеются ввиду расположенные за рубежом) или актуальные копии данных в ФЗ №242 не упомянуты.

Запреты из ФЗ №242 распространяются в т.ч. и на персональные данные, ранее находящиеся за пределами РФ (т.е. до вступления в силу ФЗ №242).

Позиция Роскомнадзора

Формирование и актуализация баз данных с персональными данными российских граждан должны осуществляться на территории РФ. Требования Закона № 242-ФЗ не позволяют осуществлять отдельные процедуры, в том числе «хранение персональных данных» в базах данных на территории иностранного государства.

Каждый случай, в котором при сборе персональных данных будет осуществляться одновременное хранение баз данных на территории РФ и иностранного государства, будет являться нарушением Закона № 242-ФЗ, поскольку оператор при сборе персональных данных допустит их хранение в базах данных за пределами РФ. После сбора персональных данных, т.е. после формирования баз данных на территории РФ, недопустимо изменение условий ее хранения путем переноса баз данных на территорию иностранного государства.

Нормы Закона № 152-ФЗ не применяются за пределами территории РФ. Зарубежная обработка персональных данных регулируется нормативными правовыми актами тех стран, в которых она осуществляется.

Позиция Минкомсвязи

Субъект персональных данных имеет право дать согласие на обработку своих персональных данных и предоставить их любому юридическому или физическому лицу, находящемуся как на территории РФ, так и за ее пределами.

Информационная система персональных данных может обладать географически распределенной структурой. Часть ее элементов может находиться за пределами РФ.

Применение дублирующих баз данных, находящихся на территории РФ или за ее пределами, прямо не запрещено действующим законодательством РФ.

Действия, которые могут быть совершены лицом, обладающим персональными данными:

  • Перенос баз данных целиком на территорию РФ. Риск – минимальный, поскольку выполняется наиболее жесткое требование.
  • Обезличивание персональных данных, передаваемых в зарубежные базы данных. Риск – высокий, поскольку требование об отсутствии зарубежных баз данных (поддерживаемое рядом государственных органов) не выполняется.

Отказ от обработки персональных данных с помощью резидента РФ.  Сбор, систематизация и хранение персональных данных осуществляется с помощью организации за пределами РФ. Такая компания не подпадает под российскую юрисдикцию. Риск – средний. С одной стороны указанный способ соответствует позициям Роскомнадзора и Минкомсвязи, с другой стороны могут возникнуть сложности в части обоснования передачи персональных данных зарубежным операторам (в том числе от самих субъектов персональных данных) – а именно мы должны уведомить Роскомнадзор что мы осуществляем трансграничную передачу ПД.

  • Промежуточная база данных в РФ. Данный способ подразумевает создание на территории РФ промежуточной информационной системы или базы данных с целью хранения, уточнения, удаления собираемых в России персональных данных и их последующей передачи для обработки другому оператору, в том числе за границу. Процессы в зарубежных системах, связанные с последующей обработкой персональных данных, сохраняются неизменными или адаптируются для автоматического использования данных из России. Риск – низкий.

2. Распространение  действия Конвенции о защите физических лиц при автоматизированной обработке ПД

С 01.03.2023 года вступает в силу Приказ Роскомнадзора от 05.08.2022 №128 "Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных".

Справочно

Конвенция о защите физических лиц при автоматизированной обработке персональных данных была принята в Страсбурге в 1981 г., изменения вносились в 1999 г. В документе говорится, что цель конвенции – обеспечение на территории каждой из сторон уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства и в особенности его права на неприкосновенность личной сферы.

В частности, в конвенции говорится о том, что ПД накапливаются и обрабатываются для точно определенных и законных целей и не используются не по делу. Также информация не должна быть избыточной (иными словами, нельзя собирать на человека слишком обширное досье). Также указывается, что персональные данные о национальной принадлежности, политических взглядах либо религиозных или иных убеждениях, информация, о здоровье и сексуальной жизни могут подвергаться автоматической обработке лишь в тех случаях, «когда национальное право предусматривает надлежащие гарантии». Это же правило применяется к персональным данным, касающимся судимости.

В то же время любой из этих принципов могут нарушить, если речь идет об охране государственной и общественной безопасности, «денежных интересов государства» или для пресечения преступлений. Нарушат их и в том случае, если нужно защитить субъекта данных или права и свободы других лиц.

В начале июля 2022 г. в третьем чтении были приняты поправки к закону «О персональных данных». Согласно последним изменениям, страны, попавшие в реестр, могут участвовать в трансграничной передаче ПД – для этого компании-резиденту той или иной страны нужно уведомить о своих планах Роскомнадзор. Если страны в списке нет, передавать персональные данные в это государство без разрешения контролирующего ведомства нельзя.

Для стран из списка же предусмотрен упрощенный порядок: оператор персональных данных должен всего единожды уведомить Роскомнадзор о своих намерениях, а не по каждой транзакции. Кроме того, не нужно ждать ни 30, ни 10 рабочих дней после направления уведомления, оперировать личной информацией россиян можно прямо во время процедуры одобрения Роскомнадзора.

Таким образом, положения Конвенции отражают упрощенный порядок трансграничной передачи персональных данных, но никак не допускают возможность беспрепятственного размещения баз данных ПД в представленных государствах.

 

Информация на сайте является интеллектуальной собственностью компании ООО "ДП-Консалт".

Задать свой вопрос юристу

Задайте Ваш вопрос юристу и получите квалифицированный ответ в сжатые сроки. Все вопросы поступают в общий отдел, где их распределяют по отраслям права и передают компетентному юристу. Стоимость консультации зависит от сложности вопроса.

^