Локализация баз персональных данных
Предоставим правовое решение и сопроводим до результата при локализации баз данных, содержащих персональные данные
Что означает локализация баз персональных данных?
Локализация баз персональных данных в контексте Федерального закона «О персональных данных» означает, что определённые действия с данными граждан РФ допускается осуществлять только на территории России. Требование относится не только к сбору, но и к некоторым видам обработки, осуществляемым при сборе.
Ранее государство позволяло дублировать процессы сбора с применением иностранных баз данных или иным образом использовать иностранные серверные компоненты совместно с российскими при сборе. С 1 июля 2025 года запрещено любым образом собирать персональные данные с использованием зарубежных баз данных.
Случаи, когда выявлялись нарушения требований к локализации баз персональных данных с использованием иностранных информационных систем:
субъект сам предоставляет данные оператору (например, заполняет форму на сайте, отправляет письмо на электронные адреса, предназначенные для связи с субъектом);
оператор получает данные с помощью видеозаписи, трекинга геолокации, cookie-файлов и аналогичных технологий;
персональные данные собираются из источника, где они размещены самим субъектом;
третье лицо, действующее по поручению оператора, собирает данные у субъектов.
Исторический контекст указывает на будущее усиление требований к локализации баз персональных данных:
В 2015 году в России появилось требования о локализации баз персональных данных.
В 2016 году появились первые блокировки иностранных сайтов за нарушения требований к локализации баз персональных данных.
В 2019 году в КоАП РФ ввели ответственность за нарушение требований к локализации с диапазоном штрафов от 1 млн. до 18 млн. рублей.
В 2021 году были вынесены первые крупные штрафы за нарушение требований к локализации персональных данных.
В 2025 году ужесточение требований к локальному хранению персональных данных.
Часть 5 статьи 18 Закона № 152-ФЗ распространяется исключительно на персональные данные граждан России.
Ключевые моменты для оператора персональных данных:
законом не устанавливается алгоритм определения гражданства субъекта;
оператор самостоятельно разрабатывает критерии отнесения субъекта персональных данных к гражданину РФ;
отсутствие внутренних правил определения гражданства позволяет регулятору распространить требование о локализации на весь массив данных, собранных на территории России.
Требование о локализации баз персональных данных распространяется на базы данных, понятие которых в российском законодательстве толкуется достаточно широко.
Роскомнадзор и суды руководствуются определением, закрепленным в абзаце 2 пункта 2 статьи 1260 ГК РФ:
"Базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ)."
Важно подчеркнуть, что база данных:
не равно информационная система;
может быть распределенной;
может управляться несколькими системами управления базами данных (БД не равно СУБД).
Местоположение баз данных указывается в уведомлении Роскомнадзора о намерении осуществлять обработку персональных данных по статье 22 Закона № 152-ФЗ.
"Уведомление должно содержать следующие сведения: ...
10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации."
Согласно комментариям, которые давались Минкомсвязи РФ (в настоящее время – Минцифры РФ), сбор - это получение персональных данных от субъекта:
"…под сбором можно понимать целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц…"
Правильное понимание термина «сбор персональных данных» имеет важное значение, однако часть 5 статьи 18 Закона № 152‑ФЗ предусматривает локализацию не сбора как такового, а таких действий, как запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных, совершаемых при их сборе.
Сбор персональных данных подразумевает целенаправленные действия оператора по получению данных непосредственно от субъекта.
Передача персональных данных – это прямо поименованный способ обработки в Законе № 152-ФЗ (ст.3).
По совокупности норм передача – это когда данные передаются от одного оператора другому, в том числе иностранному.
Соответственно, существует получение как непоименованный законом способ обработки персональных данных.
Сбор может быть многоэтапным
Процесс сбора персональных данных может состоять из нескольких этапов и, соответственно, должен быть когда-то окончен (например, получение данных на бумажном носителе, их последующая верификация и внесение в электронную базу данных – единый процесс сбора).
Сбор с привлечением третьих лиц
По поручению на обработку персональных данных можно передать полномочия по сбору персональных данных и совершению последующих видов обработки во время сбора.
Иностранный элемент в цепочке сбора
Наличие иностранных серверных компонентов и/или иностранных обработчиков данных в одном из этапов сбора – индикаторы полной или частичной обработки персональных данных за пределами России на этапе сбора.
Локализация баз персональных данных регулируется частью 5 статьи 18 Закона № 152-ФЗ, трансграничная передача - статьей 12 Закона № 152-ФЗ.
Соблюдение одного из этих требований не зависит от соблюдения другого, при этом в соответствии с Конвенцией 108 трансграничная передача персональных данных не может быть запрещена.
Возможно нарушение требований о локализации при одновременном отсутствии нарушений в части трансграничной передачи, и наоборот.
Соблюдение требований о трансграничной передаче, напротив, может стать доказательством отсутствия локализации баз персональных данных.
После завершения мероприятий по локализации необходимо пересмотреть уведомления, в том числе по трансграничной передаче.
Если используете следующие подходы к локализации баз персональных данных, то они не работают:
локализация по API из иностранной базы данных в российскую;
параллельный сбор персональных данных с использованием иностранных информационных систем (СУБД);
последовательный сбор персональных данных через иностранные информационные системы (СУБД).
Часть 8 статьи 13.11 КоАП РФ:
Физические лица – от 30 тыс. до 50 тыс. руб.
Должностные лица – от 100 тыс. до 200 тыс. руб.
Юридические лица – от 1 млн. до 6 млн. руб.
Часть 9 статьи 13.11 КоАП РФ (повторное):
Физические лица – от 50 тыс. до 100 тыс. руб.
Должностные лица – от 500 тыс. до 800 тыс. руб.
Юридические лица – от 6 млн. до 18 млн. руб.
Выявление нарушений требований о локализации баз персональных данных влечет за собой затраты на экстренную локализацию или незапланированный отказ от используемых информационных систем, создавая прямую угрозу непрерывности бизнеса.
Статистика показывает, что если Роскомнадзор составил протокол за нарушение требований о локализации баз персональных данных, то в 100% случаев компания будет привлечена к ответственности.
Во всех делах, в которых привлекаемое лицо доходило до кассационной инстанции, суды признавали позицию Роскомнадзора правомерной.
На практике встречаются следующие сценарии выявления нарушения требований к локализации баз персональных данных:
Обращение субъекта персональных данных в Роскомнадзор и Прокуратуру в порядке Федерального закона № 59‑ФЗ.
Заявление субъекта персональных данных в Роскомнадзор о привлечении оператора персональных данных к административной ответственности.
Систематический мониторинг обработки персональных данных либо информация, поступившая от центрального аппарата Роскомнадзора.
В теории возможно:
Установление факта нелокализации при проведении внеплановой проверки по факту утечки персональных данных.
Установление факта нелокализации при проведении административных расследований по иным составам правонарушений.
Административных расследований (по КоАП РФ) за нарушения требований о локализации баз персональных данных не предусмотрено. Вместе с этим в ходе административных расследований по другим составам правонарушений могут быть получены доказательства нелокализации, что, как следствие, ведёт к дополнительному привлечению по части 8 статьи 13.11 КоАП РФ.
Составы, по которым может быть проведено административное расследование:
Обработка персональных данных без законных оснований, либо нецелевая обработка (ч. 1 – 2.1 ст. 13.11 КоАП РФ).
Неправомерная передача (предоставление, распространение, доступ) персональных данных от 1 тыс. до более чем 100 тыс. субъектов и (или) от 10 тыс. до 1 млн и более идентификаторов (ч. 12 – 15 ст. 13.11 КоАП РФ).
Неправомерная передача (предоставление, распространение, доступ) специальных или биометрических персональных данных (ч. 16 – 18 ст. 13.11 КоАП РФ).
Часть 4 статьи 18.1 Закона № 152-ФЗ:
«Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных».
Доказывание невиновности включает следующее:
Должны быть понятные формальные признаки, подтверждающие окончание сбора персональных данных.
По всей цепочке процесса сбора персональных данных должна быть документация, определены границы и цели обработки данных, а также категории субъектов и категории данных.
Необходимо документировать все процессы, связанные с обработкой персональных данных, включая те, что имеют «иностранный элемент».
Важно правильно квалифицировать действия как передачу данных или сбор, чтобы избежать нарушений требований о локализации.
Нужно принимать во внимание все документы компании, которые связаны с любыми процессами обработки персональных данных.
Выполнение этих и других мероприятий ведет к наличию стратегии локализации баз персональных данных, которая включает подходы к доказыванию соблюдения требований.
Вебинар о локализации баз персональных данных
Совместный вебинар с компанией Selectel "Как соответствовать требованиям локализации персональных данных"
Как работаем с проектом по локализации баз персональных данных?
Детально изучаем существующую инфраструктуру компании и определяем степень соответствия требованиям российского законодательства. Итогом анализа становится промежуточный отчет с рекомендациями по устранению выявленных недостатков.
В ходе работы:
Проанализируем бизнес-процессы компании, связанные с исследуемой базой данных, договоры, локальные нормативные акты.
Определим локацию задействованных серверов и статус участвующих в обработке лиц (оператор и/или лицо, осуществляющее обработку по поручению оператора).
Исследуем параметры обработки персональных данных в информационной системе, включая правовые основания, цели, перечни персональных данных и т.п.
Оценим применение организационно-правовых возможностей к локализации баз персональных данных
Оценим технические возможности локализации баз персональных данных.
Формируем описание оптимальных подходов к локализации баз персональных данных, включающее рекомендации по способам локализации баз персональных данных.
После утверждения проекта начинаем этап практической реализации запланированной стратегии:
Обеспечим сопровождение закупки оборудования, программ и лицензий.
Проконсультируем техническую команду при установке и настройке технических средств, программного обеспечения, а также при интеграции с действующими системами.
Завершающий этап сопровождения процесса локализации баз персональных данных, который включает комплекс мероприятий по обеспечению устойчивого соответствия требованиям законодательства РФ после внедрения и первичного контроля:
Проведём внешний аудит с целью выявления возможных отклонений от заданных критериев.
Сформируем методологию для проведения регулярных внутренних аудитов.
