3 марта выложил пост о локализации персональных данных россиян в период их сбора. Поскольку споры в профессиональной среде продолжаются, предлагаю прочесть новую редакцию статьи 18 152-ФЗ «О персональных данных» буквально.
С 1 июля 2025 года пятая
часть этой статьи будет выглядеть следующим образом: «При сборе
персональных данных, в том числе посредством информационно-телекоммуникационной
сети «Интернет», запись, систематизация, накопление, хранение,
уточнение (обновление, изменение), извлечение
персональных данных граждан Российской Федерации с использованием баз данных,
находящихся за пределами территории Российской Федерации, не допускаются,
за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6
настоящего Федерального закона».
Жирным выделены те
слова в законе, смысл которых я хочу пояснить.
В первом посте на эту
тему я уже писал, что запрет размещать вне России базы с собранными персональными
граждан Российской Федерации распространяется только на сбор
персональных данных и никоим образом не затрагивает дальнейшую их обработку.
Ряд же коллег
рассуждает примерно так: сбор предполагает его соответствие определенной цели,
и дальнейшая обработка с этой целью исключает любые действия, перечисленные в
запрете. Поэтому, собрав персональные данные, оператор должен все дальнейшие
действия с ними выполнять только в рамках запрета, т.е. в том числе не хранить и
не накапливать полученные данные в зарубежных базах, что делает полностью
невозможной трансграничную передачу данных россиян операторами, подпадающими
под действие российского закона, в том числе иностранными. При этом изначальная
цель сбора данных, например, оказание туристических услуг за пределами России,
никакого значения не имеет, а, значит, ее достижение становится изначально
невозможным.
Конечно, возможно и
такое, но для этого надо полностью сменить парадигму закона и для начала
запретить трансграничную передачу вообще, а не городить сложную и трудно
понимаемую конструкцию.
Теперь по существу.
Главная проблема прочтения закона и его однозначного понимания кроется в его
понятийном аппарате, а если говорить прямо – фактически в его отсутствии. Ни
один из способов обработки персональных данных, выделенных мною жирным шрифтом
в цитате из закона выше, в законе не определяется. А как можно спорить о том,
что написано в законе, если точного определения предмета спора в нем просто
нет?
Я готов пойти
значительно дальше Минцифры и Роскомнадзора, определивших в 2015 году сбор персональных данных как
получение данных непосредственно от субъекта, хотя бы потому, что в этом случае
формирование новой базы данных из ранее собранных сведений путем исключения
части собранных данных и (или) добавления новых сведений, например, созданных о
субъекте самим оператором персональных данных, (перспективный/не перспективный,
целевая аудитория сбора/ не целевая и т.д.) вообще под часть 5 статьи 18 не подпадает
и на такие действия с последующим переносом данных за рубеж императивный запрет
не распространятся.
Сбором является получение
любых сведений о новом субъекте персональных данных, ранее не включенном в базы
оператора или получение новых сведений об уже установленном субъекте, и
источник получения в данном случае значения не имеет. Это может быть сам
субъект, система оператора (СКУД, система учета рабочего времени, бухгалтерская
система) или персонал оператора (аттестация, формирование грида работника и
т.п.) или внешний источник (общедоступный ресурс, например, сайт другого
оператора с опубликованными персональными данными или одна из многочисленных
ГИС, таких как ЕГРЮЛ, банк должников или картотека судебных дел).
Итак, запрет вводится на действия при сборе персональных
данных, т.е. при их получении оператором. Про дальнейшую обработку, после
сбора, запрет молчит. Тут надо учитывать, что сбор данных о субъекте – очень
часто процесс, во времени не ограниченный. Например, данные о работнике
работодатель накапливает в течение всего периода длящихся трудовых отношений, а
продавец о покупателе – в течение всего периода действия программы лояльности,
например.
Значит, говорить можно о процессе сбора в отношении
конкретного субъекта, а не достижения цели в целом.
В этом контексте рассмотрим указанные и не указанные в
запрете способы обработки.
Самый простой вопрос с записью. Собранные данные
(полученные впервые) записать сразу в
зарубежную базу нельзя, только в российскую. Все ясно и просто.
Аналогично с уточнением, обновлением и изменением
– все это следствие получения каких-то новых данных, внести их можно изначально
только в российскую базу данных.
С систематизацией тоже более-менее понятно. Если
полученные при сборе данные требует изменения систематизации записей в базе,
это надо сделать в российской базе, куда данные и вносятся.
Как можно извлечь данные из зарубежной базы при
сборе, вообще не понятно, просится вариант с получением данных о россиянине из
зарубежного источника, но такой запрет выглядит довольно бессмысленным, если
данные о нем в зарубежной базе уже есть.
Остается самое сложное – накопление и хранение.
Тут самое важное – ограничение запрета сбором персональных данных. Значит,
полученные при сборе данные россиян надо накапливать и хранить именно в
российской базе. ОК.
Очень важно, какие действия в запрете не упоминаются.
А они ключевые в данном аспекте. Нет запрета на использование полученные при
сборе и зафиксированных в российской базе персональных данных с использованием
зарубежных баз после их сбора, на передачу, в том числе трансграничную, и
предоставление. Нет.
Поэтому в новой редакции статьи 18 закона нет никаких
ограничений на передачу полученных при сборе данных в зарубежные системы для их
последующей обработки как российским оператором (в какой-нибудь условной Salesforce
или корпоративной системе кадрового администрирования иностранной компании с
дочкой, филиалом или представительством в России), так и зарубежным партнером
российского оператора, той же турфирмой в Танзании или на Мальдивах.
Иное ведет к остановке всех зарубежных платежей даже в
самые что ни на есть дружественные страны, зарубежного туризма, роуминга
сотовой связи, исполнения контрактов с зарубежными поставщиками и покупателями,
и т.п.
Комментариев нет:
Отправить комментарий