1 июля 2025 года
вступает в силу закон от 28.02.2025 №
23-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и
отдельные законодательные акты Российской Федерации». Вообще-то он не про
152-ФЗ, ему посвящена в новом законе всего одна статья из 9 вносящих изменения
в законодательство, но нас, простых субъектов и представителей обычных
операторов, интересует именно она, и даже не вся, а лишь одно изменение,
поскольку остальные касаются исключительно персональных данных сотрудников
спецслужб.
Приснопамятная часть 5
статьи 18, вступившая в силу 1 сентября 2015 года, получила новую редакцию в
полном соответствии с правилом «матрешек Хинштейна» и в его же авторстве ко
второму чтению закона, написанного совсем о другом.
Вот как эта часть
статьи теперь выглядит в наглядном сравнении:
«При сборе персональных
данных, в том числе посредством информационно-телекоммуникационной сети «Интернет»,
оператор обязан обеспечить запись, систематизациюя,
накопление, хранение, уточнение (обновление, изменение), извлечение
персональных данных граждан Российской Федерации с использованием баз данных,
находящихся на за пределами территории Российской Федерации, не
допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1
статьи 6 настоящего Федерального закона».
Жирным выделены новые
слова в законе.
Что изменилось с точки
зрения выполнения обязанности о локализации персональных данных россиян в
период их сбора?
На мой взгляд, ровно
ничего, кроме исключения из текста упоминания об операторе и распространения
правила на любых лиц, выполняющих сбор персональных данных (а фактически – еще
и обработчиков, которым это было вменено в обязанность с 1 сентября 2022 года в
новой редакции части 3 статьи 6, но не более). Да, как пишут коллеги по цеху
(см., например, прекрасную презентацию
Алексея Мунтяна,
и он не одинок, и я с этим утверждением категорически согласен, но с одной
оговоркой), позитивная обязанность, позволяющая размещать такие базы данных за
рубежом после первичной локализации ранее собранных персональных данных, трансформировалась
в императивный запрет размещать вне России базы с собранными персональными граждан
Российской Федерации.
Но! Оговорка: этот
запрет, как и ранее обязанность, распространяется только на сбор
персональных данных и никоим образом не затрагивает дальнейшую их
обработку. Нет в тексте закона слов о запрете последующей трансграничной
передаче собранных данных.
А законы надо читать
буквально, как учит нас право и Роскомнадзор (например, в Научно-практическом
комментарии к закону: «При буквальном толковании (применяемом в
правоприменительной практике «по умолчанию»)). Нет там запрета. И быть не
может. Данные, собираемые туристическими компаниями или международными
перевозчиками, не могут не подвергаться трансграничной передаче иначе как
наложением полного запрета на ее осуществление в принципе. А это совсем другая
реальность.
Вопрос может быть
поставлен о полном переносе собранной базы данных за рубеж, но и это из области
домыслов. Сбор оператором никогда не прекращается. Принимаются и увольняются
работники, заключаются и прекращают действие договоры с клиентами, начинаются и
заканчиваются промоакции и так далее. Какая база и в какой момент полная? Но и
этого в новой редакции тоже нет.
При этом многие из
коллег ссылаются на два комментария к закону – аппарата вице-премьера Дмитрия Григоренко, сенатора Артема
Шейкина, депутата Сергея Боярского и других
высокопоставленных чиновников и избранников:
«В аппарате Григоренко
пояснили, что поправки уточняют «обязанности операторов связи осуществлять
обработку персональных данных граждан РФ с использованием различных баз данных
исключительно на территории РФ»»,
«Сенатор Артем Шейкин
сообщил ТАСС, что теперь за рубежом не должно быть даже копий баз с данными
россиян. Те компании, которые вели запись, систематизацию, накопление, хранение
данных в зарубежных базах, должны использовать инфраструктуру, расположенную в
РФ»,
«Смысл поправки в том,
что базы с содержанием ПД наших граждан должны находиться на территории
исключительно нашей страны и не иметь копий вне ее территории, за исключением
данных дипломатических работников и сотрудников российских СМИ, которые
работают за рубежом», — сообщил Forbes глава комитета Госдумы по информполитике
Сергей Боярский.
Вы видели в тексте
закона слово «копия»? Требование об обработке исключительно не территории
России? Я – нет. Наверно, мы читали разные законы. Но я другого не знаю. При
всем глубоком уважение к цитируемым выше лицам они источником права не
являются. И не являются ни представителями регуляторов в сфере персональных
данных, ни представителями правоприменителей. А свое частное мнение,
безусловно, может высказывать каждый. Как и я в этом посте, например.
И еще два вопроса в
связи с принятием новой редакции закона.
Первый. Определения
сбора в законе по-прежнему нет (и это очень плохо). И регулятор (Минцифры), и
правоприменитель (Роскомнадзор) еще в 2015 году, комментируя новшество о
локализации, высказывали мнение (письменно, на своих официальных сайтах), что
сбор персональных данных – это получение данных непосредственно от субъекта (при
большом желании найти эти комментарии на сайтах еще можно, но не очень просто).
Утверждение более чем спорное (снова отправляю жаждущих знаний к презентации А.
Мунтяна, там про сбор очень подробно и доходчиво), но если жить в этой
парадигме, то компиляция новой базы из ранее собранных данных вообще сбором не
является, и на нее требования новой редакции части 5 статьи 18 вообще не
распространяется. И возможности оператора использовать зарубежные ресурсы для
обработки персональных данных ограничены только возможными последствиями
уведомления Роскомнадзора (а заодно ФСБ, Минобороны и МИДа) о трансграничной
передаче.
И второй. Требования о
локализации по-прежнему не распространяется на сбор данных с целями,
предусмотренными законом, для осуществления и выполнения возложенных
законодательством Российской Федерации на оператора функций, полномочий и
обязанностей (т.е. сбор данных для кадрового, бухгалтерского, налогового,
воинского учета можно вести сразу в зарубежную базу данных), участия в
судопроизводстве, оказания государственных и муниципальных услуг (т.е. собирать
данные в ЕСИА через Google Forms)
и для профессиональной деятельности СМИ и журналистов. Это было и 10 лет назад
за гранью моего понимания (я писал об этом в своем блоге здесь и здесь, например, и не только),
остается там же и теперь . Про госуслуги особенно удивительно, поскольку с того
же 2015 года (но с 1 июля, а не сентября) действует норма части 2.1 статьи 13
закона «Об информации, информационных технологиях и о защите информации», в
соответствии с которой все технические средства информационных систем,
используемых государственными органами, органами местного самоуправления,
государственными и муниципальными унитарными предприятиями или государственными
и муниципальными учреждениями, должны размещаться на территории Российской
Федерации. Почти десять лет это полное противоречие живет в российских законах,
и, похоже, исправлять его никто не собирается.
Грустно все это…
