И снова о локализации персональных данных в новой редакции

3 марта выложил пост о локализации персональных данных россиян в период их сбора. Поскольку споры в профессиональной среде продолжаются, предлагаю прочесть новую редакцию статьи 18 152-ФЗ «О персональных данных» буквально.

С 1 июля 2025 года пятая часть этой статьи будет выглядеть следующим образом: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».

Жирным выделены те слова в законе, смысл которых я хочу пояснить.

В первом посте на эту тему я уже писал, что запрет размещать вне России базы с собранными персональными граждан Российской Федерации распространяется только на сбор персональных данных и никоим образом не затрагивает дальнейшую их обработку.

Ряд же коллег рассуждает примерно так: сбор предполагает его соответствие определенной цели, и дальнейшая обработка с этой целью исключает любые действия, перечисленные в запрете. Поэтому, собрав персональные данные, оператор должен все дальнейшие действия с ними выполнять только в рамках запрета, т.е. в том числе не хранить и не накапливать полученные данные в зарубежных базах, что делает полностью невозможной трансграничную передачу данных россиян операторами, подпадающими под действие российского закона, в том числе иностранными. При этом изначальная цель сбора данных, например, оказание туристических услуг за пределами России, никакого значения не имеет, а, значит, ее достижение становится изначально невозможным.

Конечно, возможно и такое, но для этого надо полностью сменить парадигму закона и для начала запретить трансграничную передачу вообще, а не городить сложную и трудно понимаемую конструкцию. 

Теперь по существу. Главная проблема прочтения закона и его однозначного понимания кроется в его понятийном аппарате, а если говорить прямо – фактически в его отсутствии. Ни один из способов обработки персональных данных, выделенных мною жирным шрифтом в цитате из закона выше, в законе не определяется. А как можно спорить о том, что написано в законе, если точного определения предмета спора в нем просто нет?     

Я готов пойти значительно дальше Минцифры и Роскомнадзора, определивших  в 2015 году сбор персональных данных как получение данных непосредственно от субъекта, хотя бы потому, что в этом случае формирование новой базы данных из ранее собранных сведений путем исключения части собранных данных и (или) добавления новых сведений, например, созданных о субъекте самим оператором персональных данных, (перспективный/не перспективный, целевая аудитория сбора/ не целевая и т.д.) вообще под часть 5 статьи 18 не подпадает и на такие действия с последующим переносом данных за рубеж императивный запрет не распространятся.

Сбором является получение любых сведений о новом субъекте персональных данных, ранее не включенном в базы оператора или получение новых сведений об уже установленном субъекте, и источник получения в данном случае значения не имеет. Это может быть сам субъект, система оператора (СКУД, система учета рабочего времени, бухгалтерская система) или персонал оператора (аттестация, формирование грида работника и т.п.) или внешний источник (общедоступный ресурс, например, сайт другого оператора с опубликованными персональными данными или одна из многочисленных ГИС, таких как ЕГРЮЛ, банк должников или картотека судебных дел). 

Итак, запрет вводится на действия при сборе персональных данных, т.е. при их получении оператором. Про дальнейшую обработку, после сбора, запрет молчит. Тут надо учитывать, что сбор данных о субъекте – очень часто процесс, во времени не ограниченный. Например, данные о работнике работодатель накапливает в течение всего периода длящихся трудовых отношений, а продавец о покупателе – в течение всего периода действия программы лояльности, например.

Значит, говорить можно о процессе сбора в отношении конкретного субъекта, а не достижения цели в целом.

В этом контексте рассмотрим указанные и не указанные в запрете способы обработки.

Самый простой вопрос с записью. Собранные данные (полученные впервые)  записать сразу в зарубежную базу нельзя, только в российскую. Все ясно и просто.

Аналогично с уточнением, обновлением и изменением – все это следствие получения каких-то новых данных, внести их можно изначально только в российскую базу данных.

С систематизацией тоже более-менее понятно. Если полученные при сборе данные требует изменения систематизации записей в базе, это надо сделать в российской базе, куда данные и вносятся. 

Как можно извлечь данные из зарубежной базы при сборе, вообще не понятно, просится вариант с получением данных о россиянине из зарубежного источника, но такой запрет выглядит довольно бессмысленным, если данные о нем в зарубежной базе уже есть.

Остается самое сложное – накопление и хранение. Тут самое важное – ограничение запрета сбором персональных данных. Значит, полученные при сборе данные россиян надо накапливать и хранить именно в российской базе. ОК.

Очень важно, какие действия в запрете не упоминаются. А они ключевые в данном аспекте. Нет запрета на использование полученные при сборе и зафиксированных в российской базе персональных данных с использованием зарубежных баз после их сбора, на передачу, в том числе трансграничную, и предоставление. Нет.

Поэтому в новой редакции статьи 18 закона нет никаких ограничений на передачу полученных при сборе данных в зарубежные системы для их последующей обработки как российским оператором (в какой-нибудь условной Salesforce или корпоративной системе кадрового администрирования иностранной компании с дочкой, филиалом или представительством в России), так и зарубежным партнером российского оператора, той же турфирмой в Танзании или на Мальдивах.

Иное ведет к остановке всех зарубежных платежей даже в самые что ни на есть дружественные страны, зарубежного туризма, роуминга сотовой связи, исполнения контрактов с зарубежными поставщиками и покупателями, и т.п.

О локализации персональных данных в новой редакции

 

1 июля 2025 года вступает в силу закон от 28.02.2025 № 23-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и отдельные законодательные акты Российской Федерации». Вообще-то он не про 152-ФЗ, ему посвящена в новом законе всего одна статья из 9 вносящих изменения в законодательство, но нас, простых субъектов и представителей обычных операторов, интересует именно она, и даже не вся, а лишь одно изменение, поскольку остальные касаются исключительно персональных данных сотрудников спецслужб.

Приснопамятная часть 5 статьи 18, вступившая в силу 1 сентября 2015 года, получила новую редакцию в полном соответствии с правилом «матрешек Хинштейна» и в его же авторстве ко второму чтению закона, написанного совсем о другом.

Вот как эта часть статьи теперь выглядит в наглядном сравнении:

«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизациюя, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на за пределами территории Российской Федерации, не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».

Жирным выделены новые слова в законе.

Что изменилось с точки зрения выполнения обязанности о локализации персональных данных россиян в период их сбора?

На мой взгляд, ровно ничего, кроме исключения из текста упоминания об операторе и распространения правила на любых лиц, выполняющих сбор персональных данных (а фактически – еще и обработчиков, которым это было вменено в обязанность с 1 сентября 2022 года в новой редакции части 3 статьи 6, но не более). Да, как пишут коллеги по цеху (см., например, прекрасную презентацию Алексея Мунтяна, и он не одинок, и я с этим утверждением категорически согласен, но с одной оговоркой), позитивная обязанность, позволяющая размещать такие базы данных за рубежом после первичной локализации ранее собранных персональных данных, трансформировалась в императивный запрет размещать вне России базы с собранными персональными граждан Российской Федерации.

Но! Оговорка: этот запрет, как и ранее обязанность, распространяется только на сбор персональных данных и никоим образом не затрагивает дальнейшую их обработку. Нет в тексте закона слов о запрете последующей трансграничной передаче собранных данных.

А законы надо читать буквально, как учит нас право и Роскомнадзор (например, в Научно-практическом комментарии к закону: «При буквальном толковании (применяемом в правоприменительной практике «по умолчанию»)). Нет там запрета. И быть не может. Данные, собираемые туристическими компаниями или международными перевозчиками, не могут не подвергаться трансграничной передаче иначе как наложением полного запрета на ее осуществление в принципе. А это совсем другая реальность.

Вопрос может быть поставлен о полном переносе собранной базы данных за рубеж, но и это из области домыслов. Сбор оператором никогда не прекращается. Принимаются и увольняются работники, заключаются и прекращают действие договоры с клиентами, начинаются и заканчиваются промоакции и так далее. Какая база и в какой момент полная? Но и этого в новой редакции тоже нет.

При этом многие из коллег ссылаются на два комментария к закону – аппарата вице-премьера Дмитрия Григоренко, сенатора Артема Шейкина, депутата Сергея Боярского и других высокопоставленных чиновников и избранников:

«В аппарате Григоренко пояснили, что поправки уточняют «обязанности операторов связи осуществлять обработку персональных данных граждан РФ с использованием различных баз данных исключительно на территории РФ»»,

«Сенатор Артем Шейкин сообщил ТАСС, что теперь за рубежом не должно быть даже копий баз с данными россиян. Те компании, которые вели запись, систематизацию, накопление, хранение данных в зарубежных базах, должны использовать инфраструктуру, расположенную в РФ»,

«Смысл поправки в том, что базы с содержанием ПД наших граждан должны находиться на территории исключительно нашей страны и не иметь копий вне ее территории, за исключением данных дипломатических работников и сотрудников российских СМИ, которые работают за рубежом», — сообщил Forbes глава комитета Госдумы по информполитике Сергей Боярский. 

Вы видели в тексте закона слово «копия»? Требование об обработке исключительно не территории России? Я – нет. Наверно, мы читали разные законы. Но я другого не знаю. При всем глубоком уважение к цитируемым выше лицам они источником права не являются. И не являются ни представителями регуляторов в сфере персональных данных, ни представителями правоприменителей. А свое частное мнение, безусловно, может высказывать каждый. Как и я в этом посте, например.

И еще два вопроса в связи с принятием новой редакции закона.

Первый. Определения сбора в законе по-прежнему нет (и это очень плохо). И регулятор (Минцифры), и правоприменитель (Роскомнадзор) еще в 2015 году, комментируя новшество о локализации, высказывали мнение (письменно, на своих официальных сайтах), что сбор персональных данных – это получение данных непосредственно от субъекта (при большом желании найти эти комментарии на сайтах еще можно, но не очень просто). Утверждение более чем спорное (снова отправляю жаждущих знаний к презентации А. Мунтяна, там про сбор очень подробно и доходчиво), но если жить в этой парадигме, то компиляция новой базы из ранее собранных данных вообще сбором не является, и на нее требования новой редакции части 5 статьи 18 вообще не распространяется. И возможности оператора использовать зарубежные ресурсы для обработки персональных данных ограничены только возможными последствиями уведомления Роскомнадзора (а заодно ФСБ, Минобороны и МИДа) о трансграничной передаче.   

И второй. Требования о локализации по-прежнему не распространяется на сбор данных с целями, предусмотренными законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (т.е. сбор данных для кадрового, бухгалтерского, налогового, воинского учета можно вести сразу в зарубежную базу данных), участия в судопроизводстве, оказания государственных и муниципальных услуг (т.е. собирать данные в ЕСИА через Google Forms) и для профессиональной деятельности СМИ и журналистов. Это было и 10 лет назад за гранью моего понимания (я писал об этом в своем блоге здесь и здесь, например, и не только), остается там же и теперь . Про госуслуги особенно удивительно, поскольку с того же 2015 года (но с 1 июля, а не сентября) действует норма части 2.1 статьи 13 закона «Об информации, информационных технологиях и о защите информации», в соответствии с которой все технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или государственными и муниципальными учреждениями, должны размещаться на территории Российской Федерации. Почти десять лет это полное противоречие живет в российских законах, и, похоже, исправлять его никто не собирается.

Грустно все это…