О локализации персональных данных в новой редакции

 

1 июля 2025 года вступает в силу закон от 28.02.2025 № 23-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и отдельные законодательные акты Российской Федерации». Вообще-то он не про 152-ФЗ, ему посвящена в новом законе всего одна статья из 9 вносящих изменения в законодательство, но нас, простых субъектов и представителей обычных операторов, интересует именно она, и даже не вся, а лишь одно изменение, поскольку остальные касаются исключительно персональных данных сотрудников спецслужб.

Приснопамятная часть 5 статьи 18, вступившая в силу 1 сентября 2015 года, получила новую редакцию в полном соответствии с правилом «матрешек Хинштейна» и в его же авторстве ко второму чтению закона, написанного совсем о другом.

Вот как эта часть статьи теперь выглядит в наглядном сравнении:

«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизациюя, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на за пределами территории Российской Федерации, не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».

Жирным выделены новые слова в законе.

Что изменилось с точки зрения выполнения обязанности о локализации персональных данных россиян в период их сбора?

На мой взгляд, ровно ничего, кроме исключения из текста упоминания об операторе и распространения правила на любых лиц, выполняющих сбор персональных данных (а фактически – еще и обработчиков, которым это было вменено в обязанность с 1 сентября 2022 года в новой редакции части 3 статьи 6, но не более). Да, как пишут коллеги по цеху (см., например, прекрасную презентацию Алексея Мунтяна, и он не одинок, и я с этим утверждением категорически согласен, но с одной оговоркой), позитивная обязанность, позволяющая размещать такие базы данных за рубежом после первичной локализации ранее собранных персональных данных, трансформировалась в императивный запрет размещать вне России базы с собранными персональными граждан Российской Федерации.

Но! Оговорка: этот запрет, как и ранее обязанность, распространяется только на сбор персональных данных и никоим образом не затрагивает дальнейшую их обработку. Нет в тексте закона слов о запрете последующей трансграничной передаче собранных данных.

А законы надо читать буквально, как учит нас право и Роскомнадзор (например, в Научно-практическом комментарии к закону: «При буквальном толковании (применяемом в правоприменительной практике «по умолчанию»)). Нет там запрета. И быть не может. Данные, собираемые туристическими компаниями или международными перевозчиками, не могут не подвергаться трансграничной передаче иначе как наложением полного запрета на ее осуществление в принципе. А это совсем другая реальность.

Вопрос может быть поставлен о полном переносе собранной базы данных за рубеж, но и это из области домыслов. Сбор оператором никогда не прекращается. Принимаются и увольняются работники, заключаются и прекращают действие договоры с клиентами, начинаются и заканчиваются промоакции и так далее. Какая база и в какой момент полная? Но и этого в новой редакции тоже нет.

При этом многие из коллег ссылаются на два комментария к закону – аппарата вице-премьера Дмитрия Григоренко, сенатора Артема Шейкина, депутата Сергея Боярского и других высокопоставленных чиновников и избранников:

«В аппарате Григоренко пояснили, что поправки уточняют «обязанности операторов связи осуществлять обработку персональных данных граждан РФ с использованием различных баз данных исключительно на территории РФ»»,

«Сенатор Артем Шейкин сообщил ТАСС, что теперь за рубежом не должно быть даже копий баз с данными россиян. Те компании, которые вели запись, систематизацию, накопление, хранение данных в зарубежных базах, должны использовать инфраструктуру, расположенную в РФ»,

«Смысл поправки в том, что базы с содержанием ПД наших граждан должны находиться на территории исключительно нашей страны и не иметь копий вне ее территории, за исключением данных дипломатических работников и сотрудников российских СМИ, которые работают за рубежом», — сообщил Forbes глава комитета Госдумы по информполитике Сергей Боярский. 

Вы видели в тексте закона слово «копия»? Требование об обработке исключительно не территории России? Я – нет. Наверно, мы читали разные законы. Но я другого не знаю. При всем глубоком уважение к цитируемым выше лицам они источником права не являются. И не являются ни представителями регуляторов в сфере персональных данных, ни представителями правоприменителей. А свое частное мнение, безусловно, может высказывать каждый. Как и я в этом посте, например.

И еще два вопроса в связи с принятием новой редакции закона.

Первый. Определения сбора в законе по-прежнему нет (и это очень плохо). И регулятор (Минцифры), и правоприменитель (Роскомнадзор) еще в 2015 году, комментируя новшество о локализации, высказывали мнение (письменно, на своих официальных сайтах), что сбор персональных данных – это получение данных непосредственно от субъекта (при большом желании найти эти комментарии на сайтах еще можно, но не очень просто). Утверждение более чем спорное (снова отправляю жаждущих знаний к презентации А. Мунтяна, там про сбор очень подробно и доходчиво), но если жить в этой парадигме, то компиляция новой базы из ранее собранных данных вообще сбором не является, и на нее требования новой редакции части 5 статьи 18 вообще не распространяется. И возможности оператора использовать зарубежные ресурсы для обработки персональных данных ограничены только возможными последствиями уведомления Роскомнадзора (а заодно ФСБ, Минобороны и МИДа) о трансграничной передаче.   

И второй. Требования о локализации по-прежнему не распространяется на сбор данных с целями, предусмотренными законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (т.е. сбор данных для кадрового, бухгалтерского, налогового, воинского учета можно вести сразу в зарубежную базу данных), участия в судопроизводстве, оказания государственных и муниципальных услуг (т.е. собирать данные в ЕСИА через Google Forms) и для профессиональной деятельности СМИ и журналистов. Это было и 10 лет назад за гранью моего понимания (я писал об этом в своем блоге здесь и здесь, например, и не только), остается там же и теперь . Про госуслуги особенно удивительно, поскольку с того же 2015 года (но с 1 июля, а не сентября) действует норма части 2.1 статьи 13 закона «Об информации, информационных технологиях и о защите информации», в соответствии с которой все технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или государственными и муниципальными учреждениями, должны размещаться на территории Российской Федерации. Почти десять лет это полное противоречие живет в российских законах, и, похоже, исправлять его никто не собирается.

Грустно все это…