Локализация персональных данных россиян: последние новости

Юридическая фирма Goltsblat BLP напоминает о вступлении в силу 1 сентября 2015 г. федерального закона №242-ФЗ, вносящего поправки в ФЗ "О персональных данных", которые обязывают компании обеспечить при сборе персональных данных россиян их обработку с использованием баз данных, расположенных на территории РФ.

Данные поправки вызвали множество вопросов и активно обсуждались экспертным сообществом, бизнесом и отдельными представителями государственных органов на протяжении более года. Все это время ожидалось принятие нормативных актов и/или опубликование официальной позиции регуляторов, которые могли бы окончательно прояснить ситуацию.

В начале августа 2015 г. Минкомсвязь России запустило "горячую линию" по персональным данным с ответами на наиболее часто задаваемые вопросы и формой для направления обращений http://www.minsvyaz.ru/ru/personaldata/.

В частности, ведомство выразило свою позицию по следующим наиболее острым вопросам исполнения нового требования:

• Действие по кругу лиц: требование о локализации должны исполнять:
  • российские компании;
  • иностранные компании, имеющие в РФ официальные представительства/филиалы;
  • иностранные компании, не имеющие официального присутствия в РФ, но ведущие бизнес через Интернет, который направлен на территорию РФ (о чем, например, может свидетельствовать использование доменных имен .ru, .рф; наличие русскоязычной версии сайта; возможность осуществлять расчеты в рублях; использование рекламы на русском языке и пр.);
  • закон не имеет экстерриториального действия и не распространяется на нерезидентов, собирающих персональные данные россиян за границей (если они не ведут деятельность в Интернете, направленную на РФ);
• Действие во времени: требование о локализации распространяется на персональные данные, собранные или обрабатываемые после 1 сентября 2015 г. (если данные были собраны до 1 сентября 2015 г. и больше не обрабатываются, на такие «архивные» базы данных требование не распространяется);
• Определение гражданства субъекта: каждый оператор может самостоятельно выбрать способ определения гражданства субъекта персональных данных. По умолчанию требование о локализации распространяется на персональные данные, собранные на территории РФ;
• Способ исполнения требования:
  • сбор, запись, систематизация, накопление, хранение, уточнение, извлечение данных должны, в первую очередь, осуществляться с использованием базы данных в РФ, все остальные действия могут осуществляться за границей;
  • база данных может быть в любой форме, в том числе бумажной, поэтому требование о локализации будет исполнено, если в РФ в бумажном виде хранятся персональные данные, которые затем в электронном виде передаются за границу;
  • обработка данных может осуществляться за границей, если база в РФ содержит больший объем персональных данных или равный находящемуся за пределами РФ (недопустимо нахождение за пределами РФ данных, которые одновременно не находятся в РФ);
• Предусмотренные исключения::
  • обработка персональных данных работников может быть исключена из сферы действия требования о локализации (на основании ч. 1 ст. 6 ФЗ «О персональных данных»), как обработка, необходимая для осуществления возложенных законодательством на оператора функций, полномочий и обязанностей), однако, корректность такой квалификации в каждом конкретном случае будет проверяться Роскомнадзором;
  • o требование о локализации распространяется на данные, полученные при целенаправленном сборе от субъектов персональных данных (т.е. оператор не должен предпринимать никаких действий в отношении персональных данных, случайно к нему попавших, например, по электронной почте, или в отношении полученных им от другого юридического лица контактных данных работников, необходимых для осуществления деятельности).

Позицию Минкомсвязи России, как ведомства, уполномоченного осуществлять функции по выработке и реализации государственной политики в области персональных данных, безусловно, необходимо учитывать при определении способов исполнения новых правил с 1 сентября 2015 г.

Тем не менее, необходимо помнить, что ведомством, фактически уполномоченным проверять исполнение законодательства о персональных данных, является Роскомнадзор и его позиция по обозначенным вопросам может отличаться от позиции Минкомсвязи. 

Goltsblat BLP продолжит мониторить появление дополнительных разъяснений, в том числе от Роскомнадзора, и информировать своих клиентов о них.