Локализация персональных данных россиян: последние новости
12.08.2015
Юридическая фирма Goltsblat BLP напоминает о вступлении в силу 1 сентября 2015 г. федерального закона №242-ФЗ, вносящего поправки в ФЗ "О персональных данных", которые обязывают компании обеспечить при сборе персональных данных россиян их обработку с использованием баз данных, расположенных на территории РФ.
Данные поправки вызвали множество вопросов и активно обсуждались экспертным сообществом, бизнесом и отдельными представителями государственных органов на протяжении более года. Все это время ожидалось принятие нормативных актов и/или опубликование официальной позиции регуляторов, которые могли бы окончательно прояснить ситуацию.
В начале августа 2015 г. Минкомсвязь России запустило "горячую линию" по персональным данным с ответами на наиболее часто задаваемые вопросы и формой для направления обращений http://www.minsvyaz.ru/ru/personaldata/.
В частности, ведомство выразило свою позицию по следующим наиболее острым вопросам исполнения нового требования:
Действие по кругу лиц: требование о локализации должны исполнять:
российские компании;
иностранные компании, имеющие в РФ официальные представительства/филиалы;
иностранные компании, не имеющие официального присутствия в РФ, но ведущие бизнес через Интернет, который направлен на территорию РФ (о чем, например, может свидетельствовать использование доменных имен .ru, .рф; наличие русскоязычной версии сайта; возможность осуществлять расчеты в рублях; использование рекламы на русском языке и пр.);
закон не имеет экстерриториального действия и не распространяется на нерезидентов, собирающих персональные данные россиян за границей (если они не ведут деятельность в Интернете, направленную на РФ);
Действие во времени: требование о локализации распространяется на персональные данные, собранные или обрабатываемые после 1 сентября 2015 г. (если данные были собраны до 1 сентября 2015 г. и больше не обрабатываются, на такие «архивные» базы данных требование не распространяется);
Определение гражданства субъекта: каждый оператор может самостоятельно выбрать способ определения гражданства субъекта персональных данных. По умолчанию требование о локализации распространяется на персональные данные, собранные на территории РФ;
Способ исполнения требования:
сбор, запись, систематизация, накопление, хранение, уточнение, извлечение данных должны, в первую очередь, осуществляться с использованием базы данных в РФ, все остальные действия могут осуществляться за границей;
база данных может быть в любой форме, в том числе бумажной, поэтому требование о локализации будет исполнено, если в РФ в бумажном виде хранятся персональные данные, которые затем в электронном виде передаются за границу;
обработка данных может осуществляться за границей, если база в РФ содержит больший объем персональных данных или равный находящемуся за пределами РФ (недопустимо нахождение за пределами РФ данных, которые одновременно не находятся в РФ);
Предусмотренные исключения::
обработка персональных данных работников может быть исключена из сферы действия требования о локализации (на основании ч. 1 ст. 6 ФЗ «О персональных данных»), как обработка, необходимая для осуществления возложенных законодательством на оператора функций, полномочий и обязанностей), однако, корректность такой квалификации в каждом конкретном случае будет проверяться Роскомнадзором;
o требование о локализации распространяется на данные, полученные при целенаправленном сборе от субъектов персональных данных (т.е. оператор не должен предпринимать никаких действий в отношении персональных данных, случайно к нему попавших, например, по электронной почте, или в отношении полученных им от другого юридического лица контактных данных работников, необходимых для осуществления деятельности).
Позицию Минкомсвязи России, как ведомства, уполномоченного осуществлять функции по выработке и реализации государственной политики в области персональных данных, безусловно, необходимо учитывать при определении способов исполнения новых правил с 1 сентября 2015 г.
Тем не менее, необходимо помнить, что ведомством, фактически уполномоченным проверять исполнение законодательства о персональных данных, является Роскомнадзор и его позиция по обозначенным вопросам может отличаться от позиции Минкомсвязи.
Goltsblat BLP продолжит мониторить появление дополнительных разъяснений, в том числе от Роскомнадзора, и информировать своих клиентов о них.
Контакты
По всем вопросам, связанным с публикациями, новостями и пресс-релизами, пожалуйста, обращайтесь:
Получайте новости об изменениях в законодательстве с экспертными комментариями наших юристов и обзоры актуальных юридических вопросов в соответствии с теми областями права, которые представляют для вас интерес.
Этот сайт использует файлы cookie, чтобы помочь нам сделать его более полезным для посетителей. Наша политика конфиденциальности объясняет, что это такое и как мы их используем. Пожалуйста, возможно, у вас есть ваше согласие на использование?