В свете последних изменений я советую руководителям и собственникам предприятий проконтролировать работу своих юристов по двум ключевым направлениям: проверка на соответствие законодательству процессов обработки персональных данных в самой организации и контрагентов в рамках действующих или вновь заключаемых договоров на предмет соблюдения ими запрета на хранение персональные данные на зарубежных серверах.
В июле вступили в силу изменения в федеральный закон № 152‑ФЗ «О персональных данных», которые посвящены обработке персональных данных (ПДн) российских граждан с помощью зарубежной инфраструктуры.
Ранее действовавшая формулировка части 5 статьи 18 Закона № 152‑ФЗ содержала в себе обязанность оператора ПДн обеспечить «запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение» ПДн с использованием баз данных на российской территории. Теперь формулировка стала жестче — совершение любых вышеуказанных действий с ПДн российских граждан с помощью иностранных баз данных не допускается.
• Дублирование баз данных в России и за рубежом
Прежде многие организации дублировали содержание иностранных баз данных на российских серверах. Возможность параллельной записи данных косвенно подтверждалась Разъяснениями Минкомсвязи России от 25.08.2015, согласно которым отсутствовал «общий запрет обработки персональных данных граждан Российской Федерации с использованием баз данных, не находящихся на территории Российской Федерации». Теперь подобное дублирование могут признать нарушением запрета, так что российским операторам ПДн придется перейти на использование исключительно российских решений.
• Трансграничная передача ПДн после их сбора в России
Если оператор передает собранные в России ПДн на собственный зарубежный сервер, Роскомнадзор может трактовать это как нарушение запрета, так как эти действия могут восприниматься как косвенно связанные со сбором ПДн. Однако трансграничная передача данных по‑прежнему разрешена — если данные будут передаваться на иностранный сервер третьего лица, и если оператор выполнил обязанности, предусмотренные статьей 12 Закона № 152‑ФЗ, среди которых фигурирует подача в Роскомнадзор уведомления о передаче.