Хранение и обработка персональных данных

Федеральный закон №152-ФЗ от 27.07.2006 «О персональных данных» (с изменениями, внесенными Федеральным законом №242-ФЗ от 22.07.2014)

Ч.5 ст.18 - При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

ч.1 ст.6 ФЗ №152 - Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

п.2 - обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

п.3 - обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

п.4 - обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

п.8 - обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

ВЫВОД ИЗ ЗАКОНА: если обработка персональных данных (в т.ч. сбор) осуществляется не в указанных выше целях, предусмотренных ч.1 ст.6 ФЗ №152, то на нее распространяется требование ч.5 ст.18 указанного ФЗ о нахождении баз данных с соответствующими персональными данными на территории РФ.

В отношении указанного вопроса существует ряд позиций государственных органов, которые противоречат друг другу:

Позиция Государственно-правового управления Президента РФ.

«Запрещено все, что прямо не разрешено законом», а именно:

• Базы данных должны находиться только в РФ.

• Дублирующие базы данных (имеются ввиду расположенные за рубежом) или актуальные копии данных в ФЗ №242 не упомянуты => запрещены.

• Запреты из ФЗ №242 распространяются в т.ч. и на персональные данные, ранее находящиеся за пределами РФ (т.е. до вступления в силу ФЗ №242). 

Позиция Роскомнадзора

• Формирование и актуализация баз данных с персональными данными российских граждан должны осуществляться на территории РФ. Требования Закона № 242-ФЗ не позволяют осуществлять отдельные процедуры, в том числе «хранение персональных данных» в базах данных на территории иностранного государства.

• Каждый случай, в котором при сборе персональных данных будет осуществляться одновременное хранение баз данных на территории РФ и иностранного государства, будет являться нарушением Закона № 242-ФЗ, поскольку оператор при сборе персональных данных допустит их хранение в базах данных за пределами РФ. После сбора персональных данных, т.е. после формирования баз данных на территории РФ, недопустимо изменение условий ее хранения путем переноса баз данных на территорию иностранного государства.

• Нормы Закона № 152-ФЗ не применяются за пределами территории РФ. Зарубежная обработка персональных данных регулируется нормативными правовыми актами тех стран, в которых она осуществляется.

ВАЖНО: Роскомнадзор не упоминает о наличии обратной силы Закона №242, однако, вследствие схожести позиций с ГПУ Президента РФ, можно предположить, что требования распространяются в т.ч. на базы данных за рубежом, существовавшие до вступления Закона в силу.

Кроме того, разъяснения Роскомнадзора не являются официальными разъяснениями.

Позиция Минкомсвязи

«Разрешено все, что не запрещено законом», а именно:

• Субъект персональных данных имеет право дать согласие на обработку своих персональных данных и предоставить их любому юридическому или физическому лицу, находящемуся как на территории РФ, так и за ее пределами.

• Информационная система персональных данных может обладать географически распределенной структурой. Часть ее элементов может находиться за пределами РФ.

• Применение дублирующих баз данных, находящихся на территории РФ или за ее пределами, прямо не запрещено действующим законодательством РФ.

• Закон № 242-ФЗ обратной силы не имеет. Следовательно, его положения не распространяются на правоотношения с иностранными лицами, ведущими базы данных с персональными данными, оформленные до 1 сентября 2015 г.

• Обработка персональных данных для целей, не предусмотренных международным договором РФ или законом, может быть осуществлена оператором в рамках исполнения требований, предусмотренных ч. 5 ст. 18 Закона № 152-ФЗ, путем размещения в центрах обработки данных на территории РФ БД, содержащей персональные данные граждан РФ, большего размера или аналогичного объему персональных данных, передаваемому на территорию иностранного государства.

В данном контексте следует указать действия, которые могут быть совершены лицом, обладающим персональными данными:

1. Перенос баз данных целиком на территорию РФ. Риск – минимальный, поскольку выполняется наиболее жесткое требование.

2. Обезличивание персональных данных, передаваемых в зарубежные базы данных. Риск – высокий, поскольку требование об отсутствии зарубежных баз данных (поддерживаемое рядом государственных органов) не выполняется.

3. Отказ от обработки персональных данных с помощью резидента РФ.  Сбор, систематизация и хранение персональных данных осуществляется с помощью организации за пределами РФ. Такая компания не подпадает под российскую юрисдикцию. Риск – средний. С одной стороны указанный способ соответствует позициям Роскомнадзора и Минкомсвязи, с другой стороны могут возникнуть сложности в части обоснования передачи персональных данных зарубежным операторам (в том числе от самих субъектов персональных данных).

4. Промежуточная база данных в РФ. Данный способ подразумевает создание на территории РФ промежуточной информационной системы или базы данных с целью хранения, уточнения, удаления собираемых в России персональных данных и их последующей передачи для обработки другому оператору, в том числе за границу. Процессы в зарубежных системах, связанные с последующей обработкой персональных данных, сохраняются неизменными или адаптируются для автоматического использования данных из России. Риск – низкий.

Уведомление в Роскомнадзор

Ч.2 ст. 22 ФЗ №152

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

ВЫВОД: в указанной ситуации, если есть соответствие по указанным пунктам, уведомление в Роскомнадзор подавать не нужно. В остальных случаях уведомление подается в установленном порядке.

Источник: Пресс-центр Группы «ДЕЛОВОЙ ПРОФИЛЬ», ФСС «Финансовый директор»