ЭЛКОД: Возник вопрос трансграничной передачи персональных данных, т.е. согласно закону, оператор персональных данных обязан локализовать все данные на территории РФ

Возник вопрос трансграничной передачи персональных данных, т.е. согласно закону, оператор персональных данных обязан локализовать все данные на территории РФ, также есть пункт о том что они могут передавать данные за границу, например в головную компанию в Германию. Получается, что передача данных делает головную компанию оператором персональных данных и им по закону, необходимо передать эти персональные данные опять в РФ, т.е. получается замкнутый круг. Действительно ли это необходимо?

Главное

Исходя из проанализированного законодательства, а также выражая экспертное мнение, полагаем, что в случае трансграничной передачи персональных данных, допустим, от филиала в головную компанию, последняя не обязана соблюдать требование о локализации, так как она не осуществляет сбор персональных данных субъекта. 

Вместе с тем, для того, чтобы оператор персональных данных выполнил требования о локализации и беспрепятственно осуществлял трансграничную передачу персональных данных в иностранную компанию, полагаем необходимым создать базу данных на территории РФ, а далее уже передавать/копировать на территорию иностранного государства. 

Обоснование

Локализация персональных данных: теория

Начнем с вопросов локализации. Для этого откроем ч. 5 ст. 18 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Закон N 152-ФЗ). При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за рядом довольно редких исключений, которые вы можете найти в Законе N 152-ФЗ.

Данное требование оставляет больше вопросов, чем ответов. Для того чтобы понять, что же нам с этим делать, нам как минимум нужно знать, что такое сбор персональных данных, что такое база персональных данных, и возникают некоторые другие вопросы.

Начнем со сбора персональных данных. Прежде всего отметим, что в Законе N 152-ФЗ этот термин не определен, а значит, нам придется смотреть материалы, публикуемые надзорными органами в качестве своих комментариев и неофициальных разъяснений. В частности, на сайте Роскомнадзора можно обнаружить аналитический обзор, касающийся вопросов локализации. В аналитическом обзоре сказано, что сбор персональных данных – это процесс получения персональных данных непосредственно от субъекта персональных данных или его представителя. То есть сбор осуществляется в тот момент, когда оператор персональных данных получает персональные данные от субъекта или представителя субъекта. Также сбор будет происходить, если оператор персональных данных поручил обработку другому лицу, и лицо, действующее по поручению оператора (то есть некий подрядчик), собирает данные у субъектов персональных данных. Получается, что в этих случаях требование о локализации должно быть выполнено.

В тех же случаях, когда один оператор персональных данных передал данные другому оператору, второй оператор не должен отвечать за выполнение требования о локализации, потому что он не производил сбор персональных данных. Он уже получил ранее собранные данные от первого оператора. Например, это часто происходит в международных компаниях или в больших группах компаний, состоящих из многих юридических лиц. Каждое юридическое лицо может быть оператором персональных данных, и когда одно юридическое лицо передает данные своей аффилированной компании, эта аффилированная компания за выполнение требований о локализации уже отвечать не должна.

Понятие «база данных» также не относится к числу простых. База данных в российском законодательстве встречается очень часто и имеет много определений, но в области персональных данных под базой данных обычно понимают просто упорядоченный массив информации, независимо от формы, в которой он существует. То есть базой данных необязательно может быть компьютерная база. Допустим, бумажная картотека с личными делами работников также вполне может быть базой данных. Файл Excel, где в систематизированном виде содержатся персональные данные, тоже может рассматриваться в качестве базы данных. То есть все перечисленное может быть тем местом, куда мы сохраним собранные персональные данные для того, чтобы выполнить требование о локализации.

Локализация персональных данных: практика

Имея эти знания, перейдем в более практическую плоскость, а именно поговорим о том, как же требование о локализации должно выполняться. Здесь может быть специфика в зависимости от конкретного проекта. Чаще всего вопрос о выполнении требований о локализации встает при внедрении корпоративных систем в международных компаниях, например CRM-систем, кадровых систем (HR), систем по управлению предприятием. Все это обычно является облачными решениями, или если они даже не облачные, то основные серверы, используемые для этих систем, будут находиться за границей, а у российских дочерних компаний будет удаленный доступ к ним. В этих условиях может оказаться, что персональные данные, собираемые такими системами, будут попадать на иностранный сервер без сохранения в базе данных на территории России.

Второй случай касается интернет-сайтов. Например, в области электронной коммерции мы легко можем представить интернет-магазин с хостингом в иностранном государстве, который собирает данные о покупателях товаров и сразу же их сохраняет на иностранном хостинге. Все это делать нельзя исходя из требований о локализации.

Для того чтобы выполнить требование о локализации, необходимо обеспечить следующую последовательность действий. Прежде всего, нам нужно создать базу данных на территории России. Как я уже сказал, это может быть компьютерная база данных, это может быть целый сервер, это может быть и бумажная картотека, если это уместно (например, в случае с обработкой данных о работниках), могут быть варианты. Так или иначе база данных должна появиться на территории России. И когда это произойдет, оператор персональных данных должен уведомить Роскомнадзор о месте нахождения персональных данных. Потому что адрес ее местонахождения, а также сведения о том, кому принадлежит эта база, входят в перечень сведений, указываемых в уведомлении, подаваемом в Роскомнадзор (п. 10.1 ч. 3 ст. 22 Закона N 152-ФЗ).

Шаг два. Предположим, субъект персональных данных предоставляет информацию о себе. В случае с интернет-сайтом покупатель интернет-магазина оформляет заказ. В случае с корпоративной системой (допустим, по управлению персоналом) вносим в систему данные о новом работнике. В этой ситуации персональные данные, предоставляемые гражданином, должны быть вначале сохранены в базу данных на территории России, и там мы должны последовательно выполнить с данными те действия, которые предусмотрены в ч. 5 ст. 18 Закона N 152-ФЗ. Это очень логично. Мы их записываем, мы их накапливаем, систематизируем, на протяжении какого-то времени храним, даже если это несколько секунд, все равно это уже хранение. В итоге мы их извлекаем из российской базы и переходим к шагу три.

На шаге три персональные данные могут копироваться на территорию иностранного государства. То есть мы можем скопировать российскую базу данных и отправить ее на иностранный сервер, где установлено основное программное обеспечение и где ведется основная работа с персональными данными. На сайте Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации опубликованы разъяснения о том, как нужно выполнять требования о локализации. Так вот, в этих разъяснениях сказано, что вполне можно копировать персональные данные из российской базы в иностранную базу при условии, что эти данные не будут удаляться из российской базы. То есть в любой момент времени в российской базе данных должно быть персональных данных столько же или больше, чем мы отправили за границу.

После того как с данными произведены некие операции по их обработке на иностранном сервере, мы можем вернуть данные обратно на российский сервер для постоянного хранения или можем оставить эту копию прямо на иностранном сервере (еще раз, при условии, что в российской базе данных у нас содержатся те же самые данные).

Когда приходит время обновить персональные данные, мы следуем абсолютно той же последовательности: сохраняем наш, так сказать, апдейт вначале в российскую базу, а потом копируем в иностранную базу. Потому что при обновлении персональных данных, скорее всего, мы произвели сбор новых данных о субъекте персональных данных. Иначе как бы мы узнали, что пора их обновить?

Когда приходит время удалять персональные данные (они нам больше не нужны). Вначале персональные данные должны быть удалены с иностранных серверов, а потом, когда мы уже точно знаем, что оттуда их удалили, удаляем персональные данные из российской базы данных. Движение персональных данных по вот этой извилистой схеме, которую я описал, должно представлять собой единый бизнес-процесс. То есть целесообразно принять в организации инструкцию, положение или иной локальный нормативный акт, объясняющий, кто как и куда записывает персональные данные, какие действия с ними производятся и в какой последовательности. Вся эта цепочка должна быть наглядно показана, и соблюдение требований о локализации должно быть обязательно для всех работников. А как мы помним, для работников обязательно только то, что указано в их трудовых договорах и локальных нормативных актах, а также в распоряжениях их руководителей.

Вопрос о локализации персональных данных возникает при планировании многих IT-проектов. Чаще всего команда, которая работает по проекту, анализирует следующие варианты.

Вначале рассматривается вариант незаконный, то есть вариант, при котором при сборе персональных данных данные попадут на иностранный сервер, а потом будут скопированы в российскую базу данных, причем это может быть сделано практически мгновенно с технической точки зрения. Тем не менее такой вариант отметается, потому что он явно противоречит требованию о локализации. Данные сначала должны попасть в российскую базу, и лишь потом их можно будет скопировать на иностранный сервер.

Следующий вариант. Информационная система остается без изменений, но в организации принимается локальный нормативный акт, который обязывает работников, собирающих персональные данные, записывать эти персональные данные в российскую базу вручную, пусть даже и в файл Excel или в бумажную картотеку с личными делами. Такое обычно практикуется, когда внедряются международные системы кадрового делопроизводства. В принципе, этот вариант может быть законным, если локальный акт, принятый в организации, описывает всю процедуру с момента сбора данных до момента их попадания на иностранный сервер. В этом случае работники переносят данные руками – сначала в российскую базу, потом в иностранную, так же их и обновляют. Естественно, этот вариант может быть реализован, если в компании мало работников. А вот если необходимо работать с тысячами субъектов персональных данных, то этот вариант не получится реализовать по техническим причинам.

Следующий вариант предполагает создание в России сервера, куда данные будут записываться и дальше автоматически переноситься на основной процессинговый сервер, находящийся за границей. То есть единственная функция российского сервера будет заключаться в том, чтобы там лежали персональные данные граждан России. С ними один раз будут произведены те действия, которые указаны в ч. 5 ст. 18 Закона N 152-ФЗ. То есть это будет такое хранилище данных. А непосредственно обработка данных, выполнение с ними различных операций будут вестись за границей. Такое решение допустимо, но оно потребует определенных затрат и усилий с точки зрения IT, поскольку систему придется перенастраивать таким образом, чтобы внедрить в нее такой российский сервер.

Вариант подороже и посложнее, но зато более удобный, состоит в том, чтобы при внедрении международной информационной системы поставить один из серверов этой системы в России и обрабатывать персональные данные граждан России с использованием этого сервера. В таком случае иностранные сотрудники будут иметь доступ к этим данным, но они будут осуществлять доступ к российскому серверу. Такие варианты часто внедряются для крупных информационных систем, потому что они довольно дорогие.

Если все предыдущие варианты не получается реализовать, но при этом нужно использовать информационную систему, возможно поискать российский аналог такой системы. В этом случае российский офис международной компании покупает свою собственную информационную систему и использует. Для целей архивирования или иных бизнес-целей возможно будет копировать базы этой системы за границу в рамках трансграничной передачи данных. Такой вариант вполне можно реализовать, но в этом случае российский офис международной компании будет в техническом плане несколько отрезан от остальных офисов, что также неудобно.

Таким образом, резюмируя. Нужно помнить о требовании о локализации в рамках любых IT-проектов. Если в вашей компании собираются внедрять новую компьютерную систему, если ваш бизнес связан с интернетом и интернет-сайтами, вы должны всегда учитывать требования о локализации на старте проекта, чтобы создать под него необходимую техническую инфраструктуру. Если вы вспомните о соблюдении этого требования непосредственно перед запуском проекта, то ваш бизнес может застопориться, потому что вам уже на последних шагах придется заняться перестройкой или перенастройкой всей системы, которую вы разворачиваете. Если помнить о требовании о локализации своевременно и знать, как его выполнять, то возможно серьезно сократить бизнес-издержки.

В Приложении к ответу Вы найдете:

 

Записи мероприятий

Подборки

Справочная информация

Библиотека

Гид по разделу «Образование»