Правовые документы

Локализация персональных данных в 2025 году – грядут перемены

2025-07-01 17:57
Добрый день, друзья!
Хочу сегодня еще раз вернуться к теме персональных данных (ПД), от которой лихорадит абсолютно всех – от самозанятых до владельцев крупных корпораций. Но рассматривать уже вступившие в силу изменения я не стану: мое внимание привлекли нововведения, касающиеся запрета на хранение ПД за рубежом. Их вступление в силу уже на подходе – с 1 июля 2025 года и они вызывают немало вопросов, в которых мы и попробуем разобраться вместе.

Локализация персональных данных: о чем это

Еще 28 февраля 2025 года был опубликован Федеральный закон № 23-ФЗ, существенно меняющий систему работы с данными россиян. Также в нем черным по белому указан прямой запрет хранения ПД граждан РФ за рубежом и вступают эти изменения в силу буквально на днях - с 1 июля 2025 года. Как говорится, еще с новыми штрафами и нюансами обработки персональных данных не все разобрались, а тут очередная напасть – пора в срочном порядке думать, что можно и нельзя делать при хранении ПД.
Для того, чтобы наглядно показать вам изменения, я сравнил две редакции закона – текущую и новую. Смотрите таблицу и сразу многое станет понятным.
Текущая редакция ч.5 ст.18 ФЗ № 152
Новая редакция ч.5 ст.18 ФЗ № 152
При сборе персональных данных, в том числе посредством сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в пунктах 2,3,4,8 части 1 статьи 6 настоящего Федерального закона.
При сборе персональных данных, в том числе посредством сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на за пределами территории РФ, не допускаются, за исключением случаев, указанных в пунктах 2,3,4,8 части 1 статьи 6 настоящего Федерального закона.
Как видите, действующая редакция допускала возможности:
  • одновременно собирать данные в РФ и за рубежом;
  • создавать промежуточную базу данных в России.
В новой подобное исключено!
А значит под запрет попадает использование давно привычных всем иностранных сервисов аналитик Google или Meta, а также различные хостинги. Нарушение законодательных норм влечет за собой штрафные санкции в размере 6 млн рублей.
Кажется, что все предельно прозрачно, но вступающие в силу изменения могут иметь несколько вариантов интерпретации. Так что же нужно учесть и как правильно интерпретировать закон?
Идем дальше – расскажу!

К самой сути

В первую очередь важно понять, что нововведение охватывает не только операторов, но и обработчиков, работающих с ПД по поручению. К последним относят сервисы кадрового документооборота, облачные HR-системы и не только. В целом получается довольно внушительный пласт субъектов, которые пока не понимают, каким образом не попасть на штраф.
Как мы смогли заметить, в обсуждениях и спорах относительно новой редакции закона фигурируют следующие варианты толкований:
  • базы данных с ПД размещаются только в РФ без возможности последующей трансграничной передачи;
  • базы данных с ПД размещаются только в РФ с возможностью последующей трансграничный передачи;
  • базы данных с собранными ПД для первичной цели размещаются в РФ, за рубежом возможно размещение таких баз для «вторичной цели».
  • базы данных с ПД размещаются только в РФ, за рубежом возможно размещать базы со сгенерированным ПДн;
Под сгенерированными персональными данными понимаются данные, которые не были взяты у субъектов/их представителей напрямую. Они создавались иными способами. Например, синтезированы на основе анализа других данных или сформированы через совершаемые с субъектом действия.
Сразу скажу, что правоприменительной практики и разъяснений уполномоченных органов относительно этой темы пока нет, но первый подход, исключающий трансграничную передачу данных, все же считаю спорным. Ведь закон допускает ее в случае невозможности организовать бизнес-процессы иным способом с обязательным уведомлением Роскомнадзора.
Достаточно через портал Госуслуг уведомить РКН о трансграничной передаче данных с указанием всех стран, задействованных в процессе. Уведомление можно отправить и в бумажном формате по почте. Учтите, что законодатель выделяет разные типы стран, выделяя те, что обеспечивают адекватную защиту данных и те, что по мнению законодателя таковым требованиям не отвечают. При этом заранее уведомлять о намерении передавать на их территорию ПД в настоящий момент нужно в обоих случаях. Основная разница заключается в том, что в страны из второй категории что-либо передавать можно только после получения прямого согласия РКН.
Уже сейчас я могу сказать о тех ситуациях, которые скорее всего будут рассматриваться РКН как нарушение закона:
  1. Сбор данных в CRM-систему с российской базы данных с дальнейшим намерением организовать хранение собранных ПД в иностранной CRM-системе.
  2. Первоначально собранные данные введены в российскую информационную систему с последующим переносом в иностранную.
  3. Применение иностранных сервисов, включая email и мессенджеры, в качестве трансфера для доставки данных в базы, расположенные на территории РФ.

Стоит ли паниковать?

Изменения в правилах локализации ПД являются естественным продолжением уже хорошо прослеживаемого курса в сфере обработки персональных данных.Что действительно важно – не упускать из виду сами нововведения и разъяснения, которые дает по ним Роскомнадзор. Ну а для правильного понимания ситуации и грамотного применения законодательных норм рекомендую сверять свои выводы с экспертным мнением опытного юриста.
Одна такая консультация закрывает все ваши вопросы и выступает гарантом стабильной работы бизнеса вне зоны пристального внимания Роскомнадзора. А с учетом существенно подросших штрафов грамотный подход - прекрасная «почва» для роста и развития вашей компании!
______________________

* - организация Meta Platforms Inc. признана на территории РФ экстремистской и является запрещенной