Нас уже выбрали:
ВТБ,
МСА Сейфети,
Китайская корпорация инжиниринга САМС,
Хенкель,
Ашан,
SBI,
ОБИ,
AE Industry GmbH,
DNV GL,
Brack capital real estate,
AUGER AUTOTECHNIK,
Все клиенты
Прайм Лигал / Консультации / Нужно ли переносить сервер в Россию при обработке персональных данных граждан РФ?
опубликовано:

Нужно ли переносить сервер в Россию при обработке персональных данных граждан РФ?

Часть 5 статьи 18 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Закон 152-ФЗ) обязывает осуществлять запись, систематизацию, накопление, хранение, уточнение, извлечение ПД граждан РФ с использованием баз данных, находящиеся в РФ. При этом данная норма запрещает обработку ПД за пределами РФ в целом, а лишь устанавливает такой запрет на сбор ПД (запись, систематизацию, накопление, хранение, уточнение, извлечение).

При этом данная норма не затрагивает использования, передачи, обезличивания, блокирования, удаления, уничтожения ПД. Таким образом, при буквальном толковании положений Закона 152-ФЗ можно сделать вывод, что они не распространяются на дальнейшую передачу ПД за пределы РФ.

Аналогичная позиция изложена в разъяснениях Минкомсвязи по вопросу о соотношении требования о локализации отдельных процессов обработки персональных данных с положениями о трансграничной передаче персональных данных https://digital.gov.ru/ru/personaldata

В частности, Минкомсвязи разъяснил, что изменения в Закона 152-ФЗ, не затронули положений закона о трансграничной передаче данных. Соответственно передача персональных данных за пределы Российской Федерации возможна, как и ранее, с соблюдением условий, указанных в ст. 12 ФЗ «О персональных данных».

Тем самым требование о локализации отдельных процессов обработки персональных данных, содержащееся в ч. 5 ст. 18 ФЗ «О персональных данных», следует толковать в системном единстве с положениями статьи 12 о трансграничной передаче данных и с учетом определения данного понятия.

Таким образом, персональные данные гражданина Российской Федерации, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней («первичная база данных»), могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных.

Такие вторичные базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр. При этом при передаче персональных данных за границу иному оператору ответственность за действия, совершаемые в отношении переданных персональных данных, несет такой оператор в соответствии с применимым к нему законодательством. Предоставление удаленного доступа к базам данных, находящихся на территории Российской Федерации, с территории другого государства ФЗ-242 не запрещается.

Таким образом, первоначально ПД должны попадать в российские БД, а в дальнейшем эти ПД можно передавать на зарубежные сервера с соблюдением требований о трансграничной передаче.

Параллельный ввод собранных персональных данных в российскую информационную систему и систему, находящуюся за пределами РФ, на территории иностранного государства

Закон не раскрывает, каким образом может осуществляться трансграничная передача. Вместе с тем, в Комментарии к Федеральному закону от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» Роскомнадзор согласился с позицией Минкомсвязи (https://pd.rkn.gov.ru/library/p195/).

При этом Роскомнадзор занял позицию, что параллельный ввод собранных персональных данных в российскую информационную систему и систему, находящуюся на территории иностранного государства, не отвечает требованиям комментируемой нормы, поскольку после сбора посредством российской информационной системы указанные сведения могут быть переданы в иностранную информационную систему только посредством трансграничной передачи.

Иными словами, по мнению Роскомнадзора вторичная база данных не может формироваться одновременно с первичной.

Вас может заинтересовать: Особенности обработки персональных данных в РФ иностранными компаниями

Читайте также


Юридические услуги онлайн