Журнал "Директор по безопасности" Апрель 2020 | Page 24

ПРАВО
Локализация
персональных
данных
АЛЕКСАНДР БЫЧКОВ,
начальник юридического отдела
ЗАО «ТГК «Салют»
В последнее время вопрос соблюде-
ния законодательства о персональных
данных приобрел особую актуаль-
ность. Такой интерес обусловлен в
первую очередь широким резонансом
дел в отношении иностранных соци-
альных сетей, связанных с локализа-
цией, то есть обеспечением хранения
персональных данных российских
граждан в базах данных на террито-
рии Российской Федерации.
О
бязанность локализации пер-
сональных данных была введе-
на Федеральным законом от
21.07.2014 г. № 242-ФЗ «О внесении из-
менений в отдельные законодательные
акты Российской Федерации в части
уточнения порядка обработки персо-
нальных данных в информационно-те-
лекоммуникационных сетях», который
вступил в силу с 01.09.2015 г. Также ука-
занным законом были внесены изме-
нения в Закон об информации 1 в части
установления возможности ограниче-
ния доступа к Интернет-ресурсам в свя-
зи с нарушением законодательства о
персональных данных.
Сразу после внесения изменений
последовал судебный процесс в от-
ношении LinkedIn Corporation: Реше-
нием Таганского районного суда от
04.08.2016 г. по делу № 33-38783/2016,
оставленным без изменения Опреде-
лением Московского городского суда
от 10.11.2016 г., деятельность Интер-
нет-ресурсов LinkedIn по сбору, ис-
пользованию и хранению персональ-
ных данных граждан Российской
Федерации признана нарушающей
требования Закона о персональных
данных 2 , на Роскомнадзор возложена
обязанность по ограничению доступа
к указанным интернет-ресурсам.
Изменения в КоАП об установле-
нии многомиллионных штрафов за на-
рушение обязанности по локализации,
вступившие в силу в декабре прошлого
года 3 , инициирование процессов в от-
ношении Facebook, Inc. и Twitter, Inc.
повлекли за собой новую волну вни-
мания к локализации.
В соответствии с ч. 5 ст. 18 Закона о
персональных данных при сборе пер-
сональных данных, в том числе посред-
ством информационно-телекоммуни-
кационной сети Интернет, оператор
обязан обеспечить запись, систематиза-
цию, накопление, хранение, уточнение
(обновление, изменение), извлечение
персональных данных граждан Россий-
ской Федерации с использованием баз
данных, находящихся на территории
Российской Федерации.
Понятие сбора
Конституирующим признаком для ис-
полнения обязанности по локализации
персональных данных является сбор.
Если сбор персональных данных не
осуществляется, требование о локали-
зации не применяется. В связи с этим
важное значение приобретает опреде-
ление понятия сбора.
Согласно разъяснениям Минком-
связи России 4 под сбором понимается
целенаправленный процесс получения
персональных данных оператором не-
посредственно от субъекта персональ-
ных данных либо через специально
привлеченных для этого третьих лиц.
Соответственно, по субъектному со-
ставу сбор имеет место только в двух
случаях:
оператор получает персональные
данные непосредственно от субъекта
персональных данных;
оператор получает персональные
данные от лица, которому оператор
дал поручение на обработку персо-
нальных данных.
В ситуации, когда оператор привле-
кает третьих лиц для обработки персо-
нальных данных, именно оператор яв-
ляется ответственным лицом и должен
локализовать персональные данные
на территории России.
Если сбор персональных
данных не осуществляется,
требование о локализации
не применяется
Таким образом, если оператор по-
лучает персональные данные от дру-
гого оператора в процессе передачи,
трансграничной передачи, у получаю-
щего оператора не возникает обязан-
ности по локализации персональных
данных. В то же время, передающий
оператор не только обязан локализо-
вать персональные данные, но и под-
держивать базу данных, содержащую
переданные персональные данные в
объеме большем или равном тому, что
хранится в зарубежной базе. Однако в
случае если, например, передающий
оператор будет ликвидирован, то пер-
сональные данные, хранящиеся в рос-
сийской базе, будут уничтожены в связи
ликвидацией оператора, являющейся
основанием для прекращения хране-
ния. Соответственно, цель локализа-
ции достигнута не будет. На этот случай
правовое регулирование отсутствует.
Вместе с тем, очевидно, что получаю-
щего оператора, не осуществляюще-
го сбор персональных данных, нельзя
понудить локализовать персональные
данные и нельзя привлечь к ответ-
ственности. Следует особо обратить
внимание, что приведенный пример
касается двух самостоятельных опера-
торов, а не оператора и лица, осущест-
вляющего обработку по поручению.
Другой составляющей понятия сбо-
ра является целенаправленность де-
ятельности. Согласно комментарию
Роскомнадзора 5 локализации подле-
жат только те персональные данные,
которые были получены оператором
в результате осуществляемой им це-
ленаправленной деятельности по ор-
ганизации сбора таких данных, а не в
результате случайного (незапрошен-
ного) попадания к нему персональ-
ных данных, например, вследствие
получения писем по электронной или
иной почте, в которых содержатся
персональные данные. Аналогичным
образом, не является сбором получе-
ние одним юридическим лицом пер-
сональных данных от другого юри-
дического лица, если такие данные
представляют собой контактную ин-
формацию работников или предста-
вителей такого юридического лица,
переданную в ходе осуществления ими
своей законной деятельности.
Понятие базы данных
Требование о локализации означает,
что сбор персональных данных должен
осуществляться с использованием баз
данных, находящихся в России.
Под базой данных понимается упо-
рядоченный массив данных, независи-
мый от вида материального носителя
информации, и используемых средств
его обработки (архивы, картотеки,
электронные базы данных). При этом
по мнению Роскомнадзора 6 , таблицы в
формате excel или word, содержащие
персональные данные граждан так-
же считаются базами данных. Приме-
нительно к бумажным базам данных
локализация означает их физическое
нахождение в России, применительно
к электронным базам – физическое на-
хождение сервера в России.
В связи с возможным хранением
персональных данных, как в бумаж-
ном, так и электронным виде, интерес
представляет вопрос, будет ли считать-
ся нарушением обязанности по локали-
зации, хранение персональных данных
на бумажных носителях в России при
последующем внесении указанных све-
дений в электронную базу персональ-
ных данных, размещенную за рубежом.
И Роскомнадзор 7 , и Минкомсвязи
России 8 пояснили, что такие действия
будут признаваться нарушением. Ос-
новополагающим принципом законо-
дательства в области персональных
данных, как указывают государствен-
ные органы, является принцип, соглас-
но которому обработка персональных
данных должна ограничиваться дости-
жением конкретных, заранее опреде-
ленных и законных целей. В связи с
этим внесение персональных данных в
информационную систему персональ-
ных данных, используемую в целях,
аналогичных сбору данных на бумаж-
ных носителях, следует рассматривать
как единый процесс. Таким образом,
отдельные виды обработки персональ-
ных данных, в том числе сбор персо-
нальных данных на бумажных носи-
телях с последующим их внесением
в электронную базу данных, должны
осуществляться как единый процесс в
правовом поле законодательной нор-
мы, обязывающей хранить персональ-
ные данные на территории Российской
Федерации.
Важно учитывать, что для соблюде-
ния обязанности по локализации пер-
сональных данных компания должна
обеспечить их первичное нахождение
и последующую актуализацию в базах
данных на территории Российской Фе-
дерации, последующее перенесение в
базу данных за рубежом не будет яв-
ляться нарушением рассматриваемой
обязанности.
Параллельное функционирование
баз данных, находящихся на террито-
рии России и иностранного государства,
параллельный ввод собранных персо-
нальных данных в российскую базу и
иностранную базу, согласно ранее упо-
мянутым разъяснениям Минкомсвязи
России и Роскомнадзора, является не-
допустимым. Передача персональных
данных на территорию иностранного
государства может осуществляться толь-
ко после формирования, сбора и хране-
ния этих данных на территории России.
База данных, находящаяся на террито-
рии иностранного государства, может
актуализироваться, систематизировать-
ся, обновляться только после проведе-
ния соответствующей процедуры на
территории России и передачи обнов-
ленных данных посредством трансгра-
ничной передачи.
При этом база данных в России
должна содержать больший объем
персональных данных или равный на-
ходящемуся за пределами России. Не-
допустимо нахождение за пределами
России персональных данных, которые
одновременно не находятся в России.
Действия, не требующие
локализации
Как следует из ч. 5 ст. 18 Закона о пер-
сональных данных, не любое действие
по обработке персональных данных
требует локализации. Обязанность
локализации возникает только при
сборе, записи, систематизации, нако-
плении, хранении, уточнении (обнов-
лении, изменении), извлечении персо-
нальных данных граждан Российской
Федерации. Соответственно, такие
действия, как использование, пере-
дача (распространение, предостав-
ление, доступ), обезличивание, бло-
кирование, удаление и уничтожение
не требуют локализации. Поскольку
действия по обработке персональных
данных являются взаимосвязанными,
трудно представить себе, например,
удаление и уничтожение персональ-
ных данных без их сбора и хранения.
В этой связи актуальными примени-
тельно к вопросу о локализации яв-
ляются действия по использованию и
доступу. В качестве примера исполь-
зования можно привести процесс по-
лучения на основе имеющихся персо-
нальных данных новых персональных
данных, например, размер вознаграж-
дения работника по бонусной про-
грамме при достижении KPI можно
считать персональными данными, не
требующими локализации. Также, на-
пример, если иностранная компания
обрабатывает персональные данные
посредством удаленного доступа, она
не обязана их локализовывать.
Исключения из обязанности
локализации
Обязанность по локализации является
общим правилом для операторов, из
которого вместе с тем существуют ис-
ключения. Согласно ч. 5 ст. 18 Закона о
персональных данных локализация не
требуется в случаях, указанных в п. 2,
3, 4 и 8 ч. 1 ст. 6 указанного закона, а
именно, если обработка необходима:
для достижения целей, предусмо-
тренных международным договором
Российской Федерации или законом,
для осуществления и выполнения воз-
ложенных законодательством Россий-
ской Федерации на оператора функ-
ций, полномочий и обязанностей;
в связи с участием лица в конститу-
ционном, гражданском, административ-
ном, уголовном судопроизводстве, су-
допроизводстве в арбитражных судах;
для исполнения полномочий госу-
дарственных и муниципальных органов;
для осуществления профессио-
нальной деятельности журналиста
и (или) законной деятельности СМИ
либо научной, литературной или иной
творческой деятельности при условии,
что при этом не нарушаются права и
законные интересы субъекта персо-
нальных данных.
Так, как особо пояснило Минкомсвя-
зи России 9 , требование о локализации
не распространяется на деятельность
российских, а также иностранных авиа-
перевозчиков в части сбора и обработ-
ки персональных данных граждан-пас-
сажиров для целей бронирования,
оформления и выдачи им авиабилетов
(проездных билетов), багажных квитан-
ций и иных перевозочных документов,
так как такая обработка необходима
для достижения целей, предусмотрен-
ных международными конвенциями в
области авиаперевозок (в частности,
Чикагской конвенцией, Варшавской кон-
венцией и Гваладахарской конвенцией),
а также Воздушным кодексом Россий-
ской Федерации.
Касательно исключения в отноше-
нии СМИ и журналистов необходимо
понимать, что таковыми признаются
только лица, определенные в Законе
Российской Федерации от 27.12.1991 г.
№ 2124-1 «О средствах массовой ин-
формации». Кроме того, сбор и об-
работка персональных данных без
локализации возможны только в слу-
чае, если они не нарушают прав и ин-
тересов субъекта персональных дан-
ных. Однако, как показывает судебная
практика, нарушение указных прав
СМИ доказывается крайне редко.
На кого распространяется
требование о локализации?
Рисковые зоны
Обязанность по локализации должен
соблюдать каждый оператор, то есть
любое лицо, осуществляющее обра-
ботку персональных данных, а также
определяющее цели обработки персо-
нальных данных, состав персональных
данных, подлежащих обработке, дей-
ствия (операции), совершаемые с пер-
сональными данными.
Операторами, к которым приме-
няется Закон о персональных данных,
являются не только российские госу-
дарственные и муниципальные орга-
ны, физические и юридические лица,
но также и иностранные при наличии
представительств на территории Рос-
сии и/или удовлетворении критериям
направленности деятельности на тер-
риторию Российской Федерации.
Согласно комментариям Роском-
надзора 10 , о наличии направленности
иностранной компании на террито-
рию Российской Федерации могут сви-
детельствовать, в том числе любое из
следующих обстоятельств:
1. использование делегированного
доменного имени, связанного с Рос-
сийской Федерацией (.ru, .рф., .su,
.москва., .moscow).
2. наличие русскоязычной версии
интернет-сайта, созданной владельцем
такого сайта или по его поручению
иным лицом (использование на сайте
или самим пользователем плагинов,
предоставляющих функционал авто-
матизированных переводчиков с раз-
личных языков, не должно принимать-
ся во внимание) в сочетании с любым
из следующих условий:
возможность осуществления рас-
четов в российских рублях,
возможность доставки товара, ока-
зания услуги или пользование цифро-
вым контентом на территории России,
использование рекламы на рус-
ском языке, включающей ссылку на со-
ответствующий Интернет-ресурс.
Так, по делу LinkedIn (№ 33-38783/2016)
Московский городской суд в Определе-
нии от 10.11.2016 г. применил второй
критерий, указав: «Судебная колле-
гия соглашается с утверждением истца
о том, что о направленности интер-
нет-сайта www.linkedin.com на тер-
риторию РФ свидетельствует наличие
русскоязычной версии интернет-сайта.
При этом интернет-сайт допускает воз-
можность использования рекламы на
русском языке, что дополнительно сви-
детельствует о включении российской
аудитории в сферу бизнес-интересов
владельца сайта».
Для соблюдения
обязанности по
локализации персональных
данных компания
должна обеспечить их
первичное нахождение
и последующую
актуализацию на
территории РФ