С 1 июля 2025 года вступают в силу обновления закона о персональных данных, усиливающие требования к их локализации. Теперь сбор и хранение ПД граждан РФ должны происходить исключительно на территории России. В статье разберем, что именно меняется, какие риски ждут бизнес и как подготовиться к новым требованиям, чтобы избежать штрафов и блокировок.
С 1 июля 2025 года вступают в силу обновления пункта 5 статьи 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Новая редакция значительно усиливает требования к хранению и обработке персональных данных граждан Российской Федерации, акцентируя внимание на их обязательной локализации внутри страны.
Главное изменение заключается во введении прямого запрета на запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных в базах данных, размещенных за пределами России. В то время как прежняя редакция лишь обязывала операторов обеспечить локализацию данных, новая версия закона исключает возможность обработки ПД граждан РФ в зарубежных хранилищах.
Это нововведение вызывает у компаний множество практических вопросов, связанных с адаптацией ИТ-инфраструктуры, юридическими рисками и обеспечением соответствия новым требованиям.
Трансграничная передача персональных данных (ТПД) и сбор информации в зарубежные БД
Трансграничная передача персональных данных (ТПД) по-прежнему разрешена, поскольку изменения, вступающие в силу с 1 июля 2025 года, не затрагивают соответствующие статьи Федерального закона № 152-ФЗ. Обновления касаются исключительно процесса первоначального сбора персональных данных. Это означает, что дальнейшая передача ПД за пределы России остается возможной, при условии соблюдения ряда обязательных требований.
В частности, до начала ТПД необходимо уведомить Роскомнадзор, подав отдельное уведомление (не путать с уведомлением о начале обработки ПД). Также обязательны наличие законных оснований для такой передачи, а также обеспечение конфиденциальности передаваемых данных.
Что касается хранения, то сбор персональных данных напрямую в зарубежные базы данных отныне запрещен. Все компании, работающие с российскими клиентами, обязаны на этапе сбора фиксировать ПД исключительно в базах, размещенных на территории России. Исключения из этого правила крайне ограничены и допускаются лишь при наличии специальных оснований, перечисленных в подпунктах 2, 3, 4 и 8 части 1 статьи 6 закона № 152-ФЗ.
Обработка данных в зарубежных БД после их локализации в РФ
Главная трудность при толковании обновленного законодательства о персональных данных заключается в отсутствии четко закрепленных определений ключевых понятий. Закон не даёт точной интерпретации способов обработки персональных данных, таких как запись, систематизация, обновление, извлечение и хранение. Это создает правовую неопределенность и усложняет дискуссию вокруг содержания норм, поскольку сам предмет регулирования описан крайне расплывчато. Тем не менее, на основе общего смысла закона можно сформулировать базовое понимание этих терминов.
Так, под записью следует понимать начальную фиксацию персональных данных — теперь она возможна только в российских базах. Систематизация предполагает изменение структуры данных, которое также должно происходить внутри страны. Обновление и уточнение — это любые действия, связанные с добавлением или корректировкой информации, и они допускаются только в локальных БД. Извлечение, несмотря на отсутствие четкого определения, логично трактуется как использование ранее собранных данных. Аналогично, накопление и хранение должны происходить в рамках российских информационных систем.
Важно понимать, что новый закон не запрещает последующее использование и обработку данных после их первичного сбора в России. Это означает, что организации могут использовать иностранные CRM-системы, передавать данные зарубежным партнёрам для выполнения контрактов или обрабатывать их в корпоративных системах за рубежом — при условии, что сбор изначально происходил в российской юрисдикции и соблюдаются все требования закона.
Рекомендации для бизнеса
Уже сейчас можно с уверенностью утверждать: несоблюдение новых требований по локализации персональных данных грозит бизнесу серьезными рисками. Чтобы минимизировать возможные последствия, организациям необходимо провести внутренний аудит и проверить, не осуществляется ли сбор и хранение персональных данных за пределами Российской Федерации. В первую очередь стоит обратить внимание на размещение сайта (хостинг), условия договоров с подрядчиками, а также на актуальность документации, касающейся обработки ПД — таких как политика обработки, формы согласий и поручений. Если выяснится, что данные всё же обрабатываются за границей, необходимо безотлагательно привести процессы в соответствие с законом, иначе велика вероятность получения крупных штрафов.
Для компаний, подпадающих под обновленные требования о локализации, существует несколько возможных решений:
- наиболее надежный и безопасный путь — полный перенос баз данных на территорию России. Однако этот вариант может оказаться затратным и потребовать серьезных изменений в инфраструктуре;
- частичный перенос — отделение баз данных от зарубежных серверов с последующей миграцией в РФ. Такой подход менее затратен, но не устраняет все риски.
Также допустимо использование зарубежных сервисов, которые не занимаются непосредственным сбором данных, а лишь обеспечивают передачу (например, коммуникационные платформы), что теоретически может не подпадать под действие новых норм.
Обновления в законодательстве значительно усложняют использование зарубежных сервисов при работе с персональными данными российских граждан. Организациям, взаимодействующим с пользователями из РФ, необходимо пересмотреть архитектуру своей информационной инфраструктуры, обеспечить хранение данных внутри страны и скорректировать политику трансграничной передачи. Игнорирование этих требований может привести к серьезным последствиям: от штрафов до блокировки деятельности.
Бесплатная консультация эксперта
Артур Нариманов
Ведущий Консультант 1С
