Локализация баз данных на территории Российской Федерации: первые толкования (А.Ю. Буркова, журнал "Законодательство и экономика", N 9, сентябрь 2015 г.)

Локализация баз данных на территории Российской Федерации: первые толкования

А.Ю. Буркова,

кандидат юридических наук

Журнал "Законодательство и экономика", N 9, сентябрь 2015 г.

А.Ю. Буркова комментирует новый закон, вступающий в силу с 1 сентября 2015 г. В соответствии с ним персональные данные российских граждан должны обрабатываться с использованием баз данных, находящихся на территории Российской Федерации.

С 1 сентября 2015 г. в России вступил в силу Федеральный закон от 21 июля 2014 г. N 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях" (далее - Закон). Помимо прочего Закон внес изменения в статью 18 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о ПД), дополнив ее частью 5 следующего содержания:

"5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона".

По сути, законодатель закрепил локализацию баз данных, которые содержат персональные данные, в России.

Хотя пункт 5 ст. 18 Закона о ПД сравнительно небольшой по размеру, его применение вызывает многочисленные вопросы. Рассмотрим некоторые из них и их толкование регуляторами.

Какие персональные данные подпадают под действие пункта 5 ст. 18 Закона о ПД?

Согласно статье 3 Закона о ПД персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Таким образом, в качестве персональных данных может выступать любая информация, и Закон о ПД не предоставляет возможности для самих компаний ограничить в своих внутренних документах это определение. Более того, с точки зрения Минкомсвязи России, Закон о ПД не содержит полномочия по уточнению этого термина подзаконными актами*(1).

Анализируя существующие положения Закона о ПД, можно заметить, что важной является вторая часть формулировки определения "персональных данных", которая говорит, что информация должна позволять идентифицировать конкретное физическое лицо. С этой позицией в целом согласен и Роскомнадзор*(2). Таким образом, Закон о ПД защищает не любую информацию о человеке, а только такую ее совокупность, которая позволяет идентифицировать лицо. Например, существующая судебная практика относит к персональным данным сочетание фамилии, имени и отчества человека (см. апелляционное определение судебной коллегии по гражданским делам Московского городского суда от 6 сентября 2012 г. по делу N 11-17136) или паспортные данные (см. апелляционное определение Московского городского суда от 22 мая 2014 г. N 33-14709).

Распространяется пункт 5 ст. 18 Закона о ПД только на граждан Российской Федерации или и на иностранцев, находящихся в России?

Роскомнадзор и Минкомсвязь России считают, что порядок определения гражданства субъектов персональных данных не урегулирован в нормативном порядке, что предоставляет возможность оператору самостоятельно решать данный вопрос исходя из специфики его деятельности*(3). Если оператор не смог это определить самостоятельно, он может руководствоваться принципом применения Закона ко всем персональным данным, сбор которых был осуществлен на территории Российской Федерации*(4), т.е. по территориальному признаку, под который могут подпасть и иностранные граждане, находящиеся в России.

По мнению Роскомнадзора, персональные данные российских граждан, которые работают в иностранных компаниях за рубежом, не подпадают под требования Закона *(5). То же правило распространяется на российских граждан в период их временного нахождения за границей (командировка, отпуск и т.д.).

Что такое база данных?

Закон говорит о локализации персональных данных в базах данных, находящихся в России.

С точки зрения Роскомнадзора, база персональных данных - это упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных). Базой данных можно считать таблицу в формате Excel, Word, в которой содержится информация о персональных данных граждан или иным образом упорядоченный массив персональных данных, в том числе поддающийся обработке при помощи ЭВМ*(6).

Распространяется ли Закон на базы данных, сформированные за рубежом до 1 сентября 2015 г.?

В соответствии с правовыми нормами обратная сила законов запрещена, за исключением случаев, когда иное прямо оговорено в законе. В Законе такие иные случаи оговорены не были. Следовательно, базы данных, сформированные за границей до 1 сентября 2015 г., могут продолжать существовать за границей. На них требование о локализации не распространяется*(7).

Вместе с тем актуализация, систематизация, обновление таких данных после 1 сентября 2015 г. может осуществляться только с использованием баз данных, находящихся в России.

Разрешается ли трансграничная передача персональных данных согласно Закону с 1 сентября 2015 г.?

Согласно статье 3 Закона о ПД трансграничная передача персональных данных - это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Изменения, внесенные Законом, не затронули положения о трансграничной передаче персональных данных. Соответственно такая передача возможна, как и ранее, если соблюдаются все требования Закона о ПД, в том числе статьи 12 (трансграничная передача персональных данных)*(8).

Интересно также отметить, что передача за границу персональных данных российскому же лицу не рассматривается как трансграничная передача персональных данных.

Порядок передачи данных иностранному лицу зависит от того, передаются персональные данные в эквивалентные страны или в страны, не обеспечивающие адекватную защиту прав субъектов персональных данных.

Одним из важных комментариев Роскомнадзора является и то, что трансграничная передача персональных данных наравне с любым иным способом обработки персональных данных должна соответствовать целям сбора персональных данных*(9). То есть нельзя просто осуществить передачу на основании закона или с согласия субъекта персональных данных; должна быть цель такой передачи, соответствующая целям сбора. Если оператор и субъект персональных данных тесно связаны с Россией, а цель обработки не связана с иностранными услугами или работами, обосновать такую цель трансграничной передачи может быть достаточно проблематично.

При трансграничной передаче персональных данных ответственность за действия, совершаемые в отношении переданных персональных данных, несет иностранный оператор в соответствии с применимым к нему законодательством.

Российский оператор должен заключить с лицом, которому передаются персональные данные, договор, содержащий условия конфиденциальности, безопасности и иные условия, установленные российским законодательством*(10).

Какие возможны исключения из действия Закона?

Требования пункта 5 ст. 18 Закона о ПД не применяются в случаях, когда:

- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

В настоящее время действует Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.). Дополнительно Россия является стороной ряда международных конвенций в области перевозок*(11), которые предусматривают сбор и обработку персональных данных граждан-пассажиров для целей бронирования и оформления авиабилетов и иных перевозочных документов. Поэтому вышеуказанные случаи не подпадают под требование о локализации баз данных в России*(12);

- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.

Скорее всего, здесь идет речь о приведении в исполнение за рубежом судебных актов, принятых в России;

- обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

- обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.

Какие действия, связанные с обработкой персональных данных, должны обязательно проводиться в России, а какие можно осуществлять за рубежом?

В статье 18 Закона о ПД говорится, что оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.

Сравним этот перечень с определением обработки персональных данных, содержащимся в статье 3 Закона о ПД:

"обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных".

Можно сделать вывод, что следующие действия могут совершаться без использования баз данных, находящихся на территории Российской Федерации: сбор, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Понятие "сбор персональных данных"прямо не дано в законодательстве. С точки зрения Минкомсвязи России*(13), сбор персональных данных - это "целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц".

В этом определении определяющими являются следующие факторы:

- целенаправленность сбора;

- непосредственно от субъекта персональных данных или через специально привлеченных для этого третьих лиц.

На этом основании Минкомсвязь России делает следующие выводы*(14):

- локализации подлежат только персональные данные, которые были получены оператором в результате осуществляемой им целенаправленной деятельности по организации сбора таких данных, а не в результате случайного (незапрошенного) попадания к нему персональных данных (например, вследствие получения писем по электронной или иной почте, в которых содержатся персональные данные);

- не является сбором получение одним юридическим лицом персональных данных от другого юридического лица, если такие данные представляют собой контактную информацию работников или представителей такого юридического лица, переданную в ходе осуществления ими своей законной деятельности.

Именно лицо, осуществляющее сбор персональных данных, несет ответственность за соблюдение требований части 5 ст. 18 Закона о ПД. Не несут такую ответственность лица, получившие персональные данные не в результате целенаправленных действий, а также лица, которые просто предоставили свои вычислительные мощности для последующей обработки персональных данных.

Можно ли передавать данные из одной базы данных в России в другую базу данных за рубежом?

Как было отмечено выше, передача персональных данных не требует обязательной локализации. В связи с этим трансграничная передача данных разрешена и после 1 сентября 2015 г.

Передача возможна из одной базы данных, которая имеется в России, в другую базу данных, находящуюся за пределами нашей страны. При этом в российской базе данных должен содержаться больший объем персональных данных или равный находящемуся за пределами территории Российской Федерации.

Также важно, чтобы цели обработки персональных данных соблюдались, т.е. цель сбора персональных данных должна соответствовать цели использования персональных данных в других базах данных. Этот подход был подтвержден и Минкомсвязью России*(15), и Роскомнадзором*(16).

Можно ли передавать из России персональные данные, которые обрабатываются согласно российскому законодательству?

К данным, которые обрабатываются согласно российскому законодательству, относятся в том числе:

- данные работников (Трудовой кодекс РФ);

- данные, получаемые в результате проведения идентификации лиц (см. Федеральный закон от 7 августа 2001 г. N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", Положение Банка России от 19 августа 2004 г. N 262-П "Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма").

Согласно статье 6 Закона о ПД, если обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, такая обработка осуществляется даже без согласия субъекта персональных данных.

Трансграничная передача таких данных возможна, однако далее в позициях Минкомсвязи России и Роскомнадзора имеются расхождения.

Как считает Минкомсвязь России, если обработка персональных данных осуществляется на основании закона, положения части 5 ст. 18 Закона о ПД не должны применяться.

Роскомнадзор же полагает, что оператор обязан обеспечить сбор указанных данных на сервере, расположенном на территории Российской Федерации. Последующая передача за границу должна осуществляться согласно требованиям статьи 12 Закона о ПД (правила о трансграничной передаче)*(17).

Могут ли российские физические лица напрямую передавать информацию в иностранные базы данных?

И Минкомсвязь России, и Роскомнадзор считают, что это возможно, но опять же позиции у них разные.

По мнению Минкомсвязи России, такая передача возможна напрямую в соответствии с федеральным законом, международным договором либо в рамках иных исключений, на которые не распространяется Закон *(18).

Роскомнадзор считает, что в принципе это право не ограничено и необязательно должно быть в рамках закона или международного соглашения. Граждане вправе предоставлять свои данные в базы иностранных организаций, осуществлять бронирование иностранных гостиниц, проходить лечение за границей, предоставлять этим данным общий доступ, входить в адресные справочники и проч. Закон не запрещает гражданам распоряжаться персональными данными по их собственному усмотрению в соответствии с их интересами и волей. Однако право субъекта персональных данных самостоятельно распоряжаться своими персональными данными не означает, что оператор персональных данных может использовать это право в качестве правовой коллизии в целях неисполнения рассматриваемого положения Закона *(19).

Могут ли российские компании, которые передали персональные за границу в иностранную базу данных, иметь доступ и использовать эту базу данных в последующем?

С точки зрения Роскомнадзора, данный доступ возможен не для всех, а только для сотрудников российского юридического лица, на которых возложены полномочия по обработке персональных данных работников*(20). С чем связано такое толкование, непонятно.

Могут ли иностранные компании иметь доступ в российские базы данных?

По разъяснениям Минкомсвязи России, предоставление удаленного доступа к базам данных, находящихся на территории Российской Федерации, с территории другого государства Законом не запрещается*(21).

Требует ли закон для иностранных лиц, не имеющих физического присутствия в России, локализовать базы данных российских лиц?

Как правило, иностранные лица не являются операторами в России, и на них не распространяется требование локализовать базы данных.

Из этого общего правила есть исключение, когда существует "направленность деятельности иностранного лица на территорию Российской Федерации"*(22). Под этим может пониматься:

- использование доменного имени, связанного с Российской Федерации (.ru и др.);

- наличие русскоязычной версии интернет-сайта и иных признаков (таких как расчеты в рублях, исполнение договора в России, реклама на русском языке и т.д.), которые свидетельствуют о намерении владельца осуществлять деятельность на территории России.

В этих случаях иностранное лицо считается полноценным оператором по российскому законодательству и обязано локализовать процессы обработки персональных данных в России, за исключением случаев, прямо указанных в Законе.

Несет ли иностранное лицо ответственность за нарушение правил обработки персональных данных, переданных из России?

По общему принципу иностранное лицо не является оператором обработки персональных данных в России, поэтому не несет ответственность по российскому законодательству за нарушения. Например, если головное предприятие открыло дочернюю компанию в России, дочернее предприятие, обрабатывая персональные данные, является оператором. Трансграничная передача персональных данных головному предприятию происходит на условиях договора между головным предприятием и дочерней компании и в соответствии с целями обработки персональных данных.

Если головное предприятие, например, нарушит условия хранения переданной ему информации, оно не будет нести ответственность перед российским регулятором, а только по договору перед дочерней компанией и по законодательству того государства, где головное предприятие находится.

Пока в своих комментариях ни Минкомсвязь России, ни Роскомнадзор не коснулись темы ответственности иностранных юридических лиц, не имеющих физического присутствия в России, которые обязаны локализовать базы данных в России. Представляется, такая ответственность будет такой же, как ответственность российского оператора, но как такие нормы будут применяться к компании, находящейся за рубежом, непонятно.

* * *

Это только часть вопросов, которые возникают в связи с применением Закона. Как они будут решаться - покажет время.

Библиография

Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.).

Федеральный закон от 21 июля 2014 г. N 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях".

Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

Апелляционное определение судебной коллегии по гражданским делам Московского городского суда от 6 сентября 2012 г. по делу N 11-17136.

Апелляционное определение Московского городского суда от 22 мая 2014 г. N 33-14709.

-------------------------------------------------------------------------

*(1) Сайт Минкомсвязи России: http://minsvyaz.ru/ru/personaldata/#1438175374828.

*(2) Федеральный закон "О персональных данных": научно-практический комментарий / под ред. А.А. Приезжевой. - М., 2015. С. 15.

*(3) Сайт Минкомсвязи России: http://minsvyaz.ru/ru/personaldata/#1438175374828.

*(4) Сайт Минкомсвязи России: http://minsvyaz.ru/ru/personaldata/#1438175374828; сайт Роскомнадзора: http://www.pd-info.ru/.

*(5) Сайт Роскомнадзора: http://www.pd-info.ru/.

*(6) Сайт Роскомнадзора: http://www.pd-info.ru/.

*(7) Сайт Минкомсвязи России: http://minsvyaz.ru/ru/personaldata/#1438175374828.

*(8) Сайт Минкомсвязи России: http://minsvyaz.ru/ru/personaldata/#1438175374828.

*(9) Федеральный закон "О персональных данных: научно-практический комментарий / под ред. А.А. Приезжевой. С. 74.

*(10) Сайт Роскомнадзора: http://www.pd-info.ru/.

*(11) Конвенция о международной гражданской авиации заключена в Чикаго 7 декабря 1944 г., Конвенция об унификации некоторых правил, касающихся международных воздушных перевозок, заключена в Варшаве 12 октября 1929 г., Конвенция, дополнительная к Варшавской конвенции, для унификации некоторых правил, касающихся международных воздушных перевозок, осуществляемых лицом, не являющимся перевозчиком по договору, заключена в Гвадалахаре 18 сентября 1961 г.

*(12) Сайт Минкомсвязи России: http://minsvyaz.ru/ru/personaldata/#1438175374828.

*(13) Сайт Минкомсвязи России: http://minsvyaz.ru/ru/personaldata/#1438175374828.

*(14) Сайт Минкомсвязи России: http://minsvyaz.ru/ru/personaldata/#1438175374828.

*(15) Сайт Минкомсвязи России: http://minsvyaz.ru/ru/personaldata/#1438175374828.

*(16) Сайт Роскомнадзора: http://www.pd-info.ru/.

*(17) Сайт Роскомнадзора: http://www.pd-info.ru/.

*(18) Сайт Минкомсвязи России: http://minsvyaz.ru/ru/personaldata/#1438175374828.

*(19) Сайт Роскомнадзора: http://www.pd-info.ru/.

*(20) Сайт Роскомнадзора: http://www.pd-info.ru/.

*(21) Сайт Минкомсвязи России: http://minsvyaz.ru/ru/personaldata/#1438175374828.

*(22) Сайт Минкомсвязи России: http://minsvyaz.ru/ru/personaldata/#1438175374828.