Новые требования по хранению персональных данных. Что нужно знать бизнесу?

С 1 июля 2025 года начинают действовать обновленные положения пункта 5 статьи 18 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года. Поправки значительно ужесточают требования к обработке и хранению персональных данных граждан России, делая акцент на их обязательной локализации внутри страны.

Основное изменение заключается в том, что теперь запрещено записывать, систематизировать, накапливать, хранить, уточнять и извлекать персональные данные граждан РФ в базах данных, находящихся за пределами России. Ранее закон лишь требовал, чтобы операторы обеспечивали локализацию данных, но не исключал возможности их обработки за рубежом.

Эти изменения вызывают у бизнеса множество вопросов о том, как адаптировать ИТ-инфраструктуру, избежать юридических рисков и соответствовать новым требованиям законодательства.

Передача персональных данных за границу (ТПД) остается допустимой, так как изменения, вступающие в силу с 1 июля 2025 года, не касаются соответствующих положений Федерального закона № 152-ФЗ. Поправки затрагивают исключительно процесс начального сбора персональных данных, что означает, что дальнейшая передача информации за пределы России возможна при выполнении определенных условий.

Прежде чем осуществить трансграничную передачу данных, компании обязаны уведомить Роскомнадзор, подав отдельное уведомление (не путать с уведомлением о начале обработки ПД). Также необходимо иметь законные основания для передачи данных и обеспечить конфиденциальность передаваемой информации.

Что касается хранения, то теперь запрещено собирать персональные данные непосредственно в зарубежные базы данных. Все компании, работающие с клиентами из России, обязаны фиксировать данные на этапе сбора исключительно в базах, размещенных на территории страны. Исключения предусмотрены лишь для случаев, указанных в подпунктах 2, 3, 4 и 8 части 1 статьи 6 закона № 152-ФЗ, и применяются крайне ограниченно.

Главная сложность при трактовке обновленного законодательства о персональных данных связана с отсутствием четких определений ключевых терминов. Закон не раскрывает точное значение таких способов обработки данных, как запись, систематизация, обновление, извлечение и хранение. Это приводит к правовой неопределенности и затрудняет обсуждение норм, поскольку сам предмет регулирования описан расплывчато. Однако на основе общего контекста закона можно попытаться сформулировать основное понимание этих понятий.

Запись подразумевает первичную фиксацию персональных данных, которая теперь должна осуществляться исключительно в базах данных, размещенных на территории России. Систематизация предполагает изменение структуры данных, и это также должно происходить внутри страны. Обновление и уточнение включают в себя любые действия по добавлению или изменению информации, и их проведение допускается только в локальных базах данных. Под извлечением можно понимать использование ранее собранных данных, хотя закон не дает точного определения. Накопление и хранение данных также должны осуществляться в рамках российских информационных систем.

При этом важно отметить, что новый закон не запрещает дальнейшую обработку данных после их первичного сбора в России. Это означает, что компании могут использовать иностранные CRM-системы, передавать данные зарубежным партнерам для исполнения договоров или обрабатывать их в корпоративных системах за границей, если начальный сбор информации осуществлялся в российской юрисдикции и соблюдаются все требования закона.

Уже сейчас очевидно, что игнорирование новых требований по локализации персональных данных может обернуться для бизнеса серьезными проблемами. Чтобы снизить риски, компаниям необходимо провести внутренний аудит и убедиться, что сбор и хранение данных не осуществляется за пределами России. Важно проверить местоположение хостинга сайта, условия договоров с подрядчиками и актуальность документов, регулирующих обработку персональных данных — таких как политика обработки, формы согласий и поручений. Если обнаружится, что данные обрабатываются за границей, необходимо оперативно привести процессы в соответствие с законодательством, чтобы избежать крупных штрафов.

Для компаний, попадающих под действие обновленных требований, предусмотрено несколько вариантов решения задачи локализации:

1. Полный перенос баз данных в Россию. Это наиболее надежный способ, который позволяет максимально снизить риски, однако он требует значительных вложений и изменений в инфраструктуре.

2. Частичный перенос баз данных. Этот вариант предполагает отделение баз от зарубежных серверов с последующей миграцией в РФ. Он менее затратен, но не исключает всех потенциальных рисков.

3. Использование зарубежных сервисов для передачи данных. При условии, что эти сервисы не участвуют в прямом сборе персональных данных, их применение может оставаться допустимым. Примеры таких сервисов — коммуникационные платформы. Однако и этот вариант требует тщательной проверки на соответствие новым нормам.

Изменения в законодательстве значительно осложняют использование зарубежных сервисов для работы с персональными данными россиян. Компаниям, взаимодействующим с гражданами РФ, необходимо пересмотреть архитектуру своих ИТ-систем, обеспечить хранение данных внутри страны и скорректировать политику трансграничной передачи данных. Несоблюдение требований закона может привести к серьезным последствиям: от значительных штрафов до блокировки деятельности.