1 сентября 2015 г. вступили в силу изменения в Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) о сборе персональных данных российских граждан. В соответствии со вновь введенной ч. 5 ст. 18 152-ФЗ, при сборе персональных данных (ПД), в том числе посредством Интернет, «оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации (субъектов ПД) с использованием баз данных, находящихся на территории Российской Федерации».

Исключения из приведенного правила допускаются только в следующих случаях:

  1. обработка ПД необходима для достижения целей, предусмотренных международным договором или законом, для осуществления и выполнения возложенных законодательством на оператора функций, полномочий и обязанностей;
  2. обработка ПД необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
  3. обработка ПД необходима для реализации положений Федерального закона от 27.07.2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
  4. обработка ПД необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности СМИ либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПД.

Понятие ПД трактуется максимально широко в ФЗ-152. Так, в соответствии со ст. 3 закона ПД представляют собой «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». В свою очередь, обработка ПД включает в себя «любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных».

Законом прямо не запрещена последующая обработка ПД за рубежом после сбора с использованием баз данных, расположенных на территории РФ. Тем не менее, если следовать ограничительному толкованию ч. 5 ст. 18 152-ФЗ, не допускаются запись и хранение иностранным юридическим лицом полученных от российской организации ПД, собранных на территории РФ, так как получение иностранным юридическим лицом ПД с территории РФ предполагает запись и хранение ПД в зарубежных базах данных. Министерство связи и массовых коммуникаций РФ, впрочем, придерживается противоположной позиции: в разъяснениях Минкомсвязи, не носящих, однако, официального характера, указано, что допустимо внесение в зарубежные базы ПД, полученных в ходе сбора ПД на территории РФ, так как «если в отношении определенного набора персональных данных уже были ранее выполнены требования ФЗ-242, повторная локализация таких персональных данных не требуется, поскольку цели закона уже достигнуты» (полный текст разъяснений http://www.minsvyaz.ru/ru/personaldata/). Свою позицию Минкомсвязь обосновывает тем, что ст. 18 152-ФЗ не содержит указания на то, что такие действия должны совершаться исключительно с использованием баз данных, размещенных на территории России.

Одновременно следует иметь в виду, что недавние изменения в 152-ФЗ не затронули положений о трансграничной передаче ПД (ст. 12 152-ФЗ), в связи с чем передача ПД на территории иностранных государств в любом случае возможна при наличии согласия в письменной форме субъекта ПД на трансграничную передачу его ПД. В связи с вышеизложенным возникает противоречие между статьями 12 и 18 152-ФЗ, так как трансграничная передача ПД невозможна без их записи и хранения на территории иностранных государств. В разъяснениях Минкомсвязи предлагается следующий способ устранения такого противоречия: ПД гражданина Российской Федерации, «первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней («первичная база данных»), могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»)». При этом разъясняется, что предоставление удаленного доступа к базам данных, находящихся на территории Российской Федерации, с территории другого государства не запрещено.

В случае нарушения правил сбора, хранения, использования или распространения данных на операторов ПД может быть наложен штраф в размере до 10 тысяч рублей согласно ст. 13.11 Кодекса РФ об административных правонарушениях (КоАП РФ). В соответствии с п. 1 ст. 4.4. КоАП РФ, «при совершении лицом двух и более административных правонарушений административное наказание назначается за каждое совершенное административное правонарушение». Таким образом, если каждый факт обработки ПД физического лица будет признан отдельным правонарушением, сумма штрафа может многократно возрасти. Судебная практика по сходным вопросам допускает назначение отдельных наказаний за каждое из нарушений, предусмотренных одной и той же статьей КоАП РФ.

Так, в Постановлении ВС РФ от 15.08.2014 г. № 60-АД14-15, указано, что «каждый из выявленных в результате проведенной проверки фактов нарушения законодательства о труде […] образует самостоятельный состав административного правонарушения, предусмотренного частью 1 статьи 5.27 Кодекса Российской Федерации об административных правонарушениях». В Постановлении Президиума ВАС РФ от 04.03.2014 г. № 11036/13 установлено: «из материалов дела усматривается, что управление в ходе одной проверки […] составило семь протоколов об административных правонарушениях, в которых зафиксированы факты несоответствия питьевой воды […] требованиям СанПиН 2.1.4.1074-01. Таким образом, поскольку предприятием допущено несколько самостоятельных (несмотря на схожесть) правонарушений на различных объектах по разным адресам, оно подлежит административной ответственности за каждое административное правонарушение».

Кроме того, согласно ст. 15.5. Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», в случае, если информация, обрабатываемая с нарушением законодательства о ПД, размещена на сайтах в сети Интернет, Роскомнадзор вправе на основании решения суда включить доменные имена и/или сетевые адреса таких сайтов в информационную систему «Реестр нарушителей прав субъектов персональных данных». В случае непринятия владельцем сайта мер по устранению нарушений, доступ к информационному ресурсу может быть ограничен, однако иных мер ответственности для владельца сайта, за исключением установленных статьей 13.11 КоАП РФ, на данный момент законодательством не предусмотрено.

Резюмируя вышеизложенное, можно сделать следующие выводы касательно обработки за рубежом ПД, собранных на территории РФ:

  1. запрещены запись, систематизация, накопление, хранение, уточнение и извлечение ПД, полученных иностранными лицами от российских операторов ПД, если аналогичные мероприятия ранее не были произведены на территории РФ при сборе ПД;
  2. допускается трансграничная передача собранных ПД, если мероприятия по сбору ПД на территории РФ были произведены с соблюдением требований 152-ФЗ;
  3. отсутствует прямой законодательный запрет на создание на территории иностранных государств базы ПД граждан РФ, если такой же или больший объем информации содержится в базах ПД, расположенных на территории РФ.

Автор статьи:

Михаил Божор – младший юрисконсульт компании “Альта Виа”