Коротко и ясно с Трудовой практикой. HR & DIGITAL (Выпуск №28)

Власти ужесточили требования для бизнеса по хранению персональных данных («ПДн»)

Президент РФ подписал Федеральный закон от 28.02.2025 № 23-ФЗ, вносящий изменения в ряд законодательных актов, включая Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». В новой редакции изложена ч. 5 ст. 18 этого закона: с 01 июля 2025 г. при сборе ПДн, в том числе посредством сети Интернет, не допускаются запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся за пределами территории РФ. Исключение могут составлять случаи, которые обычно к бизнесу не применимы, например, когда обработка связана с исполнением международного договора РФ, обязанностей или полномочий оператора, участием в судопроизводстве, нужна для научной деятельности или работы журналиста (если при этом не нарушаются права субъектов ПДн), для функционирования госорганов.

Ранее той же нормой было предусмотрено, что при сборе ПДн, в том числе посредством сети Интернет, оператор был обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ (с теми же исключениями).

Иными словами, обязанность использовать базы данных в РФ (которая сама по себе не исключала дальнейшую передачу ПДн за границу в рамках той же обработки) заменяют на запрет использовать базы, находящиеся за рубежом.

Напомним, что требование локализации баз данных действует еще с сентября 2015 г. За его нарушение предусмотрены административные штрафы до 6 млн рублей (до 18 млн рублей при повторном нарушении).

В Госдуме сообщили, что смысл поправки в том, что базы с содержанием ПДн российских граждан должны находиться на территории исключительно РФ и не иметь копий вне ее территории.

В настоящий момент отсутствуют официальные разъяснения о том, уточняют ли изменения уже действующее требование о локализации или вводит новые ограничения или даже абсолютный запрет на использование зарубежных баз данных.

При этом положения закона в части трансграничной передачи законопроект не изменяет, что говорит о том, что возможность трансграничной передачи ПДн будет сохранена.

В настоящий момент мы разрабатываем свою позицию по толкованию поправок и обязательно поделимся с Вами нашим мнением.

Что точно нужно будет сделать?

• Компаниям, так или иначе соприкасающимся с иностранными юрисдикциям в своей деятельности, будет необходимо оценить и, возможно, пересмотреть используемые ими схемы локализации на предмет соответствия новым требованиям.

• Для тех процессов, где есть риск нарушения, до 01 июля 2025 г. будет необходимо переструктурировать процесс предоставления ПДн в иностранные базы данных. В большинстве случаев это будет предполагать изменения в юридической плоскости, такие как пересмотр соглашений об обработке и внедрение новых договорных механизмов контроля оператора за обработкой ПДн, изменение статуса получателя за границей с обработчика на оператора, изменение согласий на обработку ПДн, целей трансграничной передачи и обновление уведомлений о трансграничной передаче.  

• Мы также рекомендуем отслеживать возможные разъяснения контролирующих органов, в частности Минцифры и Роскомнадзора. В случае появления таких разъяснений, обязательно Вас проинформируем.

Минцифры опубликовало проект с изменениями в правила аккредитации для ИТ-компаний

По проекту ведомства, аккредитацию в качестве ИТ-компании смогут получать также организации, которые работают в области защиты информации или компании с преимущественным госучастием, если они получают более 70% дохода от деятельности в области информационной безопасности.

При этом предлагаются и дополнительные ограничения для государственной аккредитации. Так, компании не должны иметь более 50% иностранного участия в своем составе. Кроме того, для крупных аккредитованных компаний появится обязательство заключить соглашение с учебной организацией для совместной подготовки ИТ-специалистов.

На сайте аккредитованной или претендующей на аккредитацию компании теперь должны быть указаны наименование организации, юридический и фактический адрес, ИНН, ОКВЭД, контактные данные, информация о видах ИТ‑деятельности согласно приказу Минцифры.

Соответствие требованиям будет подтверждаться во время ежегодной плановой проверки, которая начнется в мае 2025 г. Требование по доле иностранного участия вступает в силу 01 сентября 2025 г.

Напомним, что по общему правилу организации вправе получить государственную аккредитацию, если:

• Основным видом экономической деятельности является один из видов, содержащихся в перечне видов экономической деятельности, предусмотренных Приложением № 1 к Положению о государственной аккредитации;

• Средняя заработная плата работников не менее средней по стране или субъекту, в котором зарегистрирована организация;

• Доход от ИТ-деятельности более 30%;

• На официальном сайте организации размещена информация об осуществляемой ИТ-деятельности на русском языке.

Российский бизнес заинтересован в инвестициях в средства защиты ПДн

Объем инвестиций в средства защиты ПДн в 2024 г. в России вырос на 20% и достиг 23 млрд рублей. Особенно значительным оказался прирост в области средств реагирования на утечки и продуктов для контроля доступа.

Такой рост спроса обоснован на фоне ужесточения санкций за нарушения в области обработки ПДн, особенно после введения штрафов до 500 млн рублей за повторные утечки ПДн. Хотя изменения в части ответственности вступят в силу лишь 30 мая 2025 г., мы рекомендуем подготовиться к ним уже сейчас, проанализировав основные процессы обработки ПДн в Вашей компании на предмет комплаенса с текущим регулированием.

Отмечаем, что ранее компании чаще фокусировались на формальном выполнении требований Роскомнадзора, таких как оформление письменных согласий и политик по различным вопросам обработки ПДн. Теперь же бизнес больше внимания уделяет реальной защите ПДн, внедряя как организационные, так и технологические меры предотвращения утечек.