Коротко и ясно с Трудовой практикой. HR & DIGITAL (Выпуск №28)

Власти ужесточили требования для бизнеса по хранению персональных данных («ПДн»)

Президент РФ подписал Федеральный закон от 28.02.2025 № 23-ФЗ, вносящий изменения в ряд законодательных актов, включая Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». В новой редакции изложена ч. 5 ст. 18 этого закона: с ****01 июля 2025 г.**** при сборе ПДн, в том числе посредством сети Интернет, ****не допускаются**** запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием ****баз данных, находящихся за пределами территории РФ****. Исключение могут составлять случаи, которые обычно к бизнесу не применимы, например, когда обработка связана с исполнением международного договора РФ, обязанностей или полномочий оператора, участием в судопроизводстве, нужна для научной деятельности или работы журналиста (если при этом не нарушаются права субъектов ПДн), для функционирования госорганов.

Ранее той же нормой было предусмотрено, что при сборе ПДн, в том числе посредством сети Интернет, оператор был ****обязан обеспечить**** запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ ****с использованием баз данных, находящихся на территории РФ**** (с теми же исключениями).

Иными словами, ****обязанность**** использовать базы данных в РФ (которая сама по себе не исключала дальнейшую передачу ПДн за границу в рамках той же обработки) заменяют на ****запрет**** использовать базы, находящиеся за рубежом.

Напомним, что требование ****локализации**** баз данных действует еще с сентября 2015 г. За его нарушение предусмотрены административные штрафы до ****6 млн рублей**** (до 18 млн рублей при повторном нарушении).

В Госдуме сообщили, что смысл поправки в том, что базы с содержанием ПДн российских граждан должны находиться на территории исключительно РФ и не иметь копий вне ее территории.

В настоящий момент отсутствуют официальные разъяснения о том, ****уточняют**** ли изменения уже действующее требование о локализации или вводит новые ****ограничения или даже абсолютный запрет**** на использование зарубежных баз данных.

При этом положения закона в части трансграничной передачи законопроект не изменяет, что говорит о том, что ****возможность трансграничной передачи ПДн будет сохранена****.

В настоящий момент мы разрабатываем свою позицию по толкованию поправок и обязательно поделимся с Вами нашим мнением.

Что точно нужно будет сделать?

• Компаниям, так или иначе соприкасающимся с иностранными юрисдикциям в своей деятельности, будет необходимо ****оценить**** и, возможно, пересмотреть используемые ими ****схемы локализации**** на предмет соответствия новым требованиям.

• Для тех процессов, где есть риск нарушения, до ****01 июля 2025 г.**** будет необходимо переструктурировать ****процесс предоставления**** ПДн в иностранные базы данных. В большинстве случаев это будет предполагать изменения в юридической плоскости, такие как ****пересмотр соглашений об обработке**** и внедрение новых ****договорных механизмов**** контроля оператора за обработкой ПДн, изменение статуса получателя за границей с обработчика на ****оператора****, изменение ****согласий на обработку ПДн****, целей трансграничной передачи и обновление ****уведомлений о трансграничной передаче****.  

• Мы также рекомендуем отслеживать возможные разъяснения контролирующих органов, в частности Минцифры и ****Роскомнадзора****. В случае появления таких разъяснений, обязательно Вас проинформируем.

Минцифры опубликовало проект с изменениями в правила аккредитации для ИТ-компаний

По проекту ведомства, аккредитацию в качестве ИТ-компании смогут получать также организации, которые работают в области защиты информации или компании с преимущественным госучастием, если они получают более ****70% дохода от деятельности в области информационной безопасности****.

При этом предлагаются и ****дополнительные ограничения**** для государственной аккредитации. Так, компании не должны иметь более ****50% иностранного участия**** в своем составе. Кроме того, для крупных аккредитованных компаний появится обязательство заключить соглашение с учебной организацией для ****совместной подготовки ИТ-специалистов****.

На сайте аккредитованной или претендующей на аккредитацию компании теперь должны быть указаны ****наименование**** организации, ****юридический**** и ****фактический адрес****, ****ИНН****, ****ОКВЭД****, ****контактные данные****, информация о ****видах ИТ‑деятельности**** согласно приказу Минцифры.

Соответствие требованиям будет подтверждаться во время ****ежегодной плановой проверки****, которая начнется в ****мае 2025 г.**** Требование по доле иностранного участия вступает в силу 01 сентября 2025 г.

Напомним, что по общему правилу организации вправе получить ****государственную аккредитацию****, если:

• ****Основным видом экономической деятельности**** является один из видов, содержащихся в перечне видов экономической деятельности, предусмотренных Приложением № 1 к Положению о государственной аккредитации;

• ****Средняя заработная плата**** работников не менее средней по стране или субъекту, в котором зарегистрирована организация;

• ****Доход от ИТ-деятельности**** более 30%;

• На официальном сайте организации ****размещена информация**** об осуществляемой ИТ-деятельности на русском языке.

Российский бизнес заинтересован в инвестициях в средства защиты ПДн

Объем ****инвестиций в средства защиты ПДн**** в 2024 г. в России вырос на ****20%**** и достиг ****23 млрд рублей****. Особенно значительным оказался прирост в области средств реагирования на утечки и продуктов для контроля доступа.

Такой рост спроса обоснован на фоне ****ужесточения санкций**** за нарушения в области обработки ПДн, особенно после введения штрафов до ****500 млн рублей за повторные утечки ПДн****. Хотя изменения в части ответственности вступят в силу лишь ****30 мая 2025 г.****, мы рекомендуем подготовиться к ним уже сейчас, проанализировав основные процессы обработки ПДн в Вашей компании на предмет ****комплаенса**** с текущим регулированием.

Отмечаем, что ранее компании чаще фокусировались на формальном выполнении требований ****Роскомнадзора****, таких как оформление письменных ****согласий**** и ****политик**** по различным вопросам обработки ПДн. Теперь же бизнес больше внимания уделяет реальной защите ПДн, внедряя как ****организационные****, так и ****технологические меры**** предотвращения утечек.