Ужесточение требований в области локализации персональных данных с 1 июля 2025 года

Кратко об основных изменениях

28 февраля 2025 года был опубликован федеральный закон, вносящий изменения в Федеральный закон «О персональных данных». Поправки вступают в силу с 1 июля 2025 года и ужесточают требования к локализации персональных данных граждан Российской Федерации. Кроме того, исходя из поправок, требования локализации теперь распространяются не только операторов, но и на «обработчиков» (лиц, обрабатывающих персональные данные по поручению).

Более подробно

Запрет на использование иностранных баз данных при сборе персональных данных

Сейчас закон требует, чтобы операторы при сборе персональных данных использовали базы данных, находящиеся в России.

С 1 июля 2025 года вносятся следующие изменения в данную норму:

• данное требование будет распространяться не только на операторов, но и на лиц, обрабатывающих персональные данные по поручению (так называемых «обработчиков», к которым относятся, например, сервисы кадрового документооборота, облачные HR-системы). В целом данная поправка продолжает изменения 2022 года, в соответствии с которыми была введена так называемая «двойная локализация», то есть ситуация, когда положения закона по-прежнему возлагали обязанность по локализации только на операторов, но операторов обязали включать в поручение на обработку положения, обязывающие обработчиков выполнять требования по локализации.
• формулируется более жесткое требование о том, что любое использование зарубежных баз данных для сбора персональных данных будет запрещено. Сейчас на практике часто используются различные способы формального использования баз данных в России лишь с целью их дальнейшей передачи за границу, однако с 1 июля 2025 года такая практика может быть признана незаконной.

Трансграничная передача и различные толкования

Поправки вызвали широкую дискуссию в профессиональной среде. Высказываются различные позиции: от того, что данные изменения почти полностью запрещают трансграничную передачу до достаточно либеральных трактовок, предполагающих, что поправки как раз устраняют двусмысленность предыдущей редакции и не окажут влияния на возможность передавать персональные данные за границу.

Что это значит для бизнеса?

Можно ожидать более пристального внимания регулятора к бизнес-процессам, связанным с локализацией персональных данных российских граждан, а также повышенного внимания к иностранным и российским «обработчикам», которым передаются персональные данные или которые участвуют в сборе персональных данных. На данные вопросы следует также обращать более пристальное внимание при проведении аудитов персональных данных самими компаниями в рамках деятельности по обеспечению комплаенса, а также при проведении due diligence при приобретении компаний.