С 1 июля 2025 года изменяются ключевые требования к локализации персональных данных граждан России. Новые правила означают, что компании обязаны проводить первичный сбор и обработку данных исключительно на серверах, размещенных в России. Это заметно изменяет правила игры для организаций, использующих международные облачные технологии и услуги SaaS, пишет Дзен-канал "CISOCLUB - информационная безопасность".
Запрет на сбор данных за пределами России
Согласно обновленным требованиям, первичный сбор персональных данных граждан РФ не может происходить на иностранных серверах. Обновленная версия статьи 18 Закона о персональных данных запрещает даже формальную фиксацию данных за границей. Теперь все действия от сбора до хранения должны исключительно проводиться на территории России.
Важно отметить, что это не новость для операторов данных — ранее также существовали требования о локализации, но новый регламент значительно ужесточает их. Любая попытка обойти закон, например, путем дублирования данных, теперь расценивается как серьезное нарушение.
Понятие первичного сбора данных
Первичный сбор включает в себя весь комплекс действий, таких как:
- прием информации от пользователя;
- запись в любую базу данных;
- логирование событий;
- первая обработка данных;
- временное хранение информации.
Если хотя бы один из этих процессов реализуется за пределами Российской Федерации, это будет считаться правонарушением.
Что стоит учесть для обеспечения соблюдения новых норм?
Согласно новым правилам, необходимо начать с корректной организации процесса обработки данных.
- Все данные должны изначально поступать в локальную базу данных, находящуюся в российских дата-центрах.
- После первичной записи данные могут передаваться за границу, но только при наличии соответствующих правовых оснований.
Это дает возможность, например, передавать информацию в международные CRM-системы, такие как Salesforce или HubSpot, но только при соблюдении всех законных требований, включая уведомление регуляторов и получение согласия пользователей.
Таким образом, новые правила позиционируют Россию как страну, серьезно относящуюся к защите персональных данных, и ставят перед бизнесом новые задачи, связанные с соблюдением законодательства.
