Локализация ПДн, обогащенных на территории Европы
Первоначально собранные с использованием баз, расположенных на территории РФ, персональные данные передаются на сервер в Европе, где осуществляется 1) присвоение ID, 2) сегментация, 3) категоризация, 4) профилирование и т.д. При этом создаются новые атрибуты, имеющие отношение к собранным персональным данным. Является ли нарушением отсутствие «локализации» таких данных и есть ли практика по решению данного вопроса у крупных компаний?
В соответствии с п.5 ст.18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
В связи с отсутствием в нормативно-правовых актах трактовки термина «систематизация», полагаем, что, при условии максимально широкого толкования этого термина, описанные в вопросе действия по обработке персональных данных, а именно: 1) присвоение ID, 2) сегментация, 3) категоризация, 4) профилирование и т.д. могут трактоваться при проведении проверок как «систематизация данных» и быть расценены как нарушение требований п.5 ст.18 152-ФЗ. При этом оператор может быть привлечен к административной ответственности в соответствии с п.8 ст.13.11 КоАПП РФ «Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации». В то же время, известная нам актуальная правоприменительная и судебная практика не позволяет сделать однозначный вывод о наличии или отсутствии состава административного правонарушения в случае реализации описанной Вами схемы обработки персональных данных.
Принимая во внимание сказанное выше, мы не считаем возможным приводить примеры реализации схожих процессов в крупных компаниях, так как в большинстве ситуаций приходится производить индивидуальную оценку применимых рисков, исходя из специфики работы конкретных бизнес-процессов.
Ответ подготовили Андрей Ситнов и Юлия Любченко (09.02.2021)