Прежде чем приступить к разбору 152-ФЗ, следует знать, что существует также закон 242-ФЗ, вступивший в силу с 1 сентября 2015 года, который является нормативным актом, который внес изменения в другой, основополагающий источник права — ФЗ № 152, принятый в июле 2006 года. Принятие закона о “локализации персональных данных” сопровождалось широким освещением законодательной инициативы в различных СМИ, в результате чего были созданы два главных мифа о Федеральном законе №242-ФЗ:
- россиянам отныне запрещено размещать свои персональные данные (сайты) за рубежом;
- всем иностранным компаниям запретили получать и обрабатывать персональные данные россиян на серверах за пределами РФ.
Федеральным законом № 242-ФЗ предусматривается, что «при сборе персональных данных, в том числе посредством сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации». В случае несоблюдения закона, доступ к сайту, уличенному в первичном сборе и хранении персональных данных российских граждан на базах данных, находящихся в пределах юрисдикции РФ, может быть ограничен.
Можно ли использовать хостинг за границей
Закон не запрещает размещение любого сайта (базы данных) на серверах, расположенных на территории стран, подписавших конвенцию Совета Европы ETS №108, а также трансграничную передачу персональных данных. Согласно ратифицированной Россией Конвенции Совета Европы ETS №108 «О защите физических лиц при автоматизированной обработке персональных данных», в части 2 ст.12 предусматривается, что присоединившиеся к ней страны не будут запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой стороны Конвенции, а ст. 25 запрещает любые оговорки в отношении Конвенции.
Это означает, что использование хостинга за границей (не в пределах РФ), а также хранение и обработка персональных данных, считается правомерной, если хостинг расположен в одной из стран, подписавших Конвенцию: Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония, а также как это следует из разъяснений Роскомнадзора, в странах, обеспечивающих адекватную защиту персональных данных. Такими признаются страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных: Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.
Где должны храниться персональные данные
Физически сайт и база данных могут располагаться на хостинге любой страны, подписавшей Конвенцию Совета Европы ETS №108. В Законе есть требование к оператору обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, однако Законом не запрещено хранение персональных данных россиян на серверах вне территории РФ. Единственное условие, чтобы изначально персональные данные собирались и обрабатывались в РФ. Но, повторим, это не запрещает трансграничную передачу персональных данных и работу с ней в странах подписавших Конвенцию.
Соответствие хостинга ДЖИХОСТ 152-ФЗ
Джихост полностью соответствует 152-ФЗ за счет применения репликации и трансграничной передачи персональных данных.
Схематически принцы работы описан ниже:
