Как соблюсти требования закона о хранении персональных данных на территории России при использовании хостинга в Европе?

Согласно Федерального закона от 27 июля 2006 года №152-ФЗ "О персональных данных" (далее – Закон), оператор персональных данных - это юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Поэтому, если на вашем сайте содержатся персональные данные, то вы являетесь оператором персональных данных и соответственно обязаны соблюдать требования закона.

В соответствии с пунктом 5 статьи 18.1 Закона оператор принимает необходимые меры по обеспечению сохранности персональных данных, а именно принимает технические, организационные и правовые меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Так, в соответствии с пунктом 9 статьи 18.5 Закона обработка персональных данных с использованием баз данных, расположенных на территории иностранного государства, разрешается при условии соблюдения требований, предусмотренных статьей 18.6 Закона, в соответствии с которой оператор должен обеспечивать сохранность данных при их передаче и при использовании баз данных, расположенных на территории иностранного государства.

В связи с этим, вы можете хранить данные своего сайта на хостинге в Европе, но при этом необходимо обеспечить их сохранность при их передаче и использовании баз данных, что соответствует требованиям статьи 18.6 Закона. Также, в соответствии со статьей 18.4 Закона, оператор персональных данных обязан сообщать о хранении или об обработке персональных данных субъекта персональных данных, что в свою очередь может потребовать размещения копии базы данных на российском сервере для соблюдения данного требования.

В соответствии со статьей 18.5 Федерального закона "О персональных данных" №152-ФЗ хранение персональных данных пользователей в России является обязательным, если данные собираются при оказании услуг в РФ, независимо от места нахождения обрабатывающей организации.Соответственно, в данном случае вам необходимо разместить базу данных с персональными данными на российском сервере. Для решения вопроса, вам необходимо заключить договор с российским хостинг-провайдером, который соответствует всем требованиям по хранению и обработки персональных данных, также у вас должен быть документ об идентификации пользователей (условия соглашения пользователей), где вы детализируете сбор и обработку персональных данных. Также рекомендуется обратиться за консультацией к юристу специализирующемуся на вопросах персональных данных для соблюдения всех требований законодательства РФ в данном случае.

Статьи, применимые для решения данного вопроса:

• Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
• Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «О требованиях к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства Российской Федерации от 31 марта 2016 года № 266 «Об утверждении требований к защите персональных данных при их обработке в информационных и телекоммуникационных сетях»;
• Указания Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 17.01.2017 № 01-161/ГИК «О некоторых вопросах применения Федерального закона «О персональных данных» при обработке персональных данных операторами в информационно-телекоммуникационных сетях».
• Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 21 октября 2019 года №408 «Об утверждении Методических рекомендаций по обеспечению требований к защите персональных данных при их обработке в информационно-телекоммуникационных сетях».
• Приказ Минцифры России от 06.02.2018 № 75 "Об утверждении требований к организации хранения, защиты, обработки и передачи персональных данных при осуществлении деятельности по оказанию услуг связи".

Обязательность хранения данных на серверах в России описана в п. 5 ст. 18.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». Данное требование распространяется на операторов баз данных, осуществляющих обработку персональных данных российских граждан. Однако, в соответствии с решением Высшего суда РФ от 15 декабря 2016 года № АКПИ16-637, обязанность хранения персональных данных на серверах в России не распространяется на иностранных операторов баз данных, не осуществляющих деятельность в Российской Федерации через представительства, филиалы или иные обособленные подразделения.

Соответственно, на сайте с персональными данными, находящемся на хостинге в Европе, должны быть реализованы меры защиты персональных данных в соответствии с законодательством Российской Федерации о персональных данных и требованиями к защите таких данных, а также должна быть организована трансграничная передача данных с учетом требований п. 12 ст. 18.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». Одновременно необходимо обеспечить хранение копии базы данных с персональными данными на российском сервере в соответствии с законодательством Российской Федерации о персональных данных и требованиями к защите таких данных.