Персональные данные на иностранном сервере
Подборка наиболее важных документов по запросу Персональные данные на иностранном сервере (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Статьи, комментарии, ответы на вопросы
Статья: О совершенствовании методики расследования преступлений в финансово-бюджетной сфере
(Клещенко Ю.Г.)
("Безопасность бизнеса", 2022, N 4)Вместе с тем особенно актуальными для Российской Федерации остаются вопросы, связанные с предоставлением персональных данных на лиц, совершивших или склонных к совершению таких преступлений, возможностью получения компьютерных и цифровых следов их совершения <8>. При этом следует отметить, что ранее МИД России неоднократно прорабатывалась возможность вступления в качестве членов-участников в созданную 23 ноября 2001 г. Будапештскую международную конвенцию "О преступности в сфере компьютерной информации" <9>. Однако, поскольку ее положения противоречат национальному законодательству обеих стран (ст. 4, 23, 24 Конституции РФ) в части предоставления без согласия государств-участников (п. "b" ст. 32 данной Конвенции) возможности получения компьютерных данных, в том числе личных данных пользователей, хранящихся на удаленных (накопительных) серверах иностранных интернет-провайдеров, то, естественно, Российская Федерация отказалась от ее подписания. Кроме того, указанной Конвенцией предусматривается помощь только по отдельным видам преступлений (против конфиденциальности, мошенничеств, авторского и смежных прав, детской порнографии и др.) <10>, т.е. отсутствует возможность ее оказания при расследовании некоторых преступлений в финансово-бюджетной сфере, что свидетельствует о необходимости внесения существенных изменений в ее содержание.
(Клещенко Ю.Г.)
("Безопасность бизнеса", 2022, N 4)Вместе с тем особенно актуальными для Российской Федерации остаются вопросы, связанные с предоставлением персональных данных на лиц, совершивших или склонных к совершению таких преступлений, возможностью получения компьютерных и цифровых следов их совершения <8>. При этом следует отметить, что ранее МИД России неоднократно прорабатывалась возможность вступления в качестве членов-участников в созданную 23 ноября 2001 г. Будапештскую международную конвенцию "О преступности в сфере компьютерной информации" <9>. Однако, поскольку ее положения противоречат национальному законодательству обеих стран (ст. 4, 23, 24 Конституции РФ) в части предоставления без согласия государств-участников (п. "b" ст. 32 данной Конвенции) возможности получения компьютерных данных, в том числе личных данных пользователей, хранящихся на удаленных (накопительных) серверах иностранных интернет-провайдеров, то, естественно, Российская Федерация отказалась от ее подписания. Кроме того, указанной Конвенцией предусматривается помощь только по отдельным видам преступлений (против конфиденциальности, мошенничеств, авторского и смежных прав, детской порнографии и др.) <10>, т.е. отсутствует возможность ее оказания при расследовании некоторых преступлений в финансово-бюджетной сфере, что свидетельствует о необходимости внесения существенных изменений в ее содержание.
Статья: Ответы Банка России на вопросы (предложения) банков, поступившие в рамках ежегодной встречи кредитных организаций с руководством регулятора (Приложение к Письму Банка России от 24.07.2023 N 03-23-16/6611)
("Официальный сайт Ассоциации "Россия", 2023)Ситуация осложняется тем, что некоторые провайдеры могут иметь сложную структуру юридических лиц, зарегистрированных на территории различных государств, а также могут использовать серверы, расположенные как на территории иностранных государств, обеспечивающих адекватную защиту персональных данных, так и на территории иностранных государств, не обеспечивающих адекватную защиту персональных данных. Часто непонятно, какие серверы (в каких странах) могут использоваться для обеспечения работы и какому конкретно иностранному лицу они принадлежат.
("Официальный сайт Ассоциации "Россия", 2023)Ситуация осложняется тем, что некоторые провайдеры могут иметь сложную структуру юридических лиц, зарегистрированных на территории различных государств, а также могут использовать серверы, расположенные как на территории иностранных государств, обеспечивающих адекватную защиту персональных данных, так и на территории иностранных государств, не обеспечивающих адекватную защиту персональных данных. Часто непонятно, какие серверы (в каких странах) могут использоваться для обеспечения работы и какому конкретно иностранному лицу они принадлежат.
Нормативные акты
Обзор: "Обзор судебной практики в связи с антикризисными мерами"
(КонсультантПлюс, 2025)СИП по иску российского заказчика (лицензиата) признал незаконными односторонний отказ исполнителя (лицензиара) - представителя иностранной компании SAP в РФ от смешанного договора на облачные услуги SAP и одностороннее изменение этого договора в части переноса персональных данных за пределы РФ. Требование SAP о переносе (миграции) всех данных заказчика с серверов в РФ на сервера за границей - это одностороннее изменение существенных условий договора со стороны исполнителя в ситуации, когда заказчик не мог одномоментно выйти из договорных отношений и обязать исполнителя не менять место хранения перс. данных. Такое изменение условий договора и последующий односторонний отказ от него - следствие введенных в отношении РФ санкций, что является злоупотреблением правом и ничтожной сделкой.
(КонсультантПлюс, 2025)СИП по иску российского заказчика (лицензиата) признал незаконными односторонний отказ исполнителя (лицензиара) - представителя иностранной компании SAP в РФ от смешанного договора на облачные услуги SAP и одностороннее изменение этого договора в части переноса персональных данных за пределы РФ. Требование SAP о переносе (миграции) всех данных заказчика с серверов в РФ на сервера за границей - это одностороннее изменение существенных условий договора со стороны исполнителя в ситуации, когда заказчик не мог одномоментно выйти из договорных отношений и обязать исполнителя не менять место хранения перс. данных. Такое изменение условий договора и последующий односторонний отказ от него - следствие введенных в отношении РФ санкций, что является злоупотреблением правом и ничтожной сделкой.
Приказ МЧС России от 14.09.2021 N 604
"Об утверждении Порядка функционирования телефона доверия в системе Министерства Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий"2. Аудиозаписи телефонных разговоров по телефону доверия (далее - аудиозапись) производятся посредством специального программного обеспечения и хранятся на сервере в ведомственной сети "Интранет", соответствующем требованиям по обеспечению безопасности хранения и обработки персональных данных.
"Об утверждении Порядка функционирования телефона доверия в системе Министерства Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий"2. Аудиозаписи телефонных разговоров по телефону доверия (далее - аудиозапись) производятся посредством специального программного обеспечения и хранятся на сервере в ведомственной сети "Интранет", соответствующем требованиям по обеспечению безопасности хранения и обработки персональных данных.
Статья: Безопасность хранения персональных данных граждан на серверах порталов государственных и муниципальных услуг в контексте реализации Закона "О суверенном Рунете"
(Исакова В.С.)
("Конституционное и муниципальное право", 2022, N 11)Для создания личных кабинетов и получения полного спектра государственных услуг пользователи - граждане страны доверяют серверам Портала полный перечень персональных данных. Так, гражданин должен ввести данные паспорта, прописки, СНИЛС, данные полиса ОМС, ИНН, заграничного паспорта, данные водительского удостоверения, свидетельств о регистрации транспортного средства и недвижимости, данные на детей и многое другое. Более того, именно благодаря персональным данным пользователей авторизация на порталах государственных и муниципальных услуг становится ключом к большому количеству сервисов - банковских, микрофинансовых, государственных организаций. Так, полностью подтвержденная учетная запись дает полный доступ ко всем сервисам внутри портала госуслуг, а также к очень многим за его пределами и не требует никаких дополнительных действий по подтверждению личности обращающегося.
(Исакова В.С.)
("Конституционное и муниципальное право", 2022, N 11)Для создания личных кабинетов и получения полного спектра государственных услуг пользователи - граждане страны доверяют серверам Портала полный перечень персональных данных. Так, гражданин должен ввести данные паспорта, прописки, СНИЛС, данные полиса ОМС, ИНН, заграничного паспорта, данные водительского удостоверения, свидетельств о регистрации транспортного средства и недвижимости, данные на детей и многое другое. Более того, именно благодаря персональным данным пользователей авторизация на порталах государственных и муниципальных услуг становится ключом к большому количеству сервисов - банковских, микрофинансовых, государственных организаций. Так, полностью подтвержденная учетная запись дает полный доступ ко всем сервисам внутри портала госуслуг, а также к очень многим за его пределами и не требует никаких дополнительных действий по подтверждению личности обращающегося.
Интервью: Сотрудники могут умышленно или по неосторожности стать источником утечек
("Делопроизводство", 2025, N 1)- Сценарии утечек данных для HR-систем во многом схожи с любыми IT-продуктами: это защита серверов, обеспечение безопасности персональных данных в приложениях, ограничение доступа сотрудников к данным. Часто небольшие компании пренебрегают этими мерами, открывая доступ всем, что значительно повышает риски.
("Делопроизводство", 2025, N 1)- Сценарии утечек данных для HR-систем во многом схожи с любыми IT-продуктами: это защита серверов, обеспечение безопасности персональных данных в приложениях, ограничение доступа сотрудников к данным. Часто небольшие компании пренебрегают этими мерами, открывая доступ всем, что значительно повышает риски.
"Собирание электронных доказательств по уголовным делам на территории России и зарубежных стран: опыт и проблемы: монография"
(под общ. и науч. ред. С.П. Щербы)
("Проспект", 2022)Однако упомянутый пункт, возможно и предназначенный для предотвращения трансграничных обысков и выемок в отношении не являющихся общедоступными данных без согласия их обладателей, в силу использованных в нем формулировок подвержен расширительному толкованию при оценке соблюдения критериев законности и добровольности. Так, нет полной ясности в том, чей закон и кем будет оцениваться <1> (по месту нахождения иностранного органа, получающего доступ к данным <2>, субъекта или оператора (контролера) персональных данных, поставщика услуги, сервера, терминального пользовательского оборудования), при этом директивные записки к Конвенции, хоть и составляют источники ее официального толкования, не являются обязывающими для ее сторон. Кроме того, поставщики услуг в сфере ИКТ, вопреки директивной записке, обычно являются контролерами персональных данных, определяющими цели и средства их обработки (в России данное понятие охватывается термином "оператор"). Так, практика Федерального суда Швейцарии указывает на наличие такого законного полномочия по передаче данных местным и иностранным правоохранителям у провайдеров, которые оговорили ее возможность в принимаемых клиентом условиях использования их услуг <3>.
(под общ. и науч. ред. С.П. Щербы)
("Проспект", 2022)Однако упомянутый пункт, возможно и предназначенный для предотвращения трансграничных обысков и выемок в отношении не являющихся общедоступными данных без согласия их обладателей, в силу использованных в нем формулировок подвержен расширительному толкованию при оценке соблюдения критериев законности и добровольности. Так, нет полной ясности в том, чей закон и кем будет оцениваться <1> (по месту нахождения иностранного органа, получающего доступ к данным <2>, субъекта или оператора (контролера) персональных данных, поставщика услуги, сервера, терминального пользовательского оборудования), при этом директивные записки к Конвенции, хоть и составляют источники ее официального толкования, не являются обязывающими для ее сторон. Кроме того, поставщики услуг в сфере ИКТ, вопреки директивной записке, обычно являются контролерами персональных данных, определяющими цели и средства их обработки (в России данное понятие охватывается термином "оператор"). Так, практика Федерального суда Швейцарии указывает на наличие такого законного полномочия по передаче данных местным и иностранным правоохранителям у провайдеров, которые оговорили ее возможность в принимаемых клиентом условиях использования их услуг <3>.
Статья: Опыт зарубежных стран по применению технологий искусственного интеллекта в пенитенциарной системе
(Садыкова Р.А.)
("Административное право и процесс", 2022, N 12)При использовании технологий искусственного интеллекта не следует забывать и о негативных факторах, таких как ужесточение режима охраны, психологическое давление на осужденных и сотрудников, находящихся под тотальным контролем систем на территории учреждения. Кроме того, системы распознавания лиц могут неточно идентифицировать лиц со смуглой и темной кожей. Перед внедрением технологий искусственного интеллекта необходимо подготовить учреждения УИС, при необходимости установить современное оборудование: компьютеры, серверы, камеры видеонаблюдения. Повысить эффективность защиты персональных данных, обучить сотрудников УИС работе с новыми технологиями.
(Садыкова Р.А.)
("Административное право и процесс", 2022, N 12)При использовании технологий искусственного интеллекта не следует забывать и о негативных факторах, таких как ужесточение режима охраны, психологическое давление на осужденных и сотрудников, находящихся под тотальным контролем систем на территории учреждения. Кроме того, системы распознавания лиц могут неточно идентифицировать лиц со смуглой и темной кожей. Перед внедрением технологий искусственного интеллекта необходимо подготовить учреждения УИС, при необходимости установить современное оборудование: компьютеры, серверы, камеры видеонаблюдения. Повысить эффективность защиты персональных данных, обучить сотрудников УИС работе с новыми технологиями.
Статья: Персональные данные в кадрах: что и кому можно обрабатывать, а что грозит миллионными штрафами
(Лагутин М.)
("Делопроизводство", 2025, N 2)Однако ч. 5 ст. 18 152-ФЗ обязывает первично собирать персональные данные на серверах, которые территориально расположены в России. Поэтому рекомендуется переходить на отечественные "рельсы" и отказываться от иностранных корпоративных сервисов, либо изменить подход к работе с такими сервисами, обеспечив требования о локализации персональных данных.
(Лагутин М.)
("Делопроизводство", 2025, N 2)Однако ч. 5 ст. 18 152-ФЗ обязывает первично собирать персональные данные на серверах, которые территориально расположены в России. Поэтому рекомендуется переходить на отечественные "рельсы" и отказываться от иностранных корпоративных сервисов, либо изменить подход к работе с такими сервисами, обеспечив требования о локализации персональных данных.
Статья: Новые штрафы: о чем нужно уведомить Роскомнадзор?
(Соловьева А.)
("ЭЖ-Бухгалтер", 2025, N 21)Операторам необходимо уведомить Роскомнадзор о трансграничной передаче данных, даже если они: просто хранят персональные данные в иностранных облачных сервисах Google (Docs, Forms) или обрабатывают данные пользователей сайта в Google Analitycs, передают данные в страны СНГ, сервера находятся за пределами территории РФ, бронируют номера для сотрудников в гостинице другой страны на время командировки, передают контактные данные работников иностранным контрагентам.
(Соловьева А.)
("ЭЖ-Бухгалтер", 2025, N 21)Операторам необходимо уведомить Роскомнадзор о трансграничной передаче данных, даже если они: просто хранят персональные данные в иностранных облачных сервисах Google (Docs, Forms) или обрабатывают данные пользователей сайта в Google Analitycs, передают данные в страны СНГ, сервера находятся за пределами территории РФ, бронируют номера для сотрудников в гостинице другой страны на время командировки, передают контактные данные работников иностранным контрагентам.
Статья: Технологический суверенитет - гарантия безопасности государства
(Чердаков О.И.)
("Безопасность бизнеса", 2025, N 2)В соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" <20> хранение информации и данных госсектора на зарубежных облачных сервисах AWS, Google Cloud не допускается, возможно только на серверах, расположенных внутри страны, с использованием национальной облачной инфраструктуры: SberCloud, MTS Cloud.
(Чердаков О.И.)
("Безопасность бизнеса", 2025, N 2)В соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" <20> хранение информации и данных госсектора на зарубежных облачных сервисах AWS, Google Cloud не допускается, возможно только на серверах, расположенных внутри страны, с использованием национальной облачной инфраструктуры: SberCloud, MTS Cloud.