В этом фрагменте важно два момента. Первый — термин «сбор», вокруг которого крутятся все комментарии экспертов. Роскомнадзор почему-то распространяет нормы ФЗ-242 и обработку «после сбора», в то время как часть 5 статьи 18 ФЗ-152 говорит только про сам сбор («при сборе») и ничего более. Второй момент касается определения термина «база данных», которое мы уже рассмотрели и которое отделено от термина «техническое средство» и «информационные технологии». Вспомним схему, которую я рисовал в июле.
Если взглянуть на нее внимательно и на разъяснение РКН, то мы поймем, что все элементы ИСПДн, исключая базу данных, могут находиться где угодно. И только БД — на территории России. Технически это сделать возможно — вопрос только в целесообразности таких затрат. Хранить ПДн, полученные при их сборе, одновременно и в России и за ее пределами нельзя — это будет нарушением ФЗ-242.
А вот с частью ответа РКН, который почему-то расширил действие ФЗ-242 не только сбором ПДн, я не согласен. На мой взгляд, я имею полное право, собранные и сохраненные данные, передавать дальше куда угодно (при соблюдении требований 12-й статьи ФЗ-152) и хранить где угодно (операция сбора уже закончилась и у меня вступили в силу другие операции обработки ПДн). И РКН дальше «проговаривается», подтверждая эту мысль:
Финализирует данную часть ответа РКН следующим образом:
И это вновь подтверждает высказанную мной мысль, что собрав ПДн в России и храня их первоначально именно у нас, дальше с данными можно делать все, что угодно и передавать/хранить их где угодно. Однако при этом РКН по-прежнему заявляет, что собранные данные должны тут и оставаться, так как их актуализация может производится только в России.
Мне непонятно, с чего РКН делает такой вывод про актуализацию. Да, обновление и уточнение ПДн могут считаться актуализацией, но опять же только при сборе ПДн. Видимо РКН считает, что ПДн могут попасть в базы данных только одним способом — через сбор. На мой взгляд это не совсем так.
Если же взять за основу точку зрения РКН, за которую они так прочно держатся, то получается ровно то, что я писал ранее — передавать можно, хранить нет. А как можно передавать без хранения? Либо исходить из того, что за пределами РФ хранится не обновляемая самостоятельно база. Иными словами, зеркало. А вот первичный ввод и уточнение осуществляются на территории РФ и дальше уже передаются данные, повисающие мертвым грузом за пределами РФ. Возможно. Тогда понятно, почему РКН не способен ответить на вопрос о «зеркалах».
Резюмируя, можно сказать, что регулятор пока стоит на своем и, несмотря на требования закона, трактует их однобоко и очень жестко. Можно конечно говорить, что закон выше позиции регулятора, который к тому же еще и не имеет права трактовать законодательство, но применять его будет именно РКН и не учитывать их позицию было бы неправильно.
А мне более понятна стала позиция РКН. Если вспомнить, что под "передачей" подразумевается передача другому лицу (другой организации), то хранение ПДн внутри российской организации может быть только в БД, расположенных на территории РФ (то есть запрет иностранного хостинга). А вот в случае передачи ПДн (в том числе трансграничной) от оператора ПДн любой другой организации важно только обосновать саму передачу (согласием, договором и т.п.), а дальнейшая проблема хранения будет уже у той стороны. Если это российская организация — ну значит БД в России. Если иностранная и вы обосновали трансграничку и саму передачу какими-либо целями (например бронированием гостиницы или оформлением билетов) — значит нет, проблем та организация будет руководствоваться своим законодательством. Как-то так