<Письмо> Минцифры России от 12.05.2025 N П25-44929
МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ
И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПИСЬМО
от 12 мая 2025 г. N П25-44929
О ПРИМЕНЕНИИ
ОТДЕЛЬНЫХ ПОЛОЖЕНИЙ ФЕДЕРАЛЬНОГО ЗАКОНА
ОТ 28.02.2025 N 23-ФЗ
Департамент обеспечения кибербезопасности Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации (далее - Министерство), рассмотрев в пределах своей компетенции письмо <...> о предоставлении информации о применении отдельных положений Федерального закона от 28 февраля 2025 г. N 23-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" и отдельные законодательные акты Российской Федерации" (далее - Закон N 23-ФЗ), сообщает следующее.
Согласно пункту 3 статьи 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
На основании пункта 11 статьи 3 Закона N 152-ФЗ трансграничной передачей персональных данных является передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
В соответствии с частью 5 статьи 18 Закона N 152-ФЗ (в редакции Закона N 23-ФЗ, вступающего в законную силу 1 июля 2025 г.) при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами Российской Федерации, не допускается, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона N 152-ФЗ.
С учетом изложенного требования части 5 статьи 18 Закона N 152-ФЗ (в редакции Закона N 23-ФЗ, вступающего в законную силу 1 июля 2025 г.) распространяются на деятельность операторов, осуществляющих сбор персональных данных граждан Российской Федерации.
Ограничения на осуществление трансграничной передачи персональных данных, ранее собранных с использованием баз данных, находящихся на территории Российской Федерации, в случаях, установленных частью 1 статьи 6 Закона N 152-ФЗ, указанной нормой не устанавливаются.
При этом обращаем внимание, что уточнение (обновление, изменение), а равно хранение персональных данных граждан Российской Федерации, в том числе их копий, оператором, осуществляющим сбор персональных данных граждан Российской Федерации, должны осуществляться с использованием баз данных, расположенных в Российской Федерации.
Несоблюдение требований части 5 статьи 18 Закона N 152-ФЗ (в редакции Закона N 23-ФЗ, вступающего в законную силу 1 июля 2025 г.) образует составы административных правонарушений в соответствии с действующими редакциями части 8 и части 9 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях.
Устанавливаемые ограничения не распространяются на обработку персональных данных, осуществляемую в случаях, предусмотренных пунктами 2, 3, 4, 8 части 1 статьи 6 Закона N 152-ФЗ.
Последующая трансграничная передача персональных данных подлежит осуществлению в соответствии с требованиями статьи 12 Закона N 152-ФЗ, в том числе по подаче уведомления о намерении осуществлять трансграничную передачу персональных данных.
Подача указанного уведомления в соответствии с частью 3 статьи 12 Закона N 152-ФЗ осуществляется оператором, намеревающимся передавать персональные данные на территорию иностранного государства органам власти иностранных государств, иностранным физическим или юридическим лицам, до начала осуществления деятельности по трансграничной передаче персональных данных.
Случаи, при которых не требуется подача уведомления о намерении осуществлять трансграничную передачу персональных данных, предусмотрены пунктом 1 перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей, не применяются требования частей 3 - 6, 8 - 11 статьи 12 Федерального закона "О персональных данных", утвержденного постановлением Правительства Российской Федерации от 29 декабря 2022 г. N 2526.
Подать уведомление, предусмотренное частью 3 статьи 12 Закона N 152, можно с помощью формы, размещенной на Портале персональных данных Роскомнадзора (доступна в информационно-телекоммуникационной сети "Интернет" по следующей ссылке: https://pd.rkn.gov.ru/cross-border-transmission/form2/).
Отмечаем, что использование отдельных метрических программ, в частности "Google Analytics", функционал которых предполагает обработку персональных данных, является трансграничной передачей персональных данных в понимании пункта 11 статьи 3 Закона N 152-ФЗ и подпадает под правовое регулирование статьи 12 Закона N 152-ФЗ.
Относительно вопросов по моменту сбора согласий на обработку персональных данных и объединению баз персональных данных, считаем необходимым отметить следующее.
Согласно части 1 статьи 6 Закона N 152-ФЗ обработка персональных данных допускается при наличии согласия субъекта на обработку его персональных данных. Случаи, при которых обработка персональных данных допускается без согласия субъекта персональных данных, предусмотрены пунктами 2 - 11 части 1 статьи 6 Закона N 152-ФЗ.
Как следствие, оператор обязан обеспечить одно из указанных правовых оснований при сборе персональных данных субъекта персональных данных.
Одним из принципов обработки персональных данных в соответствии с частью 3 статьи 5 Закона N 152-ФЗ является недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Из указанных положений следует, что объединение в рамках одной информационной системы персональных данных пользователей нескольких сайтов, принадлежащих оператору, обрабатываемых в одинаковых целях, не противоречит требованиям законодательства Российской Федерации в области персональных данных.
Обращаем внимание, что, исходя из закрепленного подпунктом 6.6 Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 2 июня 2008 г. N 418, права "давать государственным органам, органам местного самоуправления, юридическим и физическим лицам разъяснения по вопросам, отнесенным к сфере ведения Министерства", настоящее письмо не содержит правовых норм или общих правил, конкретизирующих нормативные предписания, и не является нормативным правовым актом. Данное письмо носит информационно-разъяснительный характер по вопросам компетенции Министерства.
Врио директора Департамента
обеспечения кибербезопасности
Е.В.ХАСИН