Сбор персональных данных – новые требования

сбор персональных данных

Понятие «сбор персональных данных» имеет непосредственное отношение к требованиям о локализации персональных данных. С 1 июля 2025 года начали действовать новые нормы, касающиеся локализации персональных данных. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — далее «Закон № 152-ФЗ» ) определяет (ч. 5 ст. 18), что при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением некоторых специальных случаев, указанных в законе.

Таким образом, требования к локализации персональных данных российских граждан стали еще более строгими, что определяется необходимостью обеспечения интересов национальной безопасности и минимизацией рисков утечек персональных данных за рубеж. В связи с этим для операторов персональных данных становится критически важным соблюдение нормативных требований, установленных в отношении сбора персональных данных.

Определение и принципы сбора персональных данных

Сбор персональных данных – это один из ключевых этапов обработки персональных данных, представляющий из себя как действия, направленные на получение персональных данных от субъекта или иных источников. К сбору относятся, в частности, опросы, анкетирование, получение данных через формы на сайтах, мессенджеры или документы.

Основные принципы сбора персональных данных изложены в статье 5 Закона № 152-ФЗ: законность, справедливость, целесообразность и ограничение целями обработки. Оператор (организация или лицо, осуществляющее обработку) обязан получить согласие субъекта на сбор персональных данных, за исключением случаев, предусмотренных законом, таких как исполнение договора или защита прав.

Сбор персональных данных может осуществляться как в автоматизированном режиме (с помощью IT-систем), так и вручную. Важно, чтобы данные собирались только в объеме, необходимом для заявленных целей, и не превышали их.

Ключевое отличие сбора от иных способов обработки персональных данных

Обработка персональных данных – это более широкое понятие, включающее любое действие или совокупность действий с персональными данными, такие как запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение (статья 3 Закона № 152-ФЗ). Сбор персональных данных, в отличие от других способов, является начальным этапом, фокусирующимся именно на получении данных.

Ключевое отличие заключается в цели и моменте: сбор персональных данных – это акт приобретения информации, который требует прямого взаимодействия с субъектом или источником, и он всегда предшествует другим операциям.

Например, систематизация – это упорядочивание уже собранных данных, а хранение – их поддержание в доступном виде. В отличие от использования (применения данных для целей), сбор персональных данных не подразумевает активного применения; он пассивен по отношению к дальнейшей обработке и, в тоже время на этапе сбора оператор должен обеспечить максимальную законность процессов, так как на этом этапе риски нарушения прав субъекта персональных данных максимальны

Сбор персональных данных и трансграничная передача персональных данных

Российское законодательство разграничивает понятия локализации персональных данных и собственно трансграничной передачи персональных данных, хотя эти требования взаимосвязаны. Локализация персональных данных  обязывает оператора при сборе персональных данных граждан РФ обеспечивать запись, хранение и первоначальную обработку таких данных в базах данных, находящихся на территории Российской Федерации. Данная норма вступила в силу еще в сентябре 2015 года и фактически запретила хранить персональные данные россиян за рубежом без их предварительного локального сохранения в РФ.

Новые требования по локализации персональных данных существенным образом меняют архитектуру обработки персональных данных при наличии трансграничной передачи.

В этой связи некоторые специалисты по защите персональных данных полагают, что сбор — это активные действия оператора персональных данных по получению информации непосредственно от субъекта. Если, например, оператор получил персональные данные не напрямую от субъекта, такой случай не должен рассматриваться как сбор. Или если, например российский оператор получив персональные данные от российских граждан передал в дальнейшем эти данные для обработки в иностранную информационную систему он не нарушает требования о локализации, потому что здесь есть некое «получение данных», а не сбор.

В качестве доказательства своей правоты эти специалисты ссылаются на известные Письмо Минцифры России от 12.05.2025 N П25-44929 «О применении отдельных положений Федерального закона от 28.02.2025 N 23-ФЗ» и Письмо Роскомнадзора от 24.03.2025 № 08-134789 «О рассмотрении запроса по локализации баз данных»

На наш взгляд, указанная точка зрения некорректна, несет существенные риски для операторов персональных данных, а позиция профильных ведомств будут скорректированы в рамках правоприменительной практики.

Нормы о локализации персональных данных введены для защиты информационного суверенитета. Законодатель четко определил — нет причин, которые  оправдывали бы сбор персональных данных российский граждан какими-то зарубежными сервисами. Тем более, что есть понятные и прозрачные IT-решения, при которых соблюдаются все требования, и по локализации, и по трансграничной передаче. Соответственно, любая передача персональных данных российских граждан в иностранную юрисдикцию, если при этом данные включаются в иностранную базу данных является прямым нарушением требований о локализации.

Нарушение требований по сбору персональных данных при использовании иностранных мессенджеров

Рассмотрим конкретный сценарий: оператор персональных данных, например региональный отель, получает от клиента-гражданина РФ персональные данные (заявка на проживание с указанием ФИО, телефона, иных контактных данных) с использованием WhatsApp.

В этом случае однозначно осуществляются и трансграничная передача персональных данных и сбор персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет». Поскольку WhatsApp использует облачные серверы в США, процесс включает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных с использованием баз данных за пределами РФ, что прямо запрещено частью 5 статьи 18 Закона № 152-ФЗ.

Ответственность за нарушение требований о локализации персональных данных

Ответственность за нарушение требований о локализации предусмотрена частями 8 и 9 статьи 13.11 КоАП РФ и предусматривает наложение административного штрафа на должностных лиц — от ста тысяч до двухсот тысяч рублей; на юридических лиц — от одного миллиона до шести миллионов рублей. Повторное совершение указанного административного правонарушения влечет наложение административного штрафа на должностных лиц — от пятисот тысяч до восьмисот тысяч рублей; на юридических лиц — от шести миллионов до восемнадцати миллионов рублей

Сбор персональных данных — приоритеты национальной безопасности

Сбор персональных данных в российском законодательстве представляет собой строго регулируемый процесс, который принципиально отличается от других способов обработки, таких как хранение, использование или передача, своим фокусом именно на этапе получения информации от субъекта или иных источников.

В 2025 году особый акцент делается на локализации данных и строгой регламентации использования иностранных сервисов для трансграничной передачи, что делает соблюдение норм критически важным для всех операторов. Эти нормы, регламентирующие сбор персональных данных, в значительной степени определяются политикой защиты национального информационного суверенитета Российской Федерации, направленной на обеспечение контроля над информационными потоками, предотвращение утечек стратегически важных данных за рубеж и укрепление независимости от внешних технологических платформ. Такая политика подчеркивает приоритет национальной безопасности в цифровой сфере, где персональные данные граждан рассматриваются как элемент государственного суверенитета, аналогично территориальным или экономическим ресурсам.

Организации должны активно адаптироваться к этим требованиям, проводя регулярные аудиты процессов сбора данных, внедряя отечественные IT-решения для локализации и разрабатывая внутренние нормативные акты, соответствующие федеральным законам. Рекомендуется обращаться за консультациями к квалифицированным юристам, специализирующимся на защите персональных данных, для своевременной корректировки процедур и минимизации рисков, что не только поможет избежать финансовых потерь, но и укрепит доверие клиентов в условиях растущей цифровизации.

Продолжая просмотр настоящего сайта, Вы соглашаетесь с использованием файлов cookies (куки) и иных методов, средств и инструментов интернет-статистики и настройки, применяемых на сайте для целей, указанных в Политике обработки персональных данных.