В этой статье рассматривается взаимодействие сервиса myBI Connect и закона о персональных данных. В качестве хранилища данных наш сервис использует облачные сервера Яндекс, расположенные в России, а также базы данных Microsoft Azure, которые располагаются в Северной Европе – для России это наиболее оптимальный data-центр Microsoft.
При этом Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (Закон N 152-ФЗ) предписывает всем операторам обрабатывать персональные данные российских граждан исключительно с использованием баз данных, размещаемых на территории России (ч. 5 ст. 18). Аналогичное правило предусмотрено и в п. 7 ч. 4 ст. 16 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Закон N 149-ФЗ).
Однако, этот закон имеет исключения (указанные в п.п. 2, 3, 4, 8 ч. 1 ст. 6 Закона N152-ФЗ), а также разъяснение Минкомсвязи, согласно которому обработка персональных данных граждан России посредством сбора, записи, систематизации, накопления, хранения, уточнения, извлечения может осуществляться с использованием баз данных, не находящихся на территории России, в случаях если такая деятельность не подпадает под случаи, предусмотренные п.п. 2, 3, 4, 8 ч. 1 ст. 6 Закона N 152-ФЗ, и на территории России находятся используемые для такой обработки персональных данных базы данных, в которых содержится больший объем персональных данных или равный находящемуся за пределами территории России (в этом случае недопустимо нахождение за пределами территории Российской Федерации персональных данных, которые одновременно не находятся в пределах территории Российской Федерации).
Такое разъяснение базируется на ч. 5 ст. 18 Закона N 152-ФЗ и общих положениях указанного закона, в которых не имеется разделения на «основную» базу персональных данных и ее «копию». В обоих случаях речь идет о базе данных, с помощью которой обрабатываются персональные данные. Вместе с тем, закон не содержит указаний на общий запрет обработки персональных данных граждан России с использованием баз данных, не находящихся на территории России.
Таким образом, первичная обработка и хранение персональных данных всегда должна осуществляться с использованием баз данных, находящихся на территории России, а вторичная обработка и хранение в том же или меньшем объеме допускаются и с использованием баз данных, находящихся за пределами территории России. В ситуации с нашим Сервисом первичную обработку и хранение персональных данных осуществляют операторы сторонних сервисов – источники данных, которые вы используете для анализа при помощи нашего Сервиса.
Наш Сервис при этом выступает оператором вторичной обработки и хранения персональных данных, в связи с чем на него не распространяется ограничение по хранению баз данных только на территории России. Наши базы данных всегда вторичны и никогда не будут содержать больше данных, чем первичная база данных анализируемого стороннего сервиса.