Алексей Ветров
Эксперт по защите данных IC-TECH
Да, архивы, содержащие персональные данные граждан РФ, также подпадают под требование локализации. Закон не делает различий между «активными» базами и архивными фондами — любое хранение, включая архивное, рассматривается как обработка персональных данных.
Обоснование по законодательству
- ФЗ-152, ст. 18 ч. 5 — оператор обязан обеспечивать хранение и извлечение ПДн граждан РФ с использованием баз данных, расположенных в России.
- ФЗ-242 от 21.07.2014 — закрепил требование локализации без указания исключений для архивов.
- ФЗ-125 «Об архивном деле в РФ» — устанавливает, что документы, содержащие ПДн, хранятся в архивах с соблюдением требований о защите информации.
Практика применения
Роскомнадзор в проверках указывает, что архивы с бумажными и электронными носителями ПДн должны находиться на территории РФ. Даже если архив не используется в повседневной работе, его размещение за пределами России будет рассматриваться как нарушение.
Например, в одной из проверок организация хранила резервные архивные копии в зарубежном дата-центре. Роскомнадзор обязал перенести их в Россию и подтвердить выполнение предписания актами.
Что важно учитывать компаниям
- Архивы приравниваются к базам данных. Если там есть сведения о гражданах РФ, хранить их нужно на территории страны.
- Форма носителя не имеет значения. Требование распространяется как на электронные архивы, так и на бумажные дела.
- Резервные копии — тоже архив. Их хранение за рубежом недопустимо без выполнения требований локализации.
- Если архив содержит сведения о гражданах других стран, но вместе с ними хранятся данные россиян, то архив должен быть локализован.
Рекомендации и выводы
Да, архивы с персональными данными граждан РФ подлежат обязательной локализации. Чтобы избежать претензий:
- Проверьте, где физически расположены архивы (бумажные и электронные).
- Обеспечьте хранение бумажных архивов в России и настройте электронные системы так, чтобы они использовали российские дата-центры.
- Внесите порядок локализации архивов в регламенты по ПДн.
- Подготовьте документы, подтверждающие место хранения (акты, договоры с хостингом, внутренние приказы).
Компания ICTech поможет провести аудит архивов и разработать комплект документов, чтобы ваши процессы полностью соответствовали требованиям о локализации.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
