Что такое локализация персональных данных? И почему это нужно соблюдать?

Законодательные изменения, введённые Федеральным законом от 21.07.2014 года № 242-ФЗ, обязали операторов персональных данных вести первичные обработки данных граждан средствами, расположенными на территории России.

С помощью вышеуказанного закона 242-ФЗ была произведена локализация персональных данных на территории действия российского законодательства. В России была создана первичная база с актуальными персональными данными россиян.

Нормы закона "О персональных данных", регулирующие трансграничную передачу персональных данных (ст. 12), позволяют создавать вторичные базы данных российских граждан на территории иностранных государств с соблюдением всех необходимых мер информационной безопасности.

Локализация обработки персональных данных может быть определена как территорией одного государства, так и объединённой территорией нескольких. Например, локализация на территории стран Конвенции Совета Европы "О защите физических лиц при автоматизированной обработке персональных данных".

В странах "европейской Конвенции" локализацию и трансграничную передачу персональных данных регулируют нормы GDPR (англ. General Data Protection Regulation).

В этих станах предусмотрены два режима передачи персональных данных: 1) между странами, участниками ЕС; 2) в страны, не являющиеся участниками Конвенции ЕС.

Российское законодательство о персональных данных поддерживает основные нормы европейского GDPR, но оно направлено в первую очередь на сохранение безопасного пространства персональных данных на территории России. Одним из важных достижений локализации ПДн на Российской территории является обязательное использование центров обработки данных, соответствующих требованиям ФСТЭК и ФСБ России.

Таким образом отечественные дата-центры получили преимущественное право осуществлять первичную обработку персональных данных и в случае участия в обработках иностранных компаний - иностранные представительства, расположенные на территории России.