При планировании процессов обработки ПДн, включающих иностранный элемент, важно учитывать, что запрет на использование иностранных баз данных при обработке ПДн граждан РФ обязаны соблюдать также иностранные лица, которые осуществляют обработку ПДн граждан РФ на основании их согласия, договора или иного соглашения с субъектами ПДн. При этом в силу экстерриториального действия Закона № 152-ФЗ такая обязанность возлагается на иностранных лиц, как имеющих филиалы/представительства в России, так и не имеющих в нашей стране никакого присутствия.
За время, оставшееся до вступления в силу новых требований по локализации, целесообразно проанализировать процессы обработки ПДн, которые включают иностранный элемент, например: участие в процессе иностранных лиц, передающих или получающих ПДн граждан РФ; использование информационных систем, размещенных за пределами РФ, иностранных источников ПДн (зарубежные сайты и пр.); если для обработки ПДн используются открытые источники информации или облачные ресурсы, в отношении них также необходимо проверить, кому принадлежат такие сайты и ресурсы и где размещены серверы / базы данных.
Если системы, ресурсы находятся не в России или информация об их месте нахождения отсутствует, стоит уделить особое внимание отдельным процессам. С учетом новых требований законодательства внутренние документы нужно актуализировать, а алгоритмы операций по обработке ПДн в отношении сбора и использования и/или передачи уже собранных ПДн пересмотреть и при необходимости разделить, так как формально требование о локализации не распространяется на «использование» и «передачу» ПДн. Однако разграничение этих действий и определение момента завершения сбора осложняется отсутствием их законодательного определения.