Персональные данные могут обрабатываться данные с использованием или без использования средств автоматизации (п. 3 ст. 3 Закона о персональных данных).
Автоматизированной считается обработка данных с помощью средств вычислительной техники. Обработкой без применения средств автоматизации считаются действия с персональными данными, которые осуществляются при непосредственном участии человека (п. 4 ст. 3 Закона о персональных данных, п. 1 Положения, утвержденного Постановлением Правительства РФ от 15.09.2008 N 687).
Обратите внимание, что оператор обязан использовать базы данных, находящиеся в России, для записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан РФ. Это касается также сбора данных через Интернет (ч. 5 ст. 18 Закона о персональных данных). Если не предусмотрены способы определения гражданства (например, нет поля "гражданство" в форме регистрации), то рекомендуется использовать базы, находящиеся в России, для всех персональных данных, которые вы получаете.
Если вы собираетесь передать персональные данные за границу, вы вправе это сделать, но первоначально должны внести их в базу данных на территории РФ, а затем уже осуществлять их трансграничную передачу по правилам ст. 12 Закона о персональных данных.
До начала трансграничной передачи персональных данных необходимо:
получить ряд сведений от органов власти иностранного государства, иностранных физлиц или юрлиц, которым планируете передавать данные. Сведения предоставьте в Роскомнадзор по его запросу;
направить в Роскомнадзор уведомление о трансграничной передаче персональных данных, составленное на бумажном носителе или в форме электронного документа. Включите в него обязательные сведения и подпишите. Оно направляется отдельно от уведомления об обработке персональных данных.
После представления уведомления о трансграничной передаче:
можете передавать персональные данные на территории указанных в уведомлении иностранных государств, которые являются сторонами Конвенции Совета Европы о защите физлиц при автоматизированной обработке персональных данных или включены в Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. Делать это можно до принятия Роскомнадзором решения о запрете или ограничении передачи данных;
до истечения установленных сроков не можете передавать персональные данные на территории указанных в уведомлении иностранных государств, которые не являются сторонами названной Конвенции Совета Европы и не включены в упомянутый Перечень. Исключение: трансграничная передача необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных (других лиц).