Трансграничная передача персональных данных

9 июля 2023 г.

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – «Закон о персональных данных», «Закон № 152-ФЗ») регулярно подвергается корректировке. С 1 марта 2023 года в очередной раз изменились требования к обработке персональных данных[1]. Они коснулись, в том числе, трансграничной передачи персональных данных за границу Российской Федерации.

В статье исследуем новые правила передачи персональных данных в иностранные государства, порядок запрета и ограничения такой передачи, а также рассмотрим конкретные случаи привлечения к ответственности за нарушение установленных правил.

Что такое «трансграничная передача данных»?

В соответствии с пунктом 11 статьи 3 Закона о персональных данных трансграничная передача персональных данных (далее по тексту также – «трансграничная передача ПД») – это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Напомним, что в силу статьи 3 Закона под персональными данными понимается любая информация, прямо или косвенно относящаяся к определенному физическому лицу (субъекту персональных данных). Таким образом, персональными данными являются любые сведения о человеке, которые прямо или косвенно позволяют его идентифицировать, как например, ФИО, дата и место рождения, адрес и телефон, паспортные данные, информация о семейном, социальном и имущественном положении, образовании, профессии и занимаемой должности, сведения, касающиеся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, физиологические данные (дактилоскопические данные, радужная оболочка глаз, голос, анализы ДНК и другие), изображение человека (фотография и видеозапись) и т.п.

Приведем случаи, когда передача персональных данных признается трансграничной:

  • передаются персональные данные работников иностранным компаниям для организации зарубежных командировок или обучения;
  • персональные данные гражданина получают иностранные контрагенты для исполнения контрактов, оформления доверенностей;
  • осуществляется обработка или хранение персональных данных с использованием стороннего сервиса, находящегося за рубежом, используются иностранные CRM-системы для ведения клиентских баз;
  • предоставляется доступ к своим базам данных, находящимся на территории Российской Федерации и содержащим персональные данные, иностранному лицу.

Вместе с тем, не является трансграничной передачей использование иностранной компанией персональных данных граждан России, если они не передаются за границу, или доступ к персональным данным предоставлен своему работнику, который находится за границей.

Таким образом, для квалификации передачи персональных данных граждан России как трансграничной должны соблюдаться два условия: передача осуществляется иностранному оператору ПД и на территорию иностранного государства.

Страны, обеспечивающие адекватную защиту персональных данных

Согласно части 2 статьи 12 Закона о персональных данных уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (далее по тексту – «страны, обеспечивающие адекватную защиту»). Перечень таких стран приведен в приказе Роскомнадзора от 05.08.2022 № 128 (далее по тексту – «Приказ № 128»)[2] и в него включены:

  • государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (далее по тексту – «Конвенция»)[3]. Всего 54 страны, в том числе Франция, Германия, Великобритания, Турция, Италия и др.;
  • государства, не являющиеся сторонами Конвенции, которые применяют меры безопасности при обработке персональных данных, соответствующие положениям Конвенции. Всего 34 страны, такие как Япония, Китай, Индия, Вьетнам и др.

Ранее в страны, обеспечивающие адекватную защиту, можно было свободно передавать персональные данные при условии информирования субъекта персональных данных о предполагаемой передаче. С 1 марта 2023 года для трансграничной передачи в любую страну нужно уведомить Роскомнадзор. При этом в страны, обеспечивающие адекватную защиту, начинать трансграничную передачу можно после направления в Роскомнадзор уведомления о намерении осуществлять трансграничную передачу персональных данных (далее по тексту – «уведомление»).

Если страна, куда планируется трансграничная передача, не включена Приказом № 128 в Перечень стран, обеспечивающих адекватную защиту, передавать данные нельзя до истечения срока рассмотрения Роскомнадзором уведомления (10 рабочих дней). Исключение, если трансграничная передача ПД осуществляется с целью защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц (часть 11 статьи 12 Закона № 152-ФЗ). В этот срок Роскомнадзор может принять решение о запрете или ограничении трансграничной передачи.

Порядок подачи уведомления о трансграничной передаче персональных данных

Как было отмечено выше, с 1 марта 2023 года до начала осуществления трансграничной передачи персональных данных Оператор ПД обязан подать в Роскомнадзор уведомление о своем намерении осуществлять трансграничную передачу персональных данных (часть 3 статьи 12 Закона № 152-ФЗ).

Отметим, что порядок подачи и форма уведомления едины вне зависимости от того планируется ли передача в страны, обеспечивающие адекватную защиту или нет. До подачи такого уведомления оператору ПД следует выполнить следующие мероприятия:

  • подать в Роскомнадзор «общее» уведомление об обработке персональных данных, предусмотренное статьей 22 Закона № 152-ФЗ, если ранее оно не направлялось;
  • получить от принимающей стороны сведения о лицах, которым планируется передача (наименование либо ФИО, почтовые адреса, телефоны, адреса электронной почты), о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки, а также о правовом регулировании в области персональных данных, если принимающая сторона не является участником Конвенции;
  • провести оценку достоверности предоставленных сведений.

Вышеуказанные сведения могут быть запрошены Роскомнадзором после получения уведомления. Уведомление о намерении осуществлять трансграничную передачу данных может быть подано в виде документа на бумажном носителе или в форме электронного документа на сайте Роскомнадзора. Для направления уведомления в электронном виде пройти аутентификацию на Портале государственных услуг, заполнить размещенную на сайте Роскомнадзоа форму и направить ее.

Уведомление должно содержать следующие сведения:

  • наименование и адрес оператора, ФИО лица, ответственного за организацию обработки персональных данных, номера контактных телефонов, почтовые адреса и адреса электронной почты;
  • дату и номер уведомления об обработке персональных данных;
  • правовое основание и цель трансграничной передачи и дальнейшей обработки переданных данных;
  • категории и перечень передаваемых персональных данных;
  • категории субъектов, персональные данные которых передаются;
  • перечень иностранных государств, на территории которых планируется трансграничная передача;
  • дату проведения оценки соблюдения иностранными органами конфиденциальности и обеспечения безопасности персональных данных при их обработке.

Как разъяснил Роскомнадзор на своем официальном сайте, операторам ПД, подавшим уведомление о трансграничной передаче до 1 марта 2023 года, новое уведомление после этой даты подавать не требуется, до тех пор, пока в их деятельности не произойдут изменения, которые предполагают создание новых трансграничных потоков данных (в новые страны или для новых целей).

Срок рассмотрения уведомления – 10 рабочих дней со дня его получения, по результатам которого контролирующий орган может принять решение о запрете или ограничении передачи. Основания для принятия такого решения рассмотрим ниже.

Кроме того, в случае наличия в поступившем уведомлении неполных или несоответствующих сведений Роскомнадзор приостанавливает рассмотрение уведомления на срок до 10 рабочих дней и направляет запрос о предоставлении недостающих сведений и (или) пояснений относительно выявленных несоответствий. Ответ должен быть предоставлен оператором ПД в течение 5 рабочих дней с даты получения запроса. При устранении причин, повлекших приостановку, в течение 3-х рабочих дней рассмотрение возобновляется. Если в установленный срок причины, повлекшие приостановление не устранены, уведомление не рассматривается. О возобновлении или прекращении рассмотрения Роскомнадзор уведомляет оператора персональных данных любым доступным способом, позволяющим подтвердить факт его получения.

Также вправе направить оператору персональных данных запрос о предоставлении дополнительных сведений. Основаниями для направления такого запроса являются:

  • отсутствие в распоряжении контролирующего органа сведений о наличии у иностранного государства, на территорию которого планируется передача, уполномоченного органа в области защиты прав субъектов персональных данных;
  • планирование трансграничной передачи некоторых категорий ПД: биометрических, специальных, персональных данных, полученных в результате обезличивания или персональных данных несовершеннолетних лиц;
  • наличие признанной обоснованной жалобы на деятельность иностранного лица, которому планируется передача, по обработке персональных данных.

Срок для предоставления дополнительных сведений – 10 рабочих дней с даты получения запроса. В случае необходимости уточнения и (или) актуализации сведений Оператор вправе направить мотивированное уведомление о продлении срока предоставления запрошенных сведений. Последствиями предоставления или непредоставления сведений являются возобновление или прекращение рассмотрения уведомления.

Постановлением Правительства России от 29.12.2022 № 2526 утвержден Перечень случаев, когда такие операторы персональных данных – государственные и муниципальные органы могут осуществлять трансграничную передачу для выполнения возложенных на них международным договором РФ и законодательством РФ функций, полномочий и обязанностей без уведомления Роскомнадзора. К таковым, в частности, отнесены:

  • осуществление и обеспечение международных воздушных и морских перевозок, железнодорожного и автомобильного сообщения;
  • оказание услуг почтовой связи оператором почтовой связи Российской Федерации;
  • осуществление предупреждения и ликвидации чрезвычайных ситуаций;
  • обеспечение дипломатических сношений;
  • обеспечение обороны страны;
  • обеспечение консульских сношений;
  • содействие в сфере правоохранительной деятельности, выдачу лиц для уголовного преследования и исполнения приговора, передачу осужденных и лиц, страдающих психическими расстройствами, для принудительного лечения;
  • обеспечение представительства и защиты интересов Российской Федерации в межгосударственных органах, иностранных и международных (межгосударственных) судах, иностранных и международных третейских судах (арбитражах).

Требования к трансграничной передаче ПД

Для трансграничной передачи персональных данных законодательством не установлены какие-либо специальные требования. Руководствоваться следует общими принципами и условиями, установленными Законом о персональных данных, как-то:

  • Обработка персональных данных должна осуществляться на законной и справедливой основе.
  • Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
  • Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. При этом в соответствии с частью 5 статьи 18 Закона о персональных данных запись, систематизация, накопление, хранение, уточнение, извлечение персональных данных граждан Российской Федерации должно осуществляться только с использованием баз данных, находящихся на территории Российской Федерации. Нарушение данной обязанности влечет за собой риск привлечения частью 8 статьей 13.11 КоАП РФ с наложением штрафа на должностных лиц до 200 000 рублей, на юридическое лицо – до 6 000 000 рублей.
  • Обработке подлежат только персональные данные, которые отвечают целям их обработки.
  • Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
  • При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных.

По общему правилу, обработка персональных данных осуществляется только с согласия субъекта персональных данных. Обрабатывать персональные данные без согласия их субъекта можно только в случаях, прямо предусмотренных в Законе о персональных данных.

Отметим, что до 1 марта 2023 года Закон № 152-ФЗ требовал получения отдельного согласия на трансграничную передачу, если персональные данные передавались в страны, не обеспечивающие адекватную защиту. На данный момент такое требование утратило силу. Однако это не означает, что трансграничную передачу можно осуществлять без каких-либо ограничений. Субъект персональных данных имеет право знать об осуществленной или предполагаемой трансграничной передаче его данных (п. 8 ч. 7 ст. 14 Закона № 152-ФЗ). В согласии на обработку персональных данных необходимо указывать, что персональные данные будут передаваться третьим лицам в другие страны.

Запрещение или ограничение трансграничной передачи

В соответствии с частями 9 и 12 статьи 12 Закона о персональных данных Роскомнадзор вправе запретить или ограничить трансграничную передачу персональных данных в следующих целях:

  • защиты нравственности, здоровья, прав и законных интересов граждан – по результатам рассмотрения поданного уведомления о намерении осуществлять трансграничную передачу ПД;
  • защиты основ конституционного строя Российской Федерации и безопасности государства – по представлению Федеральной службы безопасности;
  • обеспечения обороны страны – по представлению Министерства обороны РФ;
  • защиты экономических и финансовых интересов Российской Федерации – по представлению федеральных органов исполнительной власти, уполномоченных Президентом или Правительством Российской Федерации;
  • обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене – по представлению Министерства иностранных дел РФ.

Решение о запрете или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан принимается в порядке, определенном постановлением Правительства России от 16.01.2023 № 24 (далее по тесту – «Постановление № 24»)[4].

Запрет трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан производится если:

  • иностранными органами и лицами, которым планируется трансграничная передача, не принимаются меры по защите передаваемых персональных данных, а также не определены условия прекращения их обработки;
  • иностранное юридическое лицо, является организацией, деятельность которой запрещена на территории Российской Федерации на основании вступившего в законную силу решения суда;
  • иностранное юридическое лицо, включено в перечень иностранных и международных неправительственных организаций, деятельность которых признана нежелательной на территории Российской Федерации. Указанный Перечень ведется Минюстом России и размещается на его официальном сайте.
  • трансграничная передача и дальнейшая обработка переданных персональных данных несовместима с целями сбора персональных данных;
  • трансграничная передача персональных данных осуществляется в случаях, не предусмотренных Законом о персональных данных.

Ограничения трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан осуществляются если:

  • содержание и объем персональных данных, планируемых к трансграничной передаче, не соответствуют цели трансграничной передачи персональных данных;
  • категории субъектов персональных данных, персональные данные которых планируются к трансграничной передаче, не соответствуют цели трансграничной передачи персональных данных.

Решение о запрещении или об ограничении трансграничной передачи персональных данных Роскомнадзор принимает в течение 10-ти рабочих дней с даты поступления от оператора ПД уведомления. Оно вступает в силу с даты подписания и направляется оператору не позднее следующего дня любым доступным способом, позволяющим подтвердить факт получения. Оператор может при устранении причин, повлекших запрещение или ограничение, повторно подать уведомление, но не ранее чем через 10 рабочих дней после вынесения первоначального решения.

По данным СМИ со ссылкой на представителя Роскомнадзора с марта 2023 года по настоящее время вынесено 7 решений о запрете и ограничении трансграничной передачи. Речь идет о финансовых и логистических компаниях. Решения о запрете и ограничении были вынесены из-за несоответствия цели трансграничной передачи персональных целям, которые указывались при их сборе. В частности, компании планировали передавать за рубеж личные данные соискателей, а также потенциальных клиентов для проверки их платежеспособности.

Порядок принятия решения о запрете или ограничении трансграничной передачи персональных данных по представлению федеральных органов исполнительной власти определен в Постановлении Правительства России от 10.01.2023 № 6 (далее по тексту – «Постановление № 6»)[5].

Направленное органами исполнительной власти представление рассматривается Роскомнадзором в течение 5 рабочих дней с даты его поступления. Решение о запрещении или об ограничении трансграничной передачи персональных данных направляется органу, направившему представление, а также дополнительно иностранному государству и операторам, осуществляющим трансграничную передачу. При устранении причин, повлекших принятие такого решения, запрет или ограничение могут быть сняты Роскомнадзором по обращению органа исполнительной власти, направлявшего представление.

Если Роскомнадзор запретил трансграничную передачу персональных данных по любому из оснований, оператор обязан обеспечить уничтожение ранее переданной информации иностранным лицом, получившим такие персональные данные.

Порядок обжалования решений о запрещении или об ограничении трансграничной передачи ПД

Решение о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан может быть обжаловано в судебном порядке или вышестоящему должностному лицу Роскомнадзора.

Жалоба может быть подана в течение одного месяца с момента получения оператором персональных данных решения и должна содержать:

  • фамилию и инициалы вышестоящего должностного лица, которому подается жалоба;
  • сведения о лице, подавшем жалобу;
  • указание на обжалуемое решение;
  • доводы, на основании которых оператор не согласен с решением;
  • перечень материалов, прилагаемых к жалобе.

Жалоба рассматривается в течение 10 рабочих дней с даты ее регистрации. Принятое по жалобе решение направляется оператору ПД не позднее дня, следующего за датой принятия решения. Решение по результатам рассмотрения жалобы также может быть обжаловано в судебном порядке.

Обжалование решений, принятых по представлению федеральных органов исполнительной власти, Постановлением № 6 прямо не предусмотрено. Вместе с тем, на наш взгляд, это не лишает права заинтересованное лицо обжаловать решение в порядке главы 24 АПК РФ «Оспаривание ненормативных правовых актов, решений и действий (бездействия) государственных органов». На сегодняшний день такой практики найти не удалось, однако это связано, на наш взгляд, с тем, что нормы о запрете и ограничении трансграничной передачи только начали применяться.

Ответственность за нарушение правил трансграничной передачи ПД

Специальных норм, устанавливающих административную ответственность за нарушение правил трансграничной передачи данных, в КоАП РФ пока не предусмотрено. Привлечение к ответственности осуществляется по тем же нормам, что и за иные нарушение правил обработки персональных данных.

За ненаправление или несвоевременное направление уведомлений об обработке персональных данных и о намерении осуществлять их трансграничную передачу, представление сведений в неполном объеме или в искаженном виде привлекут к административной ответственности по статье 19.7 КоАП РФ «Непредставление сведений (информации)». Наказание: штраф на должностных лиц – от 300 до 500 рублей; на юридических лиц – от 3 000 до 5 000 рублей.

Так, в одном из рассматриваемых судом дел Роскомнадзор в ходе проведения плановой выездной проверки выявил несоответствие заявленной в уведомлении информации об отсутствии трансграничной передачи ПД фактической деятельности Общества. Общество признали виновным в совершении нарушения, предусмотренного статьей 19.7 КоАП РФ, Оспорить постановление о привлечении к ответственности не удалось[6].

За нарушение правил трансграничной передачи есть риск привлечения к ответственности по нормам статьи 13.11. КоАП РФ, как например:

  • За обработку персональных данных вне предусмотренных законом случаях, либо несовместимых с целями сбора персональных данных (ч. 1 ст. 13.11 КоАП РФ). Наказание: штраф на должностных лиц – от 10 000 до 20 000 рублей; на юридических лиц – от 60 000 до 100 000 рублей.
  • Обработка персональных данных без согласия в письменной форме субъекта персональных данных либо с нарушением требований к согласию (ч. 2 ст. 13.11 КоАП РФ). Наказание: штраф на должностных лиц – от 20 000 до 45 000 рублей; на юридических лиц – от 30 000 до 150 000 рублей.
  • Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных. Наказание: штраф на должностных лиц – от 8 000 до 12 000 рублей; на юридических лиц – от 40 000 до 80 000 рублей.

По результатам проверок контролирующие органы могут также выдать обязательные для исполнения представления и предписания об устранении выявленных нарушений. Так, в одном из дел прокуратурой в адрес организации было вынесено представление об устранении нарушений при обработке персональных данных. Основанием для вынесения представления послужили:

  • отсутствие согласия уволенных работников на трансграничную передачу их персональных данных на территорию Ирландии и Великобритании, а также в отсутствие указания на трансграничную передачу данных в договоре с контрагентом;
  • осуществление трансграничной передачи персональных данных работников на территорию иностранного государства, не обеспечивающего адекватной защиты прав субъектов персональных данных, на основании согласия в письменной форме работника, несоответствующего требованиям Закона о персональных данных.

Оспорить представление в суде не удалось: суд согласился с доводами прокурора, что трансграничная передача персональных данных работников в отсутствие их письменного согласия нарушает требования Закона № 152-ФЗ[7].

Кроме того, за нарушение норм закона при трансграничной передаче персональных данных лицо может быть привлечено к гражданско-правовой ответственности в форме возмещения потерпевшему лицу убытков или компенсации морального вреда. Так, в одном из дел управляющая магазином передала гражданину Узбекистана в личных целях персональные данные одного из работников, а именно – номер мобильного телефона. Впоследствии на данный номер поступали сообщения, содержащие ненормативную лексику и угрозы личного характера. Субъект персональных данных обратился в суд к магазину и управляющей с иском о компенсации морального вреда в размере 100 000 рублей солидарно. Указанные в иске обстоятельства были подтверждены в ходе проведенной Роскомнадзором проверки. Суд учел, что номер мобильного телефона истца был предоставлен им лично управляющей магазином, а передача персональных данных истца третьему лицу была произведена ей не в связи с осуществлением трудовых обязанностей, а личного конфликта. С управляющей взыскал моральный вред в размере 5 000 рублей, во взыскании морального вреда с магазина – отказал[8].

Кроме того, за нарушение правил трансграничной передачи персональных данных при исполнении трудовых обязанностей работник может быть привлечен работодателем к дисциплинарной ответственности. Так произошло в вышерассмотренном деле. Управляющей магазином по результатам проведенной Роскомнадзором проверки был объявлен выговор.

Подводя итоги, отметим, что требования к обработке персональных данных граждан России, включая правила трансграничной передачи, все подробнее и подробнее регламентируются, а ответственность за их нарушение регулярно ужесточаются. В связи с этим операторам персональных данных, осуществляющим их трансграничную передачу, необходимо наладить работу в данной области и своевременно отслеживать изменения действующего законодательства.

____________________________

 

[1] Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности».

[2] Приказ Роскомнадзора от 05.08.2022 № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных».

[3] Заключена в г. Страсбург 28.01.1981.

[4] Постановление Правительства РФ от 16.01.2023 № 24 «Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».

[5] Постановление Правительства РФ от 10.01.2023 № 6 «Об утверждении Правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных уполномоченным органом по защите прав субъектов персональных данных и информирования операторов о принятом решении».

[6] Решение Эжвинского районного суда г. Сыктывкара от 18.09.2017 по делу № 12-102/2017.

[7] Апелляционное определение Московского городского суда от 04.06.2018 по делу № 33А-3957/2018.

[8] Решение Ленинского районного суда г. Санкт-Петербург от 25.08.2022 по делу № 2-644/2022.

 

9 июля 2023 г.

Наша почта
info@brace-lf.com

Вы можете направить нам запрос на e-mail с подробным описанием вопроса.

Наш телефон
+ 7 (499) 755-56-50

Связаться с нами по телефону.

Клиенты и партнеры

65.png
68.png
69.png
73.png
75.png
fitera.jpg
imko.png
logo.png
Logo_RED_RGB_Rus.png
logo_SK_2.png