С 01.09.2022 вступил в силу Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон „О персональных данных“, отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона „О банках и банковской деятельности“» (далее — Закон № 266-ФЗ). В нем предусмотрены существенные поправки, касающиеся обработки персональные данных, в том числе их трансграничной передачи.
Однако изменения, связанные с передачей персональных данных за границу, вступят в силу только 01.03.2023 (ч. 2 ст. 6 Закона № 266-ФЗ). Причем новые правила будут распространяться не только на тех, кто после 01.03.2023 начнет передавать за границу персональные данные, но и на тех, кто делал это и до такой даты.
Под трансграничной передачей персональных данных понимается передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу (п. 11 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных). Например, это возможно при использовании иностранных баз данных, сервисов для отправления рассылок и т.д.
Главное нововведение заключается в том, что при трансграничной передаче персональных данных нужно будет отправлять уведомление в Роскомнадзор. То есть помимо уведомления о начале обработки персональных данных придется отправлять отдельное уведомление о намерении осуществлять трансграничную передачу персональных данных. Причем отмечается, что такое уведомление нужно отправить до начала трансграничной передачи персональных данных (п. 3 ст. 12 Закона о персональных данных в новой редакции).
Уведомление можно отправить в виде документа на бумажном носителе или в форме электронного документа. В нем должны содержаться следующие сведения:
-
наименование (Ф.И.О.), адрес оператора, а также дата и номер уведомления о намерении осуществлять обработку персональных данных, ранее направленного оператором;
-
наименование (Ф.И.О.) лица, ответственного за организацию обработки персональных данных, номера контактных телефонов, почтовые адреса и адреса электронной почты;
-
правовое основание и цель трансграничной передачи персональных данных и дальнейшей обработки переданных персональных данных;
-
категории и перечень передаваемых персональных данных;
-
категории субъектов персональных данных, персональные данные которых передаются;
-
перечень иностранных государств, на территории которых планируется трансграничная передача;
- дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими и юридическими лицами, которым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке (п. 4 ст. 12 Закона о персональных данных в новой редакции).
При этом порядок работы с трансграничной передачей персональных данных будет зависеть от того, в какую страну передаются эти данные и насколько адекватную защиту персональных данных предоставляет эта страна.
Допустим, трансграничная передача персональных данных осуществляется в страну, которая обеспечивает адекватную защиту прав субъектов персональных данных. К ним относятся:
-
страны, являющиеся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. Это все члены Совета Европы, Аргентина, Мексика, Марокко и некоторые другие;
-
страны, указанные в приказе Роскомнадзора от 15.03.2013 № 274 (в редакции от 14.09.2021) «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных». Например, это Австралия, Израиль, Катар, Канада, Малайзия, Казахстан, Корея, Япония.
При передаче персональных данных в эти страны алгоритм будет такой: сначала нужно запросить сведения о принимаемых органами власти иностранного государства, иностранными физическими и юридическими лицами, которым планируется трансграничная передача персональных данных, мерах по защите передаваемых персональных данных и об условиях прекращения их обработки. Также нужно получить сведения об органах власти иностранного государства, иностранных физических и юридических лицах, которым планируется трансграничная передача персональных данных: наименование либо Ф.И.О., а также номера контактных телефонов, почтовые адреса и адреса электронной почты. Об этом указано в п. 5 ст. 12 Закона о персональных данных в новой редакции. После направления уведомления можно сразу приступать к трансграничной передаче персональных данных. Ждать, какое решение примет Роскомнадзор, не нужно (п. 10 ст. 12 Закона о персональных данных в новой редакции).
Если нужно отправлять персональные данные в страны, которые не обеспечивают адекватную защиту прав субъектов персональных данных, то алгоритм действий немного изменится. К таким странам относятся, например, США, Китай.
В этом случае необходимо получить не только сведения о принимаемых иностранцами мерах по защите передаваемых персональных данных, но еще и информацию о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся органы власти иностранного государства, иностранные физические и юридические лица, которым планируется трансграничная передача персональных данных (ч. 2 п. 5 ст. 12 Закона о персональных данных в новой редакции). После получения всех этих сведений нужно заполнить уведомление о намерении осуществлять трансграничную передачу персональных данных и придется подождать 10 дней. Если за этот срок Роскомнадзор не запретит передавать персональные данные за границу, то можно начать трансграничную передачу. Исключение — если такая трансграничная передача персональных данных необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц (п. 11 ст. 12 Закона о персональных данных в новой редакции).
Роскомнадзор вправе принять решение о запрещении или об ограничении трансграничной передачи персональных данных в целях:
-
защиты основ конституционного строя РФ и безопасности государства — по представлению ФСБ России;
-
обеспечения обороны страны — по представлению Минобороны России;
-
защиты экономических и финансовых интересов РФ — по представлению федеральных органов исполнительной власти, уполномоченных Президентом РФ или Правительством РФ;
-
обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности РФ и других ее интересов на международной арене — по представлению МИД РФ.
Решение принимается в течение пяти рабочих дней с даты поступления представления. Если Роскомнадзор примет решение об ограничении или запрете трансграничной передачи персональных данных, то придется обеспечить удаление этих данных иностранными лицами.