Над статьей работали:
Автор: Волчкова Людмила
В статье разобран порядок трансграничной передачи персональных данных с учетом последних изменений в российском законодательстве. Поговорим о том, что нового произойдет в этой сфере с 1 марта 2023 года и когда потребуется уведомить Роскомнадзор, если личные сведения граждан предоставляются за границу.
Если компания или частный предприниматель, выступающие операторами персональных данных, собираются передать такие сведения за рубеж, они могут это сделать. Но первоначально нужно внести их в базу данных на территории России, а затем уже осуществлять их трансграничную передачу по правилам ст. 12 Закона о персональных данных от 27.07.2006 № 152-ФЗ. Редакция данной нормы с начала марта 2023 года претерпит серьезные обновления. Это связано с вступлением в юридическую силу пункта 7 ст. 1 Закона от 14.07.2022 № 266-ФЗ.
Что значит само понятие «трансграничная передача персональных данных», раскрывается в пункте 11 ст. 3 Закона от 27.07.2006 № 152-ФЗ. Из данной нормы следует, что речь идет о передаче личных сведений о человеке на территорию другого государства заграничным компаниям или физлицам, а также органам госвласти.
Новая редакция статьи 12 закона № 152 ФЗ предоставляет право уполномоченному ведомству составлять список иностранных государств, которые обеспечивают адекватную защиту прав владельцев персональной информации. Такой перечень уже утвержден Приказом Роскомнадзора (далее – РКН) от 05.08.2022 № 128 и начнет действовать также с 1 марта 2023 года.
Туда вошли страны, являющиеся участниками Конвенции Совета Европы о защите физлиц при автоматизированной обработке персональных сведений от 28 января 1981 года: Грузия, Ирландия, Румыния, Королевство Бельгия и другие. Также в этот список попали страны, хотя и не являющиеся сторонами указанной конвенции, но законодательство которых в сфере обработки и защиты личных данных этому документу соответствует: Канада, КНР, Малайзия, Монголия и другие.
Поэтому по новым правилам уже с 01.03.2023 придется ориентироваться на реестр иностранных государств, которые обеспечивают адекватную защиту прав обладателей персональных данных, сформированный РКН.
Также с первого дня весны текущего года заработает порядок, по которому РКН станет запрещать или ограничивать трансграничное предоставление личных сведений. Такие правила установлены Постановлением Правительства РФ от 16.01.2023 № 24. Цель данных действий — защита нравственности, здоровья, прав и интересов граждан.
Запрет последует в следующих ситуациях:
- страна, иностранные физлица или организации, которым оператор хочет направлять персональные данные, не защищают эту информацию. Также они не определили условия прекращения ее обработки;
- суд запретил деятельность в России зарубежного юрлица, и это решение вступило в законную силу;
- иностранную компанию включили в список нежелательных в нашей стране;
- трансграничная передача и последующая обработка личных данных не отвечают целям их сбора;
- сведения, которые планируют направить, нельзя обрабатывать.
Основания ограничить трансграничную передачу следующие:
- содержание и объем личных сведений не соответствуют цели такой передачи;
- категории физлиц, данные которых хотят направить, не отвечают этой цели.
Решение о запрете или ограничении предоставят оператору так, чтобы можно было подтвердить получение. Его могут выслать по адресу из уведомления о намерении совершать трансграничную передачу сведений. Это нужно сделать не позже дня после даты принятия решения.
Прежняя редакция Закона от 27.07.2006 № 152-ФЗ давала возможность передавать личную информацию на территорию другого государства, не обеспечивающего адекватную защиту прав владельцев персональных сведений. Для этого можно было получить письменное согласие такого субъекта на передачу его личных данных (п. 4 ст. 12). Указанный порядок с начала весны текущего года применяться не будет.
Новая редакция закона № 152 ФЗ, измененная Законом от 14.07.2022 № 266-ФЗ, предусматривает только два исключения из общего правила, когда возможна передача личной информации человека в государство, которое не обеспечивает надлежащую защиту таких сведений:
- в целях защиты жизни, здоровья, иных жизненно необходимых интересов обладателя личной информации или других лиц (ч. 11 ст. 12). В остальных ситуациях такая передача данных не допускается, пока не прошли 10 дней на рассмотрение уведомления и не выдано разрешение от РКН.
- для осуществления российскими государственными и муниципальными органами функций, полномочий и обязанностей, возложенных на них международным договором РФ и российским законодательством. Такие случаи определяет Кабмин РФ (ч. 15 ст. 12, Постановление Правительства РФ от 29.12.2022 № 2526).
По вводимым с первого марта текущего года правилам до трансграничной передачи данных о своем намерении сделать это нужно будет уведомить РКН. Если же осуществление трансграничной передачи информации какими-то организациями или частными коммерсантами происходит уже сейчас, такое уведомление необходимо представить в ведомство до 01.03.2023.
Данное уведомление подается в виде документа на бумажном носителе или в форме электронного документа. Причем подавать его придется отдельным документом, а не вместе с общим уведомлением о планах производить обработку персональных данных. Такое правило введено для того, чтобы ведомство могло вовремя вмешаться и предотвратить возможные нарушения прав субъектов личных сведений. Ведь в большом потоке входящей информации РКН не смог бы оперативно выявлять нужные уведомления.
Для удобства операторов личных данных на сайте РКН доступна специальная электронная форма подачи уведомлений: https://pd.rkn.gov.ru/cross-border-transmission/form. Чтобы воспользоваться ею, понадобится подтвержденная учетная запись на едином сайте госуслуг. Сначала нужно пройти аутентификацию на портале, затем заполнить данную форму и направить ее в электронном виде ведомству. При этом отправка копии в форме бумажного документа в такой ситуации не потребуется.
Оператору до отправления уведомления требуется получить ряд сведений от органов госвласти зарубежного государства, иностранных физлиц или организаций, которым планируется трансграничная передача личных сведений.
Такая передача информации может быть запрещена или ограничена в целях защиты основ конституционного строя России, нравственности, здоровья, прав и законных интересов россиян, гарантии безопасности и обороноспособности нашей страны, защиты ее экономических и финансовых интересов, обеспечения средствами защиты прав, свобод и интересов российских граждан, суверенитета и территориальной целостности России. Также это может быть сделано для защиты и обеспечения других интересов нашей страны на международной арене с даты принятия РКН соответствующего решения.
На принятие решения чиновникам из РКН дается 10 рабочих дней с момента поступления уведомления. При положительном решении оператор может осуществлять трансграничную передачу персданных на тех территориях и в том объеме, которые указаны в решении ведомства. До принятия соответствующего решения оператор такие действия осуществлять не вправе, ведь с марта фактически начинает действовать разрешительный, а не уведомительный, как прежде, порядок.
Также предусматривается, что при изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку личных данных, оператор не позднее 15-го числа месяца, следующего за месяцем таких изменений, обязан уведомить о них РКН.
Для учета информации о фактах неправомерной или случайной передачи, предоставления, доступа к персональным сведениям, повлекшей нарушение прав субъектов личных данных, РКН будет вести реестр учета инцидентов в этой области.
Информация о компьютерных инцидентах, повлекших неправомерную или случайную передачу, распространение или доступ к персональным сведениям, будет передаваться в ФСБ России.
РКН разъяснил порядок направления операторами уведомления об осуществлении трансграничной передачи персональных данных в своем письме от 09.11.2022 № 08ВМ-98928. В нем рассказывается о применении положений Закона от 14.07.2022 № 266-ФЗ, предусматривающих обязанность оператора при выполнении трансграничной передачи личных данных направить соответствующее уведомление в уполномоченный орган.
Также в документе сообщается, что ограничения на количество и частоту подачи таких уведомлений законодательством не установлены. Можно направить одно или сразу несколько уведомлений об осуществлении трансграничной передачи данных. В состав каждого уведомления включается информация, предусмотренная ч. 4 ст. 12 измененной редакции закона № 152 ФЗ, в том числе государства, на территорию которых происходит трансграничная передача личных данных.
Вы можете оставить первый комментарий