Трансграничная передача персональных данных что это
Перейти к содержимому

Трансграничная передача персональных данных что это

  • автор:

Трансграничная передача персональных данных что это

Письмо Роскомнадзора от 06.12.2022 № 08ВМ-107716

Комментарий

Трансграничная передача персональных данных – это передача таких данных на территорию иностранного государства органу власти этого государства, иностранному физическому или юридическому лицу (п. 11 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон № 152-ФЗ).

С 01.03.2023 будет действовать новый порядок трансграничной передачи персональных данных (см. комментарий). До начала ведения деятельности по трансграничной передаче персональных данных оператор обязан уведомить Роскомнадзор о намерении осуществлять такую передачу. Это уведомление направляется отдельно от уведомления о намерении вести обработку персональных данных, предусмотренного ст. 22 Закона № 152-ФЗ.

Уведомление о намерении осуществлять трансграничную передачу персональных данных нужно направить в виде документа на бумажном носителе или в форме электронного документа. Его подписывает представитель оператора. Уведомление должно содержать сведения, указанные в ч. 4 ст. 12 Закона № 152-ФЗ.

Ведомство пояснило, что ч. 3 ст. 12 Закона № 152-ФЗ не предполагает уведомление Роскомнадзора по каждому факту трансграничной передачи персональных данных, а также о каждом новом контрагенте или в случае изменения числа контрагентов.

Смотрите также

Не пропускайте последние новости — подпишитесь
на бесплатную рассылку сайта:

Трансграничная передача персональных данных что это

С 1 сентября 2022 года операторы, которые осуществляют трансграничную передачу персональных данных, обязаны не позднее 1 марта 2023 года направить в Роскомнадзор уведомление об осуществлении трансграничной передачи персональных данных.

Время публикации: 31.08.2022 23:30
Последнее изменение: 28.02.2023 23:40

Портал персональныеданные.дети

Официальный сайт Федеральной службы по надзору в сфере связи,
информационных технологий и массовых коммуникаций

Трансграничная передача персональных данных что это

(в ред. Федерального закона от 14.07.2022 N 266-ФЗ)

(см. текст в предыдущей редакции)

1. Трансграничная передача персональных данных осуществляется в соответствии с настоящим Федеральным законом и международными договорами Российской Федерации.

2. Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. В перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, включаются государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иностранные государства, не являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер по обеспечению конфиденциальности и безопасности персональных данных при их обработке.

3. Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных. Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных, предусмотренного статьей 22 настоящего Федерального закона.

4. Уведомление, предусмотренное частью 3 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление о намерении осуществлять трансграничную передачу персональных данных должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора, а также дата и номер уведомления о намерении осуществлять обработку персональных данных, ранее направленного оператором в соответствии со статьей 22 настоящего Федерального закона;

2) наименование (фамилия, имя, отчество) лица, ответственного за организацию обработки персональных данных, номера контактных телефонов, почтовые адреса и адреса электронной почты;

3) правовое основание и цель трансграничной передачи персональных данных и дальнейшей обработки переданных персональных данных;

4) категории и перечень передаваемых персональных данных;

5) категории субъектов персональных данных, персональные данные которых передаются;

6) перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных;

7) дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке.

5. Оператор до подачи уведомления, предусмотренного частью 3 настоящей статьи, обязан получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, следующие сведения:

1) сведения о принимаемых органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;

2) информация о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся органы власти иностранного государства, иностранные физические лица, иностранные юридические лица, которым планируется трансграничная передача персональных данных (в случае, если предполагается осуществление трансграничной передачи персональных данных органам власти иностранного государства, иностранным физическим лицам, иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных);

3) сведения об органах власти иностранного государства, иностранных физических лицах, иностранных юридических лицах, которым планируется трансграничная передача персональных данных (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

6. В целях оценки достоверности сведений, содержащихся в уведомлении оператора о своем намерении осуществлять трансграничную передачу персональных данных, сведения, предусмотренные пунктами 1 — 3 части 5 настоящей статьи, предоставляются оператором по запросу уполномоченного органа по защите прав субъектов персональных данных в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

7. Трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов Российской Федерации, обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене с даты принятия уполномоченным органом по защите прав субъектов персональных данных решения, предусмотренного частью 12 настоящей статьи.

8. Решение о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан принимается уполномоченным органом по защите прав субъектов персональных данных по результатам рассмотрения уведомления, предусмотренного частью 3 настоящей статьи.

9. Решение, указанное в части 8 настоящей статьи, принимается уполномоченным органом по защите прав субъектов персональных данных в течение десяти рабочих дней с даты поступления уведомления, предусмотренного частью 3 настоящей статьи, в порядке, установленном Правительством Российской Федерации. В случае направления уполномоченным органом по защите прав субъектов персональных данных запроса в соответствии с частью 6 настоящей статьи рассмотрение такого уведомления приостанавливается до даты предоставления оператором запрошенной информации.

10. После направления уведомления, указанного в части 3 настоящей статьи, оператор вправе осуществлять трансграничную передачу персональных данных на территории указанных в таком уведомлении иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или включенных в предусмотренный частью 2 настоящей статьи перечень, до принятия решения, указанного в части 8 или 12 настоящей статьи.

11. После направления уведомления, предусмотренного частью 3 настоящей статьи, оператор до истечения сроков, указанных в части 9 настоящей статьи, не вправе осуществлять трансграничную передачу персональных данных на территории указанных в уведомлении иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенных в предусмотренный частью 2 настоящей статьи перечень, за исключением случая, если такая трансграничная передача персональных данных необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц.

12. Решение о запрещении или об ограничении трансграничной передачи персональных данных принимается уполномоченным органом по защите прав субъектов персональных данных в целях:

1) защиты основ конституционного строя Российской Федерации и безопасности государства — по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности;

2) обеспечения обороны страны — по представлению федерального органа исполнительной власти, уполномоченного в области обороны;

3) защиты экономических и финансовых интересов Российской Федерации — по представлению федеральных органов исполнительной власти, уполномоченных Президентом Российской Федерации или Правительством Российской Федерации;

4) обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене — по представлению федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере международных отношений Российской Федерации.

13. Решение, предусмотренное частью 12 настоящей статьи, принимается уполномоченным органом по защите прав субъектов персональных данных в течение пяти рабочих дней с даты поступления соответствующего представления. Порядок принятия такого решения и порядок информирования операторов о принятом решении устанавливаются Правительством Российской Федерации.

14. В случае принятия уполномоченным органом по защите прав субъектов персональных данных решения, предусмотренного частью 8 или 12 настоящей статьи, оператор обязан обеспечить уничтожение органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных.

15. Правительство Российской Федерации определяет случаи, при которых требования частей 3 — 6, 8 — 11 настоящей статьи не применяются к операторам, осуществляющим трансграничную передачу персональных данных в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей.

Трансграничная передача и локализация персональных данных в рамках клинических исследований с точки зрения российского законодательства

В сентябре 2022 г. вступили в силу изменения[i], конкретизировавшие территориальную сферу действия Федерального закона № 152-ФЗ «О персональных данных» (далее по тексту –«ФЗ № 152»). Если ранее ФЗ № 152 не содержал специальных положений о его действии за пределами РФ, то теперь прямо указывается на его применимость по отношению к иностранным юридическим лицам, осуществляющим обработку данных граждан РФ на основании договора или согласия[ii]. Цель внедрения данного подхода объяснима – расширение защиты прав субъектов в ситуациях, когда оператор действует вне юрисдикции РФ. Однако, как замечают эксперты, практическая реализуемость данных положений находится под вопросом, поскольку иностранные компании могут не иметь представительств или дочерних компаний в РФ, что делает их практически недосягаемыми для Роскомнадзора[iii].

Впрочем, данное нововведение вряд ли окажет значительное влияние на деятельность международных фармацевтических компаний в контексте осуществления клинических исследований в РФ. Как представляется, вопросы соблюдения требований законодательства о локализации и трансграничной передаче являются для таких компаний более острыми и актуальными с точки зрения их практической выполнимости, о чем пойдет речь далее.

2. Требования о локализации

В 2015 г. в ФЗ № 152 были включены требования по локализации персональных данных, предусматривающие, что при сборе персональных данных, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ[iv].

Фактически, законодатель установил, что первоначальный сбор, дальнейшее хранение и актуализация персональных данных субъекта должны осуществляться на территории РФ, в дальнейшем же такие данные могут далее передаваться за границу.

Вместе с тем, необходимо учитывать разъяснения Минкомсвязи[v], в соответствии с которыми требование локализации не распространяется на случаи обработки персональных данных за пределами РФ, если такие данные ранее уже были локализованы ранее. В качестве примера в разъяснениях приводится ситуация, когда сбор персональных данных первоначально осуществляется в бумажной форме с последующей их передачей в электронные базы данных за рубежом. В таких случаях, по мнению министерства, возложение на оператора обязанностей по локализации каждой из таких баз данных привело бы к существенным и неоправданным затратам. В связи с этим, как поясняет Минкомсвязи, если требования о локализации уже были единожды выполнены в отношении определенного набора данных, то повторной локализации не требуется, поскольку, как поясняет министерство, цели закона уже были достигнуты[vi].

Данное разъяснение может быть весьма актуально для международных фармацевтических компаний, являющихся спонсорами клинических исследований, проводимых в РФ. С учетом того, что первичная обработка данных участников исследований осуществляется исследовательскими центрами, собирающими и хранящими эти данные в систематизированной форме на территории РФ, представляется, что дальнейшая передача этих данных за пределы страны в обезличенном виде в рамках осуществления исследования контрактной исследовательской организацией или спонсором не должна вызвать вопросов со стороны Роскомнадзора.

Одновременно с тем, следует обратить внимание, что с сентября 2022 г. пунктом 3 статьи 6 ФЗ № 152 в обновленной редакции на обработчика прямо возложена обязанность соблюдения требований о локализации. Данное обстоятельство необходимо учитывать международным компаниям-спонсорам, инициирующим клинические исследования на территории РФ, и делегирующим все или часть своих функций контрактным исследовательским организациям.

3. Трансграничная передача персональных данных

Если сравнивать регулирования трансграничной передачи данных в ФЗ № 152 и GDPR, то можно сделать вывод об общем принципе, которым руководствуются законодатели: при передаче данных за пределы юрисдикции должен быть гарантирован адекватный уровень защиты персональных данных субъектов в той стране, на территории которой происходит дальнейшая обработка. Однако, подходы законодателей в РФ и Евросоюзе к обеспечению соблюдения указанного принципа существенно различаются, а последние поправки в ФЗ № 152 сделали эти различия кардинальными. Особенности отечественного законодательства в области регулирования трансграничной передачи будут рассмотрены далее.

Положения ФЗ № 152 о трансграничной передаче данных претерпели серьезные изменения в 2022 г. в рамках принятого Федерального закона от 14 июля 2022 г. N 266-ФЗ[vii]. В частности, от подхода, основанного на возможности передачи данных за границу на основании решения надзорного органа об «адекватности» конкретной юрисдикции или соответствующего законного основания (в т.ч. согласия субъекта), который был схож с европейским, произошел переход к уведомительно-разрешительному порядку передачи данных. Данные изменения были обоснованы законодателем, в частности, необходимостью защиты персональных данных российских граждан, передаваемых в недружественные страны, что, как указывается, создает существенную угрозу в условиях текущей внешнеполитической ситуации[viii].

Так, начиная с 1 марта 2023 г. была установлена обязанность оператора по направлению уведомления в адрес Роскомнадзора о намерении осуществлять трансграничную передачу. При этом, передача в страны-участницы Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (далее – «Конвенция № 108»), а также страны, не являющиеся членами Конвенции № 108, но обеспечивающие «адекватный» уровень защиты данных, может быть осуществлена при условии направления предварительного уведомления по форме, установленной надзорным органом. Передача же в «неадекватные» страны допускается исключительно в разрешительном порядке, то есть, оператор до истечения установленного законом десятидневного срока рассмотрения уведомления надзорным органом, не вправе осуществлять трансграничную передачу данных.

Важно упомянуть, что указанный выше разрешительный порядок был смягчен лишь после волны критики со стороны представителей бизнеса[ix], в первоначальной редакции законопроекта обязательным условием для передачи данных в «неадекватную» страну было получение разрешения Роскомназдора[x].

Само уведомление должно содержать, среди прочего, правовое основание, а также цели как самой трансграничной передачи, так и дальнейшей обработки (что выглядит странно, учитывая провозглашенный Роскомнадзором принцип «одна цель – одно согласие»).

Отметим также, что на оператора до подачи уведомления возлагаются обязанности по сбору сведений о принимаемых в государстве, в которое осуществляется передача, мер защиты персональных данных и условий прекращения их обработки; информации о правовом регулировании в области персональных данных (при передаче в «неадекватную» страну); сведений о получателях данных. При этом, в целях оценки достоверности сведений, указанных в уведомлении, надзорный орган вправе запросить у оператора упомянутую выше информацию.

Наконец, даже выполнение оператором всех необходимых по закону действий не является гарантией того, что трансграничная передача не будет ограничена. Фактически, законодатель наделил надзорный орган абсолютным правом по своему усмотрению решать вопрос об разрешении или запрещении трансграничной передачи: даже статус «адекватной» страны или ее участие в Конвенции № 108 не дает полной уверенности в том, что Роскомнадзор не найдет в конкретной трансграничной передаче угрозу нравственности или здоровью граждан.

4. Заключение

Как представляется, столь широкие полномочия, предоставленные надзорному органу, создают серьезные риски и неопределенность для участников гражданского оборота. В частности, этот вопрос остро встает для международных фармацевтических компаний, инициирующих проведение клинических исследований в исследовательских центрах (медицинских организациях) на территории РФ.

На сегодняшний день (сентябрь 2023 г.) известно о 3-х случаях запрета и 6-ти случаях ограничения трансграничной передачи персональных данных со стороны Роскомнадзора[xi].

Заметим, что даже небольшая вероятность наступления данного события создает серьезную угрозу для такого сложного, длительного и дорогостоящего процесса как клинические исследования. Нельзя исключать, что европейские или американские спонсоры, ранее выбиравшие РФ как площадку для проведения исследований в силу сравнительно невысокой стоимости, теперь будут вынуждены пересмотреть свои риски и отдать предпочтение странам с более благоприятным и предсказуемым режимом правового регулирования в области персональных данных.

[i] Федеральный закон от 14 июля 2022 г. N 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»

[ii] ст. 1.1 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ

[iii] Зюбанов К. Реформа 152-ФЗ: О сколько нам открытий чудных…

[iv] ч. 5 ст. 18 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ

[vii] Федеральный закон от 14 июля 2022 г. N 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»

[viii] Пояснительная записка к проекту федерального закона N 101234-8 «О внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных»

[x] Проект федерального закона N 101234-8 «О внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных»

Похожие публикации:
  1. Какие требования должен соблюдать пожарный
  2. Каков состав затрат включаемых в себестоимость продукции какова их классификация
  3. Нарушение сроков газификации куда жаловаться
  4. Неверно что процесс продажи товаров при самообслуживании включает

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *