СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Б-152
Вчера в 18:52
#Статьи #ИБ#Облака

Трансграничная передача ПДн: правовые основания

Трансграничная передача ПДн: правовые основания

Изображение: recraft

Для российских операторов, работающих с персональными данными, трансграничная передача давно перестала быть экзотической операцией. Взаимодействие с иностранными контрагентами, использование зарубежных IT-сервисов или наличие филиалов за рубежом – все это ставит вопрос о необходимости легитимного осуществления таких взаимодействий.

Правовое регулирование трансграничной передачи персональных данных в России представляет собой комплексную систему, установленную Федеральным законом № 152-ФЗ «О персональных данных» (далее – ФЗ-152).

Эта система формирует целостный правовой режим, определяющий цели, принципы, ограничения и правовые механизмы, обеспечивающие защиту прав субъектов данных за пределами национальной юрисдикции. Как выстроена эта система на сегодняшний день, каковы ее ключевые элементы? Именно эти вопросы и станут предметом рассмотрения в настоящей статье.

Понятие трансграничной передачи персональных данных

Легальное определение трансграничной передачи содержится в пункте 11 части 1 статьи 3 ФЗ-152.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Проще говоря, для того, чтобы факт передачи персональных данных (далее также – ПДн) был признан трансграничной передачей персональных данных, должно одновременно совершаться несколько условий:

  • Передаются персональные данные (ПДн);
  • ПДн передаются иностранному лицу (органу власти, физическому или юридическому лицу);
  • ПДн передаются на территорию иностранного государства.

Если же хотя бы один из указанных критериев отсутствует, трансграничная передача не возникает.

Чтобы проиллюстрировать действие этих критериев, целесообразно разобрать конкретные примеры. Ниже приведены ситуации, где наличие или отсутствие всех трех условий квалифицирует передачу данных как трансграничную либо, наоборот, исключает такую квалификацию.

Критерий № 1. Персональные данные

Пример № 1. Представители российской компании ведут деловую переписку в корпоративной почте с контрагентами из других стран. В ходе переписки представители российской компании передают контрагентам следующую информацию: реквизиты компании (ОГРН, ИНН и юридический адрес), сведения о количестве клиентов, которым были оказаны услуги за последний год.

❌ Сведения о количестве клиентов не являются персональными данными, поскольку не позволяют прямо или косвенно идентифицировать субъектов персональных данных, точно так же как и упомянутые реквизиты юридического лица, поскольку юридическое лицо не признается субъектом персональных данных по российскому законодательству;

✅ ПДн передаются в адрес иностранного юридического лица, зарегистрированного и осуществляющего свою деятельность в соответствии с юрисдикцией иностранного государства;

✅ ПДн передаются на территорию иностранного государства.

Трансграничная передача персональных данных в данном случае не возникает, поскольку были переданы данные, не относящиеся к персональным.

Критерий № 2. Иностранное лицо

Пример № 1. Сотрудник головного офиса российской компании отправляет базу данных, содержащую ФИО и контактные телефоны клиентов этой организации другому сотруднику, трудоустроенному в зарубежном представительстве этой компании.

✅ ФИО и контактные телефоны клиентов являются персональными данными, поскольку такой набор данных позволяет идентифицировать субъектов персональных данных;

❌ ПДн передаются в адрес российского юридического лица (представительство российской компании);

✅ ПДн передаются на территорию иностранного государства.

Трансграничная передача персональных данных в данном случае не возникает, поскольку не соблюден критерий передачи ПДн в адрес иностранного юридического лица.

Изменим условия.

Пример № 2. Сотрудник российской компании отправляет базу данных, содержащую ФИО и контактные телефоны клиентов этой организации другому сотруднику иностранного контрагента (юридического лица), которое находится на территории другой страны.

✅ ФИО и контактные телефоны клиентов являются персональными данными, поскольку такой набор данных позволяет идентифицировать субъектов персональных данных;

✅ ПДн передаются в адрес иностранного юридического лица, зарегистрированного и осуществляющего свою деятельность в соответствии с юрисдикцией иностранного государства;

✅ ПДн передаются на территорию иностранного государства.

Трансграничная передача персональных данных в данном случае возникает, поскольку соблюдены все три критерии передачи ПДн. Передача персональных данных производилась иностранному юридическому лицу, осуществляющему свою деятельность в соответствии с юрисдикцией иностранного государства.

Критерий № 3. Территория иностранного государства

Пример № 1. Российская компания ведет учет клиентов в CRM-системе от иностранного провайдера. В CRM-системе содержатся ФИО, номера контактных телефонов, адреса электронной почты клиентов. По требованию российского законодательства этот иностранный провайдер разместил все свои серверы и дата-центры исключительно на территории России.

✅ ФИО, контактные телефоны и адреса электронных почт клиентов являются персональными данными, поскольку такой набор данных позволяет идентифицировать субъектов персональных данных;

✅ ПДн передаются в адрес иностранного юридического лица, зарегистрированного и осуществляющего свою деятельность в соответствии с юрисдикцией иностранного государства;

❌ ПДн не передаются на территорию иностранного государства, поскольку все сервера, принадлежащие иностранному юридическому лицу, расположены на территории РФ.

Трансграничная передача персональных данных в данном случае не возникает, поскольку не соблюден критерий передачи ПДн на территорию иностранного государства.

Изменим условия.

Пример № 2. Российская компания вносит сведения о своих клиентах, которые были собраны в ходе очного взаимодействия с ними в Google-таблицы. В Google-таблице содержатся ФИО, номера контактных телефонов, адреса электронной почты клиентов.

✅ ФИО, контактные телефоны и адреса электронных почт клиентов являются персональными данными, поскольку такой набор данных позволяет идентифицировать субъектов персональных данных;

✅ ПДн передаются в адрес иностранного юридического лица (Google LLC), зарегистрированного и осуществляющего свою деятельность в соответствии с юрисдикцией иностранного государства;

✅ ПДн передаются на территорию иностранного государства, поскольку на текущий момент серверы Google на территории РФ отсутствуют.

Трансграничная передача персональных данных в данном случае возникает, поскольку соблюдены все три критерии передачи ПДн. Персональные данные были переданы на облачный сервер иностранной организации, физические сервера которой расположены на территории иностранного государства, что является передачей персональных данных на территорию иностранного государства.

Правовые основания осуществления трансграничной передачи персональных данных

До 1 марта 2023 года в 152-ФЗ был закреплен закрытый перечень правовых оснований (5 оснований), когда допускалось осуществление трансграничной передачи (ч. 4 ст. 12 152-ФЗ):

  • наличие письменного согласия на осуществление трансграничной передачи ПДн субъекта ПДн;
  • в предусмотренных международными договорами РФ случаях;
  • в целях защиты основ конституционного строя, обеспечения обороны страны и безопасности государства, защиты интересов личности, общества, государства в сфере транспортного комплекса и если это предусмотрено федеральными законами;
  • исполнение договора, стороной которого является субъект ПДн;
  • в целях защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Одним из наиболее часто используемых оснований являлось наличие согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн, поскольку 4 (четыре) иных основания предполагали наличие особых обстоятельств.

После 1 марта 2023 года из ФЗ-152 была исключена ч. 4, устанавливающая особые требования к обеспечению правовых оснований для трансграничной передачи (например, получение согласия на обработку персональных данных в письменной форме).

На данный момент осуществлять трансграничную передачу персональных данных субъекта можно в случае, если присутствует любое из оснований, предусмотренных ч. 1 ст. 6 ФЗ-152. Подробно правовые основания обработки персональных данных мы рассматривали ранее (вставить гиперссылку на статью в блоге вместо ссылки на гугл док). Наиболее часто используемые основания – согласие субъекта персональных данных (ч. 1 ст. 6 ФЗ-152), требования законодательства или международных договоров (ч. 2 ст. 6 ФЗ-152), исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152)..

Пример № 1. Стоматологическая клиника оказывает услуги по изготовлению авторских элайнеров своим клиентам. Элайнеры изготавливаются иностранной компанией, расположенной в США, для чего клиника передает персональные данные клиента (фото-снимки и КТ зубного ряда клиента) в адрес иностранной компании.

В данном случае трансграничная передача персональных данных осуществляется для целей исполнения договора оказания возмездных услуг (при условии фиксации в договоре условий и порядка осуществления передачи персональных данных клиента и указании субъекта персональных данных (клиента) в качестве выгодоприобретателя или стороны по договору) (п. 5 ч. 1 ст. 6 ФЗ-152)

Пример № 2. Пользователь приложения заказывает на российском маркетплейсе товары из-за рубежа. Маркетплейс передает его персональные данные иностранному продавцу, в т.ч. для целей таможенного оформления. В данном случае трансграничная передача персональных данных осуществляется для целей исполнения оферты маркетплейса на осуществление дистанционной купли-продажи товаров. (п. 5 ч. 1 ст. 6 ФЗ-152)

Пример № 3. Работодатель оформляет проживание в гостинице своего работника в рамках зарубежной командировки, для чего передает гостинице персональные данные работника для осуществления бронирования. В данном случае передача персональных данных осуществляется для реализации должностных обязанностей сотрудника, правовое основание в данном случае – исполнение требований законодательства (п. 2 ч. 1 ст. 6 ФЗ-152).

На практике сложности возникают не в выборе формального основания, а в деталях:

— корректно ли квалифицирована передача (особенно при облаках и доступе из-за рубежа),
— не подменяется ли трансграничная передача обычной передачей обработчику,

— достаточно ли договорной конструкции и уведомления Роскомнадзора под конкретную страну и сервис.

Чек-лист при осуществлении трансграничной передачи персональных данных

1. Проверка наличия вашей компании в Реестре операторов, осуществляющих обработку персональных данных

Подать уведомление о намерении осуществлять трансграничную передачу персональных данных может лишь действующий оператор, внесенный в Реестр Роскомнадзора.

Если уведомление вами не подавалось, его необходимо направить по следующей форме. После того, как компания будет внесена в реестр операторов персональных данных, можно направлять уведомление о намерении осуществлять трансграничную передачу данных.

Убедитесь в наличии правового основания для трансграничной передачи персональных данных субъекта.

2. Проверка наличия правового основания для осуществления трансграничной передачи

3. Определение страны, в которую планируется передавать персональные данные

Необходимо определить, обеспечивает ли страна, в которую планируется передавать персональные данные, адекватный уровень их защиты.

Перечень «адекватных стран» устанавливается Роскомнадзором и включает в себя те страны, которые являются сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, или которые не являются сторонами Конвенции, но действующие нормы права которых, а также применяемые ими меры по обеспечению конфиденциальности и безопасности персональных данных при их обработке соответствуют положениям Конвенции.

На что это влияет? Если государство находится в указанном перечне, оператор вправе продолжить осуществлять трансграничную передачу персональных данных до принятия решения о запрете или об ограничении трансграничной передачи. Если государство не отнесено к «адекватным странам», необходимо будет подождать десять рабочих дней с даты поступления уведомления и продолжить осуществлять трансграничную передачу при условии отсутствия решения о запрете или об ограничении трансграничной передачи.

4. Проведение оценки соблюдения конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке

Прежде чем отправлять уведомление, важно собрать необходимые сведения от иностранной стороны (это может быть как физическое или юридическое лицо, государственный орган), которой будут передаваться данные. Закон не устанавливает строгой формы для проведения подобной оценки, главное — отразить в ней сведения о:

1) сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;

2) правовое регулирование в области персональных данных иностранного государства (при осуществлении трансграничной передачи в страны, не отнесенные к «адекватным»);

3) наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты иностранной стороны (физического или юридического лица, государственного органа).

Такие данные могут быть дополнительно запрошены Роскомнадзором. Предоставлять их в уведомлении не нужно.

Лайфхак: такую информацию о деятельности иностранного юридического лица в отношении обработки персональных данных можно в том числе собрать и с помощью политики обработки персональных данных, размещенной на его сайте.

5. И, наконец, подача уведомления о намерении осуществлять трансграничную передачу персональных данных!

  • Заполните форму уведомления о намерении осуществлять трансграничную передачу персональных данных. Образец заполнения размещен на сайте Роскомнадзора.
  • Направьте уведомление в электронном виде через портал Госуслуг. У вас должна быть подтвержденная учетная запись. В случае если вы подаете уведомление за организацию, ваша учетная запись должна быть привязана к данной организации на портале Госуслуг. Если же у вас нет подобной учетной записи, подать уведомление можно в бумажной форме.

В нашем Telegram-канале мы регулярно разбираем практику по трансграничной передаче:
— как Роскомнадзор квалифицирует облака, VPN и удаленный доступ,
— какие страны фактически считаются проблемными на практике,
— типовые ошибки в уведомлениях и оценке мер защиты,
— кейсы ограничений и запретов трансграничной передачи.

Трансграничная передача данных сегодня – такой же обязательный элемент корпоративного compliance, как налоговая отчетность или трудовая документация.

Инвестируя время в выстраивание этого процесса, компания не просто избегает штрафов, но и защищает свои деловые отношения, обеспечивая бесперебойное международное взаимодействие и укрепляя доверие клиентов и партнеров.

Б-152
Автор: Б-152
Б-152 — консалтинговая компания. Более 14 лет помогаем бизнесу соответствовать требованиям в сфере персональных данных и информационной безопасности. Мы работаем в области privacy, входим в рабочую группу Роскомнадзора, разрабатываем собственные продукты и сопровождаем клиентов на всех этапах — от аудита до прохождения проверок. Б-152 — команда, которая говорит с ИБ на одном языке. Мы поможем не только формально соблюсти 152-ФЗ, но и выстроить настоящую защиту данных: модели угроз, ТЗ на СЗИ, аудит и тестирование.
Комментарии: