1 марта 2023 года вступят в силу изменения в Федеральном законе от 27 июля 2006 № 152 «О персональных данных» (далее – «Закон»), которые касаются трансграничной передачи персональных данных.
В январе 2023 года Правительством РФ были приняты постановления № 6 и № 24, устанавливающие правила принятия решений о запрете или ограничении трансграничной передачи персональных данных. Эти правила вступят в силу также 1 марта 2023 года.
Хотя новые правила и не направлены напрямую в отношении «недружественных» стран, они могут использоваться для ограничения трансграничной передачи данных при выполнении указанных ниже условий.
Требования к трансграничной передаче
Как мы сообщали ранее, новая редакция Закона ужесточает правила трансграничной передачи. Теперь до передачи персональных данных компании должны:
- провести оценку получателя персональных данных, находящегося за пределами России;
- подать уведомление в Роскомнадзор о намерении передать персональные данные за пределы России.
После получения уведомления Роскомнадзор имеет право запретить или ограничить передачу персональных данных.
Новые постановления Правительства РФ вводят процедуру и критерии, по которым такие запрет или ограничение могут быть установлены.
Запреты и ограничения в целях защиты нравственности, здоровья, прав и законных интересов граждан
В результате рассмотрения уведомления оператора Роскомнадзор может принять решение о запрете передачи персональных данных по следующим основаниям:
- получатель персональных данных не принимает меры по защите данных, а также не определяет условия прекращения их обработки;
- получатель персональных данных является организацией, деятельность которой запрещена на основании решения суда или признана нежелательной на территории России;
- трансграничная передача и дальнейшая обработка переданных персональных данных несовместима с целями сбора персональных данных;
- трансграничная передача персональных данных осуществляется без законного основания.
Ограничение трансграничной передачи персональных данных может быть принято, если содержание и объем персональных данных и (или) категории субъектов персональных данных, чьи данные передаются, не соответствуют целям передачи. В этом случае Роскомнадзор в решении указывает те персональные данные и категории субъектов, в отношении которых допустима трансграничная передача.
Запреты и ограничения по инициативе иных органов государственной власти
Решение о запрещении или ограничении трансграничной передачи персональных данных может также приниматься на основании представления государственных органов, в частности Федеральной службы безопасности, Министерства обороны РФ, Министерства иностранных дел РФ.
В представлении должна быть указана, помимо прочего, следующая информация:
- государство, в отношении которого принимается решение;
- описание обстоятельств, свидетельствующих о необходимости запрета или об ограничении трансграничной передачи;
- заключение о содержании решения, которое предлагается для принятия; и
- сведения об операторах, которым осуществление трансграничной передачи предлагается запретить или ограничить.
На основании указанного представления Роскомнадзор принимает решение о запрещении или об ограничении трансграничной передачи персональных данных.
В случае устранения причин, послуживших основанием для принятия решения, запрет или ограничение трансграничной передачи могут быть сняты Роскомнадзором на основании повторного представления соответствующего органа либо на основании просьбы оператора, передача данных которому была запрещена.
Рекомендации
Учитывая вступление в силу требований к трансграничной передаче персональных данных, а также правил введения запретов и ограничений, мы рекомендуем операторам:
- проверить текущие процессы по трансграничной передаче персональных данных;
- провести оценку получателей персональных данных (в том числе законодательства в сфере персональных данных в стране получателя) и подать соответствующее уведомление в Роскомнадзор;
- следить за введением запретов и ограничений по трансграничной передаче персональных данных.
