Комплаенс / Новости 15 сентября

Минцифры РФ за запрет трансграничной передачи персональных данных нежелательным организациям

Минцифры разработало правила принятия решений о запрещении или ограничении трансграничной передачи персональных данных в соответствии с июльскими поправками к закону "О персональных данных". В частности, под запрет попадает передача данных россиян запрещенным на территории РФ организациям, а также иностранным НКО, признанным нежелательными.

Три проекта соответствующих постановлений правительства опубликованы в среду на портале правовых актов.

Первый документ регламентирует порядок принятия Роскомнадзором и его территориальными органами решений о запрещении или ограничении трансграничной передачи персональных данных "в целях защиты нравственности, здоровья, прав и законных интересов граждан". Он предполагает, что оператор может направить уведомление о планируемой передаче в виде бумажного или электронного документа, заверенного цифровой подписью. При этом, как сообщили "Интерфаксу" в Минцифры, речь не идёт о передаче данных по каждому пользователю. "Таким образом, реализация уведомления не повлечет дополнительных затрат операторов", — подчеркнули в ведомстве.

Порядок также определяет случаи, в которых Роскомнадзор может принять решение о запрете трансграничной передачи персональных данных. К ним относятся непринятие мер по защите персональных данных властями иностранного государства или физическими и юридическим лицами, которым планируется передача, или отсутствие прописанных условий для прекращения такой обработки. Также запрещается передача персданных россиян запрещенным на территории РФ организациям и иностранным неправительственным организациям, деятельность которых признана в РФ нежелательной. Кроме того, основанием для запрета может стать несоответствие передачи и обработки данных целям их сбора, не допускается и обработка в случаях, не предусмотренных законом "О персональных данных".

В свою очередь, решение об ограничении трансграничной передачи персональных данных может быть принято, если их содержание и объем данных или категории субъектов данных не соответствуют заявленной цели передачи.

Решение о запрещении или ограничении трансграничной передачи вправе принимать глава Роскомнадзора или его территориального органа и их уполномоченные заместители. У операторов также есть право оспорить решение в суде или подать новое уведомление после устранения нарушений.

Другой документ, подготовленный Минцифры, предусматривает случаи, при которых к операторам, осуществляющим трансграничную передачу персональных данных, не применяются требования частей 3-6, 8-11 статьи 12 закона "О персональных данных". Так, часть требований могут не применяться в случаях, если операторы должны выполнить возложенные международным договором РФ обязанности, например, в целях осуществления международных воздушных и морских перевозок, железнодорожного и автомобильного сообщения; обеспечения транспортной безопасности; обеспечения реадмиссии; осуществления предупреждения и ликвидации чрезвычайных ситуаций; обеспечения безопасности и противодействия преступности; обеспечения дипломатических сношений; обеспечения сотрудничества в рамках Евразийского экономического союза; обеспечения обороны; обеспечения консульских сношений; оказания правовой помощи по гражданским, семейным, административным и уголовным делам. Таким образом, если оператор действует в вышеуказанных целях, то уведомлять Роскомнадзор до начала осуществления деятельности по трансграничной передаче персональных данных не требуется, следует из текста проекта постановления.

Третий проект постановления определяет порядок принятия решений о запрещении или об ограничении трансграничной передачи персональных данных по представлению уполномоченного органа. К числу таких органов относятся Минобороны РФ, МИД РФ, ФСБ и иные органы исполнительной власти, уполномоченные президентом или правительством на обеспечение защиты экономических и финансовых интересов РФ. Представление может касаться как конкретного оператора персональных данных, так и конкретных стран.

Все три документа должны вступить в силу с 1 марта 2023 года.

"Важно отметить, что размещаемыми актами мы не вводим дополнительных обязанностей для операторов, а лишь конкретизируем положения закона в части ограничения трансграничной передачи данных и предлагаем исключительные случаи. По итогам общественного обсуждения проекты документов могут быть скорректированы", — пояснили "Интерфаксу" в Минцифры.

В июле Госдума приняла закон об обязанности операторов персональных данных информировать об инцидентах с принадлежащими им базами персональных данных, а также о регулировании вопросов передачи персональных данных за границу. Как заявляли его авторы, действующим законодательством практически не регулируется трансграничная передача персональных данных, что создает существенную угрозу в условиях текущей внешнеполитической ситуации. Закон устанавливает условия пресечения трансграничной передачи персональных данных на территорию стран, не обеспечивающих их адекватную защиту, или в недружественные страны.