Иностранные компании и персональные данные российских граждан – что учесть в работе

Иностранная компания, как и российская, должна соблюдать общие требования законодательства о персональных данных (далее — ПД). Это предусмотрено ст. 1 закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Иностранные компании и персональные данные российских граждан – что учесть в работе
Иллюстрация: Вера Ревина/Клерк.ру

Статус нерезидента увеличивает объем объектов внимания этих компаний при осуществлении деятельности в России.

Трансграничная передача персональных данных

Представляется, что для иностранной компании особенно актуальны нормы о трансграничной передаче ПД. Их нужно учитывать, если она, например:

  • передает персональные данные российских работников в головной офис;

  • направляет российских работников в деловые поездки, на конференции, обучение за границу, в том числе в страну своей регистрации;

  • направляет персональные данные своих работников иностранным партнерам в целях исполнения заключенных контрактов ВЭД.

Термин в законе. Трансграничная передача ПД — это передача ПД на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (ч. 11 ст. 3 закона № 152-ФЗ).

Главной обязанностью оператора в данном случае является уведомление Роскомнадзора о своем намерении осуществлять трансграничную передачу персональных данных. Обращаем внимание, что такое уведомление и обычное уведомление о намерении осуществлять обработку ПД — это два разных вида уведомления. В случае с трансграничной передачей их нужно направить в Роскомнадзор оба.

В уведомлении должен быть указан ряд данных, например, правовое основание и цель трансграничной передачи ПД, категории, перечень передаваемых ПД и пр. Другие требования к уведомлению более подробно раскрыты в ч. 4 ст. 12 закона № 152-ФЗ.

Важно учесть, что перед направлением в уполномоченный орган уведомления оператор персональных данных обязан получить определенные сведения от лиц или органов, которым планируется трансграничная передача ПД. К ним относятся:

  • сведения об органах и лицах, которым планируется трансграничная передача персональных данных;

  • сведения о принимаемых в другой стране мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;

  • информация о правовом регулировании в области персональных данных иностранного государства (за исключениями направления в определенные страны, обеспечивающие адекватную защиту прав субъектов ПД).

Эти вопросы урегулированы ч. 5 ст. 12 закона № 152-ФЗ.

Защита персональных данных

Нужна консультация? Оставьте заявку, мы свяжемся с вами и обсудим ваши вопросы

Про страны с адекватной и неадекватной защитой — вопрос очень интересный

Дело в том, что закон № 152-ФЗ делит все иностранные государства на две категории:

1. Страны, обеспечивающие адекватную защиту прав субъектов ПД («адекватные страны»):

  • все участники Конвенции о защите физических лиц при автоматизированной обработке персональных данных, которая заключена в г. Страсбурге 28.01.1981;

  • государства, входящие в утвержденный Роскомнадзором список (см. приказ Роскомнадзора от 05.08.2022 № 128).

2. Страны, не обеспечивающие адекватную защиту прав субъекта ПД («неадекватные страны»). К ним относятся все государства, которых нет в перечисленных выше списках.

Схема действий оператора после направления уведомления будет следующей:

Запрет и ограничение. Решение о запрещении или об ограничении трансграничной передачи ПД может принять Роскомнадзор по достаточно широкому спектру причин (ч. 12 ст. 12 закона № 152-ФЗ).

Обязательная локализация персональных данных российских граждан в России

Другой момент, требующий внимания иностранной компании — оператора ПД, — это требование о локализации. Если иностранный оператор обрабатывает ПД граждан России, в том числе собирая сведения через Интернет, то он должен их собирать, обновлять и изменять в базах данных на территории России (ч. 5 ст. 18 закона № 152-ФЗ).

Обращаем внимание, что здесь речь не идет о передаче ПД, в том числе трансграничной. Персональные данные гражданина РФ, первоначально внесенные в базу данных на территории России и актуализируемые в ней («первичная база данных»), не запрещено потом передавать в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных. 

Из требования о локализации есть ряд исключений из этого правила:

  1. Они не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки ПД граждан-пассажиров. Это исключение «работает», если данные собираются для целей бронирования, оформления авиабилетов.

  2. Также эти правила не обязаны соблюдать агенты авиаперевозчиков и все те, кто обрабатывает ПД граждан-пассажиров исключительно для названных выше целей.

Эти исключения основаны на положениях п. 2 ч. 1 ст. 6 закона № 152-ФЗ, которыми допускается обработка ПД в целях исполнения международного договора. Международные перевозки регламентируются, в том числе, Варшавской конвенцией от 12.10.1929 и Монреальской конвенцией от 28.05.1999 об унификации некоторых правил международных воздушных перевозок.

Об ответственности операторов

По ст. 19.7 КоАП за непредставление или несвоевременное представление оператором в Роскомнадзор уведомления о намерении осуществлять трансграничную передачу ПД (равно как и представление такой информации в неполном объеме или в искаженном виде) оператору-организации может быть вынесено предупреждение или наложен административный штраф в размере от 3000 до 5000 рублей.

А вот в случае использования оператором баз данных, находящихся за пределами территории РФ, при сборе персональных данных, в том числе посредством сети Интернет (ч. 8 ст. 13.11 КоАП), штраф для юридических лиц может составить от 1 млн до 6 млн руб.

Подписывайтесь на наш Телеграм-канал «МКПЦН для бизнеса». Мы пишем о налогах, финансах, трудовом законодательстве, описываем интересные кейсы, отвечаем на ваши вопросы, анонсируем вебинары.

Защита персональных данных

Нужна консультация? Оставьте заявку, мы свяжемся с вами и обсудим ваши вопросы:

Принимаю оферту и даю согласие на сбор персональных данных и их распространение

Реклама: ООО «МКПЦН-КОНСУЛЬТАНТ», ИНН: 7717539166, erid: LjN8Jtvcr

Начать дискуссию