Статус нерезидента увеличивает объем объектов внимания этих компаний при осуществлении деятельности в России.
Трансграничная передача персональных данных
Представляется, что для иностранной компании особенно актуальны нормы о трансграничной передаче ПД. Их нужно учитывать, если она, например:
передает персональные данные российских работников в головной офис;
направляет российских работников в деловые поездки, на конференции, обучение за границу, в том числе в страну своей регистрации;
направляет персональные данные своих работников иностранным партнерам в целях исполнения заключенных контрактов ВЭД.
Термин в законе. Трансграничная передача ПД — это передача ПД на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (ч. 11 ст. 3 закона № 152-ФЗ).
Главной обязанностью оператора в данном случае является уведомление Роскомнадзора о своем намерении осуществлять трансграничную передачу персональных данных. Обращаем внимание, что такое уведомление и обычное уведомление о намерении осуществлять обработку ПД — это два разных вида уведомления. В случае с трансграничной передачей их нужно направить в Роскомнадзор оба.
В уведомлении должен быть указан ряд данных, например, правовое основание и цель трансграничной передачи ПД, категории, перечень передаваемых ПД и пр. Другие требования к уведомлению более подробно раскрыты в ч. 4 ст. 12 закона № 152-ФЗ.
Важно учесть, что перед направлением в уполномоченный орган уведомления оператор персональных данных обязан получить определенные сведения от лиц или органов, которым планируется трансграничная передача ПД. К ним относятся:
сведения об органах и лицах, которым планируется трансграничная передача персональных данных;
сведения о принимаемых в другой стране мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
информация о правовом регулировании в области персональных данных иностранного государства (за исключениями направления в определенные страны, обеспечивающие адекватную защиту прав субъектов ПД).
Эти вопросы урегулированы ч. 5 ст. 12 закона № 152-ФЗ.
Защита персональных данных
Нужна консультация? Оставьте заявку, мы свяжемся с вами и обсудим ваши вопросы
Про страны с адекватной и неадекватной защитой — вопрос очень интересный
Дело в том, что закон № 152-ФЗ делит все иностранные государства на две категории:
1. Страны, обеспечивающие адекватную защиту прав субъектов ПД («адекватные страны»):
все участники Конвенции о защите физических лиц при автоматизированной обработке персональных данных, которая заключена в г. Страсбурге 28.01.1981;
государства, входящие в утвержденный Роскомнадзором список (см. приказ Роскомнадзора от 05.08.2022 № 128).
2. Страны, не обеспечивающие адекватную защиту прав субъекта ПД («неадекватные страны»). К ним относятся все государства, которых нет в перечисленных выше списках.
Схема действий оператора после направления уведомления будет следующей:
Запрет и ограничение. Решение о запрещении или об ограничении трансграничной передачи ПД может принять Роскомнадзор по достаточно широкому спектру причин (ч. 12 ст. 12 закона № 152-ФЗ).
Обязательная локализация персональных данных российских граждан в России
Другой момент, требующий внимания иностранной компании — оператора ПД, — это требование о локализации. Если иностранный оператор обрабатывает ПД граждан России, в том числе собирая сведения через Интернет, то он должен их собирать, обновлять и изменять в базах данных на территории России (ч. 5 ст. 18 закона № 152-ФЗ).
Обращаем внимание, что здесь речь не идет о передаче ПД, в том числе трансграничной. Персональные данные гражданина РФ, первоначально внесенные в базу данных на территории России и актуализируемые в ней («первичная база данных»), не запрещено потом передавать в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных.
Из требования о локализации есть ряд исключений из этого правила:
Они не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки ПД граждан-пассажиров. Это исключение «работает», если данные собираются для целей бронирования, оформления авиабилетов.
Также эти правила не обязаны соблюдать агенты авиаперевозчиков и все те, кто обрабатывает ПД граждан-пассажиров исключительно для названных выше целей.
Эти исключения основаны на положениях п. 2 ч. 1 ст. 6 закона № 152-ФЗ, которыми допускается обработка ПД в целях исполнения международного договора. Международные перевозки регламентируются, в том числе, Варшавской конвенцией от 12.10.1929 и Монреальской конвенцией от 28.05.1999 об унификации некоторых правил международных воздушных перевозок.
Об ответственности операторов
По ст. 19.7 КоАП за непредставление или несвоевременное представление оператором в Роскомнадзор уведомления о намерении осуществлять трансграничную передачу ПД (равно как и представление такой информации в неполном объеме или в искаженном виде) оператору-организации может быть вынесено предупреждение или наложен административный штраф в размере от 3000 до 5000 рублей.
А вот в случае использования оператором баз данных, находящихся за пределами территории РФ, при сборе персональных данных, в том числе посредством сети Интернет (ч. 8 ст. 13.11 КоАП), штраф для юридических лиц может составить от 1 млн до 6 млн руб.
Подписывайтесь на наш Телеграм-канал «МКПЦН для бизнеса». Мы пишем о налогах, финансах, трудовом законодательстве, описываем интересные кейсы, отвечаем на ваши вопросы, анонсируем вебинары.
Защита персональных данных
Нужна консультация? Оставьте заявку, мы свяжемся с вами и обсудим ваши вопросы:
Реклама: ООО «МКПЦН-КОНСУЛЬТАНТ», ИНН: 7717539166, erid: LjN8Jtvcr
Начать дискуссию