This is some text inside of a div block.
30.6.2023

Как перенести персональные данные российских сотрудников за границу и избежать штрафов.

Алексей Чичиренков
Старший юрист BBNP
Корпоративная практика, Коммерческая практика, Арбитраж, Рекомендован в области Арбитражных споров
No items found.

Российская экономика, не смотря на санкционную политику стран Запада, богата иностранным элементом бизнеса и инвестиций. Многие западные компании с 2022 года, продолжая уходить с российского рынка или приостанавливать деятельность, стремятся минимизировать свои финансовые затраты. Одной из таких затрат является аренда специального сервера для хранения коммерческих данных компании, в связи с чем возникает вопрос – «можно ли перенести такие данные за рубеж, чтобы сократить затраты в России?».

Российское законодательство позволяет свободно осуществлять трансграничный перенос коммерческой информации, за исключением персональных данных, в отношении которых устанавливается особый порядок.

Согласно ст. 3 Закона \"О персональных данных\" Персональные данные – это любая информация, относящаяся прямо или косвенно к определенному, или определяемому физическому лицу (субъекту персональных данных);

То есть, такими данными признаются

  1. фамилия, имя и отчество гражданина;
  2. возраст, день рождения, иные даты в жизни гражданина;
  3. пол;
  4. место жительства и любые иные относящиеся к гражданину адреса (адрес для переписки, для отгрузки, адрес для доставки счетов);
  5. данные об образовании гражданина;
  6. профессия, место работы, должность;
  7. личные качества, увлечения, хобби;
  8. любые изображения гражданина (фото, рисунки, шаржи, коллажи);
  9. настроение в данный момент;
  10. друзья и знакомые;
  11. номера телефонов;
  12. номера расчетных счетов и данные кредитных карт;
  13. паспортные данные;
  14. ИНН, номер свидетельства социального страхования и другие номера, позволяющие идентифицировать гражданина;
  15. доменные имена, адреса электронной почты, статические IP-адреса;
  16. иные сведения и материалы о жизни гражданина.


Компаниям стоит учитывать, что персональными данными может стать и комбинация различной, казалось бы, обезличенной информации. Например, совмещение пола и возраста не приведет к идентификации личности, а если добавить к ним место работы, то лицо станет вполне определимо. Так, важно учитывать, что персональные данные могут содержаться в любых документах, которые позволяют идентифицировать лицо. Это могут быть скан-копии документов, реестры данных, анкеты и т.п.

Что касается процедуры трансграничной передачи персональных данных, то законом предусмотрена такая возможность, но при условии обязательного дублирования и хранения копий, передаваемых персональных данных на сервере (ином архиве) в России. При таких условиях, на основании ст.12 Закона \"О персональных данных\" персональные данные могут быть переданы в другие страны.

Для такой передачи данных необходимо уведомить территориальные органы Роскомнадзора о предстоящей трансграничной передаче персональных данных (можно использовать электронный портал https://pd.rkn.gov.ru/cross-border-transmission/form/). В таком уведомлении необходимо указать всю необходимую информацию о получателе персональных данных: наименование Компании-отправителя, ее адрес реквизиты, информацию об ответственном лице, правовое основание, цель передачи данных, категорию данных, перечень иностранных государств куда передаются данные, сведения об оценке соблюдения конфиденциальности персональных данных, проведенной Компанией-отправителем в отношении Компании-получателя.

До подачи указанного уведомления Компания-отправитель обязана:
1) получить информацию о принимаемых органами власти иностранного государства, иностранными Компаниями-получателями, мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
2) получить информацию о правовом регулировании в области персональных данных иностранного государства.
3) получить сведения об иностранных Компаниях-получателях, которым планируется трансграничная передача персональных данных (наименование, номера контактных телефонов, почтовые адреса и адреса электронной почты).

Срок обработки таких уведомлений органами Роскомнадзора – 10 рабочих дней, по закону возможно продление срока обработки до 5 рабочих дней. Однако, если страна-получатель данных входит в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, куда включаются государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и другие участники, то ждать окончания обработки таких уведомлений не обязательно12.

Если страна-получатель данных не входит в указанный перечень, то при подаче уведомления в органы Роскомнадзора, важно понимать, что трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя России, нравственности, здоровья, прав и законных интересов граждан и в иных случаях3.
Также, направляя персональные данные в страну, которая не в состоянии обеспечить «адекватную защиту персональных данных», стоит учитывать мнение владельцев таких данных и получить письменное согласие на такую передачу. Однако следует учитывать, что Законом установлены и случаи, когда согласие лиц на использование их персональных данных не требуется, например, если это необходимо:
- для обеспечения конституционного строя, обороны и безопасности страны, транспортной защиты;
- для исполнения условий договора с субъектом персональных данных;
- для защиты жизни, здоровья, интересов самого гражданина и других лиц, когда невозможно получить письменное согласие лица и иное.

Учитывая текущую политическую обстановку и наличие утвержденного Правительством перечня «недружественных стран» - возможны проблемы с одобрением передачи персональных данных из России в одну из таких стран. Однако формально прямых ограничений такой передачи не установлено. В любом случае, перед отправкой данных рекомендуется выждать срок в 15 рабочих дней после отправки соответствующего уведомления.

Кроме того, законом предусмотрена еще одна очень важная обязанность Компаний - при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети \"Интернет\", она обязана обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Так, получая персональные данные в России, Компания может передать копии таких данных в другую страну, но уничтожение копии персональных данных на сервере (ином архиве) в России после их передачи в другую страну будет расценена как неисполнение обязанности п. 5 ст. 18 Закона о персональных данных.
Санкция за несоблюдение данной нормы по ч. 8, 9 ст. 13.11 КоАП РФ предусматривает до 6 000 000 руб. для юридических лиц за первое нарушение и до 18 000 000 руб. за повторное нарушение.

Таким образом, полная передача российских персональных данных за рубеж с последующим удалением таких данный в России (удаления с сервера или из архива, где они хранились) влекут риски ответственности для российской Компании. В данный момент законом установлена передача персональных данных за рубеж, но только с обязательным сохранением таких данных в России.

---
1 Приказ Роскомнадзора от 05.08.2022 N 128 \"Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных\"
2 ч. 10,11 ст. 12 Федерального закона от 27.07.2006 N 152-ФЗ \"О персональных данных\"
3 ч. 7 ст. 12 Федерального закона от 27.07.2006 N 152-ФЗ \"О персональных данных\"