This is some text inside of a div block.
30.6.2023

Как перенести персональные данные российских сотрудников за границу и избежать штрафов.

Alexey Chichirenkov
BBNP Senior Lawyer
Corporate practice, Commercial practice, Arbitration, Recommended in the field of Arbitration disputes
No items found.

Российская экономика, не смотря на санкционную политику стран Запада, богата иностранным элементом бизнеса и инвестиций. Многие западные компании с 2022 года, продолжая уходить с российского рынка или приостанавливать деятельность, стремятся минимизировать свои финансовые затраты. Одной из таких затрат является аренда специального сервера для хранения коммерческих данных компании, в связи с чем возникает вопрос – «можно ли перенести такие данные за рубеж, чтобы сократить затраты в России?».

Российское законодательство позволяет свободно осуществлять трансграничный перенос коммерческой информации, за исключением персональных данных, в отношении которых устанавливается особый порядок.

Согласно ст. 3 Закона \"О персональных данных\" Персональные данные – это любая информация, относящаяся прямо или косвенно к определенному, или определяемому физическому лицу (субъекту персональных данных);

То есть, такими данными признаются

  1. фамилия, имя и отчество гражданина;
  2. возраст, день рождения, иные даты в жизни гражданина;
  3. пол;
  4. место жительства и любые иные относящиеся к гражданину адреса (адрес для переписки, для отгрузки, адрес для доставки счетов);
  5. данные об образовании гражданина;
  6. профессия, место работы, должность;
  7. личные качества, увлечения, хобби;
  8. любые изображения гражданина (фото, рисунки, шаржи, коллажи);
  9. настроение в данный момент;
  10. друзья и знакомые;
  11. номера телефонов;
  12. номера расчетных счетов и данные кредитных карт;
  13. паспортные данные;
  14. ИНН, номер свидетельства социального страхования и другие номера, позволяющие идентифицировать гражданина;
  15. доменные имена, адреса электронной почты, статические IP-адреса;
  16. иные сведения и материалы о жизни гражданина.


Компаниям стоит учитывать, что персональными данными может стать и комбинация различной, казалось бы, обезличенной информации. Например, совмещение пола и возраста не приведет к идентификации личности, а если добавить к ним место работы, то лицо станет вполне определимо. Так, важно учитывать, что персональные данные могут содержаться в любых документах, которые позволяют идентифицировать лицо. Это могут быть скан-копии документов, реестры данных, анкеты и т.п.

Что касается процедуры трансграничной передачи персональных данных, то законом предусмотрена такая возможность, но при условии обязательного дублирования и хранения копий, передаваемых персональных данных на сервере (ином архиве) в России. При таких условиях, на основании ст.12 Закона \"О персональных данных\" персональные данные могут быть переданы в другие страны.

Для такой передачи данных необходимо уведомить территориальные органы Роскомнадзора о предстоящей трансграничной передаче персональных данных (можно использовать электронный портал https://pd.rkn.gov.ru/cross-border-transmission/form/). В таком уведомлении необходимо указать всю необходимую информацию о получателе персональных данных: наименование Компании-отправителя, ее адрес реквизиты, информацию об ответственном лице, правовое основание, цель передачи данных, категорию данных, перечень иностранных государств куда передаются данные, сведения об оценке соблюдения конфиденциальности персональных данных, проведенной Компанией-отправителем в отношении Компании-получателя.

До подачи указанного уведомления Компания-отправитель обязана:
1) получить информацию о принимаемых органами власти иностранного государства, иностранными Компаниями-получателями, мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
2) получить информацию о правовом регулировании в области персональных данных иностранного государства.
3) получить сведения об иностранных Компаниях-получателях, которым планируется трансграничная передача персональных данных (наименование, номера контактных телефонов, почтовые адреса и адреса электронной почты).

Срок обработки таких уведомлений органами Роскомнадзора – 10 рабочих дней, по закону возможно продление срока обработки до 5 рабочих дней. Однако, если страна-получатель данных входит в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, куда включаются государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и другие участники, то ждать окончания обработки таких уведомлений не обязательно12.

Если страна-получатель данных не входит в указанный перечень, то при подаче уведомления в органы Роскомнадзора, важно понимать, что трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя России, нравственности, здоровья, прав и законных интересов граждан и в иных случаях3.
Также, направляя персональные данные в страну, которая не в состоянии обеспечить «адекватную защиту персональных данных», стоит учитывать мнение владельцев таких данных и получить письменное согласие на такую передачу. Однако следует учитывать, что Законом установлены и случаи, когда согласие лиц на использование их персональных данных не требуется, например, если это необходимо:
- для обеспечения конституционного строя, обороны и безопасности страны, транспортной защиты;
- для исполнения условий договора с субъектом персональных данных;
- для защиты жизни, здоровья, интересов самого гражданина и других лиц, когда невозможно получить письменное согласие лица и иное.

Учитывая текущую политическую обстановку и наличие утвержденного Правительством перечня «недружественных стран» - возможны проблемы с одобрением передачи персональных данных из России в одну из таких стран. Однако формально прямых ограничений такой передачи не установлено. В любом случае, перед отправкой данных рекомендуется выждать срок в 15 рабочих дней после отправки соответствующего уведомления.

Кроме того, законом предусмотрена еще одна очень важная обязанность Компаний - при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети \"Интернет\", она обязана обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Так, получая персональные данные в России, Компания может передать копии таких данных в другую страну, но уничтожение копии персональных данных на сервере (ином архиве) в России после их передачи в другую страну будет расценена как неисполнение обязанности п. 5 ст. 18 Закона о персональных данных.
Санкция за несоблюдение данной нормы по ч. 8, 9 ст. 13.11 КоАП РФ предусматривает до 6 000 000 руб. для юридических лиц за первое нарушение и до 18 000 000 руб. за повторное нарушение.

Таким образом, полная передача российских персональных данных за рубеж с последующим удалением таких данный в России (удаления с сервера или из архива, где они хранились) влекут риски ответственности для российской Компании. В данный момент законом установлена передача персональных данных за рубеж, но только с обязательным сохранением таких данных в России.

---
1 Приказ Роскомнадзора от 05.08.2022 N 128 \"Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных\"
2 ч. 10,11 ст. 12 Федерального закона от 27.07.2006 N 152-ФЗ \"О персональных данных\"
3 ч. 7 ст. 12 Федерального закона от 27.07.2006 N 152-ФЗ \"О персональных данных\"

Other articles

No items found.