Новые правила трансграничной передачи персональных данных

Минцифры России предложило три проекта постановлений, регулирующих трансграничную передачу персональных данных во исполнение 266-ФЗ от 14.07.2022 г., о проекте которого мы писали ранее. Версии постановлений о персональных данных опубликованы на федеральном портале проектов 14 сентября.

Согласно первому проекту, компания будет обязана уведомить Роскомнадзор в бумажной или электронной форме (с электронной подписью) о планируемой трансграничной передачи данных.

Передача персданных будет запрещена:

• В компании и неправительственные организации, деятельность которых запрещена по решению суда или нежелательна на территории РФ. Например, под запрет попадет компания Meta (запрещена в РФ).
• В случае непринятия мер по обеспечению безопасности персональных данных и отсутствии условий прекращения их обработки.
• Если передача и последующая обработка персональных данных не соответствуют цели их сбора.

Перед принятием решения Роскомнадзор сможет запрашивать от компании дополнительные сведения (перечень определен ч. 5 ст. 12 ФЗ-152) в случаях:

• Отсутствия информации об органе, ответственного за защиту прав субъектов данных на территории государства.
• Планирования передачи биометрических данных, персональных данных спецкатегорий, обезличенных данных и персданных несовершеннолетних.
• Поступления жалобы на иностранное юрлицо или физлицо того государства, в которое планируется передача данных.

Согласно второму проекту, Роскомнадзор сможет ограничивать передачу данных за границу как конкретной компании, так и в отношении иностранного государства по запросу с обоснованием причин от Минобороны России, ФСБ России, МИД России и других органов власти, обеспечивающих «защиту финансовых и экономических интересов» РФ.

Итоговое решение об ограничении или запрете смогут принимать только руководитель Роскомнадзора или его заместитель.

При этом будут и исключения: третий проект подразумевает, что уведомления о намерении передачи персональных данных не потребуются от государственных и муниципальных органов, выполняющих международные функции, а также если передача данных связана с образованием, наукой, спортом или с проведением платежей.

Планируется, что все три постановления вступят в силу 1 марта 2023 г. Общественное обсуждение проектов продлится до 4 октября.

Новые проекты о персональных данных:

• «Об утверждении Порядка принятия решений о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан»
• «Об утверждении Порядка принятия решений о запрещении или об ограничении трансграничной передачи персональных данных по представлению уполномоченного органа»
• «Об утверждении перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных, не применяются требования частей 3-6, 8-11 статьи 12 Федерального закона "О персональных данных"»