Новые правила трансграничной передачи персональных данных
Минцифры России предложило три проекта постановлений, регулирующих трансграничную передачу персональных данных во исполнение 266-ФЗ от 14.07.2022 г., о проекте которого мы писали ранее. Версии постановлений о персональных данных опубликованы на федеральном портале проектов 14 сентября.
Согласно первому проекту, компания будет обязана уведомить Роскомнадзор в бумажной или электронной форме (с электронной подписью) о планируемой трансграничной передачи данных.
Передача персданных будет запрещена:
- В компании и неправительственные организации, деятельность которых запрещена по решению суда или нежелательна на территории РФ. Например, под запрет попадет компания Meta (запрещена в РФ).
- В случае непринятия мер по обеспечению безопасности персональных данных и отсутствии условий прекращения их обработки.
- Если передача и последующая обработка персональных данных не соответствуют цели их сбора.
Перед принятием решения Роскомнадзор сможет запрашивать от компании дополнительные сведения (перечень определен ч. 5 ст. 12 ФЗ-152) в случаях:
- Отсутствия информации об органе, ответственного за защиту прав субъектов данных на территории государства.
- Планирования передачи биометрических данных, персональных данных спецкатегорий, обезличенных данных и персданных несовершеннолетних.
- Поступления жалобы на иностранное юрлицо или физлицо того государства, в которое планируется передача данных.
Согласно второму проекту, Роскомнадзор сможет ограничивать передачу данных за границу как конкретной компании, так и в отношении иностранного государства по запросу с обоснованием причин от Минобороны России, ФСБ России, МИД России и других органов власти, обеспечивающих «защиту финансовых и экономических интересов» РФ.
Итоговое решение об ограничении или запрете смогут принимать только руководитель Роскомнадзора или его заместитель.
При этом будут и исключения: третий проект подразумевает, что уведомления о намерении передачи персональных данных не потребуются от государственных и муниципальных органов, выполняющих международные функции, а также если передача данных связана с образованием, наукой, спортом или с проведением платежей.
Планируется, что все три постановления вступят в силу 1 марта 2023 г. Общественное обсуждение проектов продлится до 4 октября.
Новые проекты о персональных данных:
- «Об утверждении Порядка принятия решений о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан»
- «Об утверждении Порядка принятия решений о запрещении или об ограничении трансграничной передачи персональных данных по представлению уполномоченного органа»
- «Об утверждении перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных, не применяются требования частей 3-6, 8-11 статьи 12 Федерального закона "О персональных данных"»