Новые требования Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
Подготовили информацию по теме трансграничной передачи персональных данных в формате «вопрос-ответ». Что считать трансграничной передачей ПДн, нужно ли получать согласие субъекта на передачу ПДн, как должна проводиться оценка соблюдения иностранными контрагентами конфиденциальности ПДн, рассказываем в статье.
Наша компания имеет на территории РФ базу данных с документами, содержащими персональные данные. К ней могут подключаться иностранные контрагенты, находящиеся на территории иностранных государств. Является ли предоставление доступа к базе данных в этом случае (без передачи нами этих данных) трансграничной передачей персональных данных?
Согласно п. 11 ст. 3 ФЗ-152, трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
В определении есть три обязательных критерия, по наличию которых мы можем понять, что конкретная операция, проводимая с персональными данными (далее – ПДн), является трансграничной передачей ПДн.
1 критерий
Само действие (ЧТО?) – передача ПДн. В 152-ФЗ не раскрыто понятие передачи данных, зато мы можем посмотреть на различные определения из других НПА:
Из данных определений можно сделать вывод о том, что законодательством разделяются понятия «передача данных» и «предоставление данных» / «предоставление доступа к данным». Передачей данных является физическое перемещение данных из одного места в другое по линиям связи. В вашем случае осуществляется предоставление доступа иностранным контрагентам к ПДн, т.е. предоставление возможности иностранными контрагентами получения информации и ее использования.
2 критерий
Передача ПДн (КУДА?) на территорию иностранного государства. Должна присутствовать передача ПДн за границу РФ. В вашем случае такого действия не происходит. Физически вы как оператор не передаёте ваши ПДн за границу, они остаются на территории РФ.
3 критерий
Передача ПДн (КОМУ?) органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Данный критерий выполняется.
Из вышесказанного можно сделать вывод о том, что описанный вами процесс не является трансграничной передачей ПДн и к нему не применяются требования ст. 12 ФЗ-152 «О персональных данных».
В определении есть три обязательных критерия, по наличию которых мы можем понять, что конкретная операция, проводимая с персональными данными (далее – ПДн), является трансграничной передачей ПДн.
1 критерий
Само действие (ЧТО?) – передача ПДн. В 152-ФЗ не раскрыто понятие передачи данных, зато мы можем посмотреть на различные определения из других НПА:
- информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники (149-ФЗ);
- доступ к информации - возможность получения информации и ее использования (149-ФЗ);
- предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц (149-ФЗ);
- обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации (149-ФЗ);
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц (152-ФЗ);
- передача данных по каналам электросвязи: передача данных из одного пункта в один или несколько пунктов с помощью средств электросвязи (ГОСТ 33707-2016).
Из данных определений можно сделать вывод о том, что законодательством разделяются понятия «передача данных» и «предоставление данных» / «предоставление доступа к данным». Передачей данных является физическое перемещение данных из одного места в другое по линиям связи. В вашем случае осуществляется предоставление доступа иностранным контрагентам к ПДн, т.е. предоставление возможности иностранными контрагентами получения информации и ее использования.
2 критерий
Передача ПДн (КУДА?) на территорию иностранного государства. Должна присутствовать передача ПДн за границу РФ. В вашем случае такого действия не происходит. Физически вы как оператор не передаёте ваши ПДн за границу, они остаются на территории РФ.
3 критерий
Передача ПДн (КОМУ?) органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Данный критерий выполняется.
Из вышесказанного можно сделать вывод о том, что описанный вами процесс не является трансграничной передачей ПДн и к нему не применяются требования ст. 12 ФЗ-152 «О персональных данных».
Какие документы должны запрашиваться от иностранного юридического лица для проведения оценки соблюдения им конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке по новым правилам трансграничной передачи персональных данных?
Новая редакция ФЗ-152 (редакция от 06.02.2023, начало действия редакции – 08.05.2023) не содержит разъяснений о том, как конкретно Оператором должна проводиться оценка соблюдения иностранными контрагентами конфиденциальности ПДн и обеспечения их безопасности при их обработке. Исходя из практики, рекомендуем запрашивать у зарубежных юридических лиц документы, в которых описаны меры по защите обрабатываемой личной информации (персональных данных). Такими документами могут быть:
- действующие Политики по обработке и защите персональных данных;
- внутренние регламенты, инструкции по обеспечению безопасности данных и информационных систем;
- акты проведения внутреннего контроля и аудита обеспечения безопасности ПДн;
- любые другие документы, в которых присутствует описание реализованных технологий, принципов защиты ПДн и используемых средств защиты информации;
- сведения о мерах ответственности за нарушения обязательных требований в области персональных данных и о размере установленных санкций.
Также не стоит забывать о новых требованиях по получению Оператором сведений от иностранной стороны. В соответствии с новой редакцией ст. 12 ФЗ-152 Оператор до подачи уведомления о трансграничной передаче персональных данных обязан получить от иностранных юридических лиц, которым планируется трансграничная передача персональных данных, следующие сведения:
1) сведения о принимаемых иностранными юридическими лицами мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
2) информацию о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся иностранные юридические лица (в случае, если предполагается осуществление трансграничной передачи персональных данных иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных);
3) сведения иностранных юридических лицах (наименование, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).
- действующие Политики по обработке и защите персональных данных;
- внутренние регламенты, инструкции по обеспечению безопасности данных и информационных систем;
- акты проведения внутреннего контроля и аудита обеспечения безопасности ПДн;
- любые другие документы, в которых присутствует описание реализованных технологий, принципов защиты ПДн и используемых средств защиты информации;
- сведения о мерах ответственности за нарушения обязательных требований в области персональных данных и о размере установленных санкций.
Также не стоит забывать о новых требованиях по получению Оператором сведений от иностранной стороны. В соответствии с новой редакцией ст. 12 ФЗ-152 Оператор до подачи уведомления о трансграничной передаче персональных данных обязан получить от иностранных юридических лиц, которым планируется трансграничная передача персональных данных, следующие сведения:
1) сведения о принимаемых иностранными юридическими лицами мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
2) информацию о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся иностранные юридические лица (в случае, если предполагается осуществление трансграничной передачи персональных данных иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных);
3) сведения иностранных юридических лицах (наименование, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).
Как правильно документировать проведение оценки соблюдения иностранным юридическим лицом, которому передаются персональные данные, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке?
Новая редакция ФЗ-152 не раскрывает того, как как конкретно Оператором должна проводиться и документироваться оценка соблюдения иностранными контрагентами конфиденциальности ПДн и обеспечения их безопасности при их обработке.
Мы советуем действовать следующим образом:
При общении и переписке с зарубежными юридическими лицами рекомендуется сохранять всю переписку. При запросе Роскомнадзора её можно будет приложить как дополнительное доказательство выполнения требований законодательства.
Мы советуем действовать следующим образом:
- в функциональные обязанности комиссии для организации работ по защите персональных данных добавить обязанность по проведению оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется или осуществляется трансграничная передача персональных данных, требований конфиденциальности передаваемых персональных данных и обеспечения их безопасности с оформлением акта «О проведении оценки соблюдения требований конфиденциальности передаваемых персональных данных»;
- утвердить форму акта «О проведении оценки соблюдения требований конфиденциальности передаваемых персональных данных»;
- апросить у иностранных коллег документы, подтверждающие соблюдение ими конфиденциальности ПДн и обеспечения их безопасности при их обработке;
- на основании полученных на 3-ем этапе сведений провести оценку, составить акт «О проведении оценки соблюдения требований конфиденциальности передаваемых персональных данных»;
- в поле уведомления о трансграничной передаче ПДн указать дату проведения оценки и составления акта.
При общении и переписке с зарубежными юридическими лицами рекомендуется сохранять всю переписку. При запросе Роскомнадзора её можно будет приложить как дополнительное доказательство выполнения требований законодательства.
Нужно ли получать согласие субъекта на трансграничную передачу персональных данных?
До 1-го марта 2023 г., т.е. до вступления в силу новых поправок в Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» при передаче ПДн на территорию дружественных стран Оператор должен был руководствоваться условиями обработки ПДн в соответствии со ст. 6, а при передаче ПДн на территорию недружественных государств (в т.ч. в США) действовали условия наличия согласия субъекта в письменной форме, факт исполнения договора, стороной которого является субъект ПДн, а также другие основания (ч. 4 ст. 12).
С 1-го марта 2023 г. вступила в силу новая редакция закона, вносящая существенные изменения в ст. 12. Теперь письменное согласие на «трансграничку» даже при передаче в недружественные страны в общем случае не требуется, а для всех случаев передачи ПДн за границу действуют те же основания такой передачи, как и для обычной обработки ПДн. Это основания, предусмотренные статьями 6 и 9.
Поэтому, отвечая на изначально поставленный вопрос, необходимо приравнять трансграничную передачу ПДн к обычной обработке ПДн и уже отталкиваться от обычных правовых оснований такой обработки.
С 1-го марта 2023 г. вступила в силу новая редакция закона, вносящая существенные изменения в ст. 12. Теперь письменное согласие на «трансграничку» даже при передаче в недружественные страны в общем случае не требуется, а для всех случаев передачи ПДн за границу действуют те же основания такой передачи, как и для обычной обработки ПДн. Это основания, предусмотренные статьями 6 и 9.
Поэтому, отвечая на изначально поставленный вопрос, необходимо приравнять трансграничную передачу ПДн к обычной обработке ПДн и уже отталкиваться от обычных правовых оснований такой обработки.
Анастасия Успенская, ведущий специалист отдела аудита Infosecurity
