Особенности обработки персональных данных в РФ иностранными компаниями

Согласно ч. 5 ст. 18 Закона 152-ФЗ (О персональных данных) при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона (эти исключения к исследуемой ситуации не относятся).

Также существует мнение (юридическое обоснование неизвестно), что персональные данные в первую очередь должны попадать на российские сервера.

Кроме того, дальнейшая обработка и извлечение персональных данных, якобы, также должны осуществляться с российских серверов.

Задача сформировать перечень требований, которые Общество, как оператор персональных данных клиентов, должно соблюдать согласно требованиям действующего законодательства. На основании изложеного просим обосновать:

• Где должны храниться персональные данные (российские сервера или не обязательно)?

• Допускается ли одновременное копирование персональных данных на российские и иностранные сервера?

• Порядок извлечения и передачи персональных данных оператором?

Вас может заинтересовать: Соблюдение требований законодательства при обработке персональных данных

Осуществление деятельности по обработке персональных данных:

Часть 5 статьи 18 Закона 152-ФЗ обязывает осуществлять запись, систематизацию, накопление, хранение, уточнение, извлечение ПД граждан РФ с использованием баз данных, находящиеся в РФ. При этом данная норма запрещает обработку ПД за пределами РФ в целом, а лишь устанавливает такой запрет на сбор ПД (запись, систематизацию, накопление, хранение, уточнение, извлечение).

При этом данная норма не затрагивает использования, передачи, обезличивания, блокирования, удаления, уничтожения ПД. Таким образом, при буквальном толковании положений Закона 152-ФЗ можно сделать вывод, что они не распространяются на дальнейшую передачу ПД за пределы РФ.

Аналогичная позиция изложена в разъяснениях Минкомсвязи по вопросу о соотношении требования о локализации отдельных процессов обработки персональных данных с положениями о трансграничной передаче персональных данных https://digital.gov.ru/ru/personaldata/

В частности, Минкомсвязи разъяснил, что изменения в Закона 152-ФЗ, не затронули положений закона о трансграничной передаче данных. Соответственно передача персональных данных за пределы Российской Федерации возможна, как и ранее, с соблюдением условий, указанных в ст. 12 ФЗ «О персональных данных».

Тем самым требование о локализации отдельных процессов обработки персональных данных, содержащееся в ч. 5 ст. 18 ФЗ «О персональных данных», следует толковать в системном единстве с положениями ст. 12 о трансграничной передаче данных и с учетом определения данного понятия.

Таким образом, персональные данные гражданина Российской Федерации, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней («первичная база данных»), могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных.

Такие вторичные базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр. При этом при передаче персональных данных за границу иному оператору ответственность за действия, совершаемые в отношении переданных персональных данных, несет такой оператор в соответствии с применимым к нему законодательством. Предоставление удаленного доступа к базам данных, находящихся на территории Российской Федерации, с территории другого государства ФЗ-242 не запрещается.

Таким образом, первоначально ПД должны попадать в российские БД, а в дальнейшем эти ПД можно передавать на зарубежные сервера с соблюдением требований о трансграничной передаче.

Вас может заинтересовать: Включение в реестр операторов осуществляющих обработку персональных данных

Деятельность иностранной компании в РФ, связанная с обработкой персональных данных

Судебная практика показывает, что положения Закона 152-ФЗ распространяются не только на российских субъектов, но и на иностранные компании, осуществляющие деятельность в РФ (в том числе без фактического присутствия на территории РФ).

Ярким примером такого толкования может служить дело о блокировке в России социальной сети LinkedIn, в котором суд (Апелляционное определение Московского городского суда от 10.11.2016 по делу N 33-38783/16) не согласился с доводом, что нормы российского законодательства о персональных данных не подлежат применению к иностранной компании.

Позиция суда сводилась к тому, что компания LinkedIn осуществляла деятельность на территории России посредством использования сайта http://www.linkedin.com, направленного на территорию России, что подтверждалось наличием у сайта русскоязычной версии и возможностью использования на нем рекламы на русском языке.

Таким образом, если владелец вторичной базы данных будет признан осуществляющим деятельность на территории РФ, то к нему будут применены все те же требования о локализации ПД в базах данных, расположенных в РФ. В связи с этим необходимо при выборе вторичной базы данных оценить ее владельца.

Вас может заинтересовать: Аккредитация представительства или филиала иностранной компании в РФ.

Главный критерий: деятельность иностранной компании направлена на территорию РФ

Даже если иностранная компания ведет свою деятельность через Интернет без физического присутствия на территории России, на такую компанию могут распространяться требования локализации, если соблюден главный критерий - деятельность такой иностранной компании направлена на территорию РФ. О направленности деятельности на территорию России, по мнению Минкомсвязи России, могут свидетельствовать:

• Использование доменного имени, связанного с Российской Федерацией (.ru, .рф., .su, .москва., .moscow и т.п.).
• Наличие русскоязычной версии интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом, за исключением функции автоматизированного переводчика, в сочетании со следующими условиями (одним из них):
  • Возможность производить расчеты в российских рублях;
  • Возможность доставки товара, оказания услуги или пользования цифровым контентом на территории России, а также иные случаи исполнения договора на территории Российской Федерации;
  • Использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту;
• Иные обстоятельства, явно свидетельствующие о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию.

В связи с этим, в первую очередь, нужно обратить внимание на доменное имя сайта компании-владельца вторичной базы. Во-вторых, чтобы на этом сайте отсутствовала русскоязычная версия, в-третьих, деятельность не должна быть направлена иным образом на территорию РФ.

Возможно, вас заинтересует: Юридическое обслуживание стартапов и IT компаний.

Параллельный ввод данных

Закон не раскрывает, каким образом может осуществляться трансграничная передача. Вместе с тем, в Комментарии к Федеральному закону от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» Роскомнадзор согласился с позицией Минкомсвязи (https://pd.rkn.gov.ru/library/p195/).

При этом Роскомнадзор занял позицию, что параллельный ввод собранных персональных данных в российскую информационную систему и систему, находящуюся на территории иностранного государства, не отвечает требованиям комментируемой нормы, поскольку после сбора посредством российской информационной системы указанные сведения могут быть переданы в иностранную информационную систему только посредством трансграничной передачи.

Иными словами, по мнению Роскомнадзора вторичная база данных не может формироваться одновременно с первичной.

Требования к трансграничной передаче персональных данных

Конкретных требований при трансграничной передаче нет. Однако оператору ПД необходимо предварительно убедиться в том, что:

1. Иностранным государством, на территорию которого осуществляется передача ПД, обеспечивается уровень защищенности прав субъектов персональных данных не ниже, чем в РФ. Фактически нужно убедиться, что оператор отсутствует в перечне иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных» (Приказ Роскомнадзора от 15.03.2013 N 274).
2. Иностранным оператором ратифицирована «Конвенция о защите физических лиц при автоматизированной обработке персональных данных» (Заключена в г. Страсбурге 28.01.1981) без оговорок, делающих трансграничную передачу невозможной.

Трансграничная передача ПД на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, тоже возможна, однако при этом должно быть письменное согласие субъекта ПД, либо когда такая передача осуществляется в целях исполнения договора, стороной которого является субъект персональных данных.

Возможно, вас заинтересует: Абонентское юридическое обслуживание иностранных компаний.

Требования к оператору персональных данных:

Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом 152-ФЗ. Перечень мер оператор определяет самостоятельно, если иное не установлено законом.

Постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» определены:

• уровни защищенности ПД при их обработке в ИСПДн в зависимости от угроз безопасности этих данных (выделяют 4 уровня);
• требования к защите ПД при их обработке в ИСПДн, исполнение которых обеспечивает установленные уровни защищенности персональных данных (в зависимости от требуемого уровня защищенности);

В частности, конкретный состав и содержание необходимых требований к защите ПД для каждого из уровней защищенности, устанавливаются ФСТЭК (Приказ ФСТЭК России от 18.02.2013 N 21) и ФСБ (Приказ ФСБ России от 10.07.2014 N 378).

Вероятнее всего, потребуется обеспечение 4-го уровня защищенности персональных данных, для которого в соответствии с Постановлением N 1119 необходимы:

• организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
• обеспечение сохранности носителей персональных данных;
• утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
• использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Конкретные рекомендации для компании могут быть даны только после того, как будет определен необходимый уровень защищенности для персональных данных с учетом угроз безопасности.

Возможно вас заинтересует: Регистрация компаний в Москве.

Иностранный оператор должен соблюдать принципы и правила обработки персональных данных, предусмотренные Законом 152-ФЗ.

Следует иметь ввиду, что возможно и иное толкование положений Закона 152-ФЗ. В частности, если рассматривать передачу ПД иностранным операторам как поручение, то в силу п. 3 ст. 6 Закона 152-ФЗ иностранный оператор должен соблюдать принципы и правила обработки персональных данных, предусмотренные Законом 152-ФЗ.

Окончательная судебная практика по вопросу толкования норм о локализации не сформировалась. Все «разъяснения», «комментарии», «толкования» и «рекомендации» не являются источниками права, поэтому должны восприниматься как оценочные суждения отдельных лиц, не являющимися обязательными для применения.

Конечную точку во всех спорах может поставить только ВС РФ, в частности, правоприменительная судебная практика. Поэтому до ее формирования следует быть предельно осторожным в выборе условий обработки персональных данных граждан РФ.

Где должны храниться ПД (российские сервера или не обязательно). Допускается ли одновременное копирование ПД на российские и иностранные сервера

Первоначально ПД Должны храниться в российских базах данных, в дальнейшем допускается копирование (дублирование) этих данных в зарубежных базах данных (при условии, что зарубежный оператор не осуществляет деятельность в РФ и соблюдены условия трансграничной передачи).

Порядок извлечения и передачи ПД оператором

Конкретный порядок извлечения и передачи не установлен. Запрет на извлечение ПД из иностранных баз данных законом не установлен (такой запрет касается только сбора ПД). В целом нужно руководствоваться требованиями к трансграничной передаче и общими требованиями по передаче ПД третьим лицам. В любом случае для такой передачи должно быть согласие субъекта ПД.

Возможно, вас заинтересует: Абонентское юридическое обслуживание.

Если вам понравилась статья, подпишитесь на наши группы в соц. сетях и порекомендуйте Прайм лигал друзьям и знакомым.