Позиция Роскомнадзора в отношении трансграничной передачи персональных данных граждан РФ

Предложения Роскомнадзора по ограничению трансграничной передачи персональных данных. Влияние на локализацию и законность таких ограничений

31 марта 2021 г.

Вслед за предложениями Министерства цифрового развития, связи и массовых коммуникаций РФ (далее - Минцифры) ужесточить требования к обработке обезличенных персональных данных, представители Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор) решили обозначить свою позицию в отношении изменения российского законодательства о персональных данных.

23 марта 2021 года на заседании межфракционной рабочей группы Госдумы по борьбе с киберпреступностью заместитель главы Роскомнадзора Владимир Логунов предложил расширить зону действия принципов российского законодательства о персональных данных. Замглавы ведомства отметил, что Роскомнадзор считает правильным ограничить передачу персональных данных россиян за границу, чтобы защитить права граждан.

"Сохраняется актуальность тем, связанных с экстерриториальностью применения закона «О персональных данных». Над этой задачей мы сейчас работаем. В том числе, работаем в рамках задачи по приземлению иностранных интернет-компаний, чтобы принципы, которые заложены в законе «О персональных данных», распространить и на иностранные интернет-площадки. Сделать это можно, в том числе, в соглашении между уполномоченным органом власти в области персональных данных, это Роскомнадзор, и иностранными органами власти. Возможно, какими-то другими механизмами, но эта задача не теряет своей актуальности. Второе предложение, которое можно было бы прорабатывать, это ограничение трансграничной передачи персональных данных в целях защиты прав граждан. Внести некоторые правила трансграничной передачи, чтобы не распространять их на зарубежные юрисдикции, на иностранные интернет-площадки…" Владимир Логунов.

Предложенную инициативу можно признать противоречащей нормам как российского законодательства, так и международного.

Во-первых, предложение Владимира Логунова противоречит ч. 2 ст. 12 Конвенции о защите физических лиц при автоматизированной обработке персональных данных. Согласно указанной норме, запрет или ограничение трансграничной передачи персональных данных с единственной целью защиты частной жизни граждан, является недопустимым.

Во-вторых, если трансграничная передача осуществляется на основании согласия субъекта персональных данных, то такое ограничение будет нарушать права и законные интересы граждан РФ. Так, в соответствии с ч. 1 ст. 9 Федерального закона «О персональных данных», субъект персональных данных вправе принимать решение о предоставлении своих персональных данных, а также давать согласие на их обработку свободно, своей волей и в своем интересе.

Единственным ограничением прав субъекта персональных данных, в соответствии с ч. 3 Федерального закона от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», является ограничение доступа к персональным данным о себе в целях защиты безопасности государства и общественного порядка.

Помимо изменения правил трансграничной передачи персональных данных, данная позиция не исключает также и ужесточения требований законодательства о локализации персональных данных. При организации обработки персональных данных с использованием баз данных, расположенных за пределами Российской Федерации, важно также понимать вероятные мотивы властей РФ при внесении изменений в законодательство о персональных данных, в частности, ужесточение требований по локализации персональных данных граждан РФ.

Одним из таких мотивов можно назвать обеспечение возможности оперативного доступа к персональным данным субъектов со стороны правоохранительных органов РФ.

Однако, если исходить из того факта, что при внесении изменений в законодательство о персональных данных, подразумевается последующее обеспечение «информационного и цифрового» суверенитета РФ, то к еще одному мотиву можно отнести обеспечение непрерывности деятельности российских компаний, являющихся дочерними по отношению к иностранным компаниям или пользующихся ИТ-услугами иностранных компаний. В частности, очень многие дочерние юридические лица иностранных компаний пользуются ресурсами информационных систем, предоставляемыми иностранными компаниями, для обработки персональных данных в таких целях как кадровый учет, расчет заработной платы или взаимодействие с контрагентами. В случае реального отключения России от глобального Интернета, ограничения скорости соединения или полного изменения инфраструктуры сети, блокировка обработки персональных данных в подобных информационных системах из-за санкций может в кратчайшие сроки нанести серьезный удар по бизнесу компаний-резидентов РФ.

Лента сообщений в удобном формате: