Артем Евсеев, руководитель практики интеллектуальной собственности, IT и защиты информации Savina Legal, опубликовал заметку на Zakon.ru, в которой рассматривает первые итоги реформы трансграничной передачи данных.
Правовые позиции, приводимые в настоящей работе, не представляют собой юридическую консультацию и не отражают позицию организаций, с которыми автора связывают (связывали) трудовые, гражданско-правовые и иные отношения, а также не могут использоваться как предпосылки для формирования представления о возможных правовых позициях таких организаций в будущем. Высказанные в статье суждения отражают личное мнение автора.
*****
В настоящее время трудно представить ведение бизнеса без налаживания комплексных информационных процессов, в том числе, с передачей данных в другие юрисдикции. По результатам реформы 2022 – 2023 гг. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) закрепил новые правила осуществления трансграничной передачи данных (далее – ТГП)[1].
В рамках данной статьи я рассмотрю, как современному бизнесу структурировать потоки передачи данных за рубеж.
Что такое ТГП
Для начала разберемся в понятиях. Далеко не каждая передача данных за рубеж будет считаться ТГП.
Квалифицирующими признаками ТГП по российскому праву являются:
Так, если вы разместили сайт в Интернете, который доступен на территории всего мира, вы не осуществляете трансграничную передачу, так как не вы, а пользователь из другой юрисдикции, зайдя на ваш сайт, будет осуществлять такую целенаправленную деятельность по использованию вашего сайта.
Хрестоматийным примером ТГП, о котором часто забывают, так как он касается, прежде всего, маркетологов и SMM-специалистов, а не юристов, – это данные метрических систем и cookie-файлы, которые используются по сути на любом сайте. Так, если на сайте размещены инструменты Google Analytics[2], Facebook (принадлежит компании Meta, признанной экстремистской), Microsoft и т.п., которые анализируют поведение пользователей сайта, администратор сайта будет осуществлять ТГП пользователей в США и другие государства, передавая их данные под контроль иностранных организаций.
Следовательно, любая организация может осуществлять ТГП, даже не догадываясь об этом.
Уведомление о намерении осуществить ТГП
Попытаемся теперь разобраться в том, что теперь необходимо учитывать при осуществлении ТГП.
В результате реформы до начала осуществления ТГП оператору нужно подать уведомление о намерении осуществлять ТГП. Но перед тем, как такое уведомление подать, оператор должен собрать определенный массив сведений:
Сразу возникает вопрос, что законодатель понимает под «мерами по защите», так как ни в одной статье Закона о персональных данных такой формулировки не встречается. Например, на операторе в силу ст.ст. 18.1 и 19 Закона о персональных данных возложены обязанности «по обеспечению безопасности» персональных данных, которые четко регламентированы в подзаконных актах (подготовка модели угроз, разграничение уровней доступа, использование средств защиты информации и т.п.).
В связи с использованием разной терминологии до сих пор непонятно, как соотносятся «меры по защите» и «меры по обеспечению безопасности».
Полагаем, что до получения официальных разъяснений регулятора под мерами по защите можно понимать как меры по обеспечению безопасности в значении ст.ст. 18.1 и 19 Закона о персональных данных, так и иные меры, которые могут быть предусмотрены у получающей стороны, в том числе, во исполнение применимого иностранного законодательства. То есть если в государстве получающей стороны установлены дополнительные правила защиты данных, российский оператор также должен будет собрать о них информацию.
Перечень государств, которые такую защиту обеспечивает, установлен подзаконным актом Роскомнадзора[3]. Исконно к таким государствам относятся большая часть государств Европы и ЕС. Также перечень c 2022 года пополнился Китаем, Киргизией, Таиландом, Кот-Д’Ивуаром и Индией. США же традиционно рассматриваются как юрисдикция, которая не предоставляет адекватный уровень защиты.
Несмотря на то, что реформа законодательства о персональных данных была в 2022 – 2023 гг., до сих пор нет понимания, насколько подробно и глубоко необходимо изучить иностранное правовое регулирование. Вполне вероятно, что Роскомнадзор будет подходить к данному требованию, запрашивая у операторов информацию исходя из того, какие аспекты обработки персональных данных урегулированы по российскому праву: сфера действия законодательства, принципы обработки, основания для обработки, способы получения согласия, обязанности оператора, права субъекта персональных данных, процедура реагирования на утечки, требования к локальным актам, ответственность и т.п.
Именно поэтому Savina Legal подготовила первый выпуск из серии страновых обзоров по иностранному законодательству о персональных данных. Первый выпуск посвящен ОАЭ, включая несколько фризон Дубая и Абу-Даби, а также ряду государств Южной Америки, Ближнего востока и Юго-Восточной Азии, с которым вы можете ознакомиться по ссылке.
Из данного обзора вы узнаете, например, что в Индонезии, как и в России, есть требование о локализации персональных данных, но оно имеет другую сферу действия.
Собрав все необходимые сведения, оператор до начала ТГП подает уведомление в Роскомнадзор[4]. Процедура уведомления схематично изображена ниже.
Важно помнить, что если вы осуществляете ТГП в «неадекватную» юрисдикцию, вы не можете передавать данные до получения положительного решения Роскомнадзора (по сути порядок не уведомительный, а разрешительный). Но если передача планируется в «адекватную» юрисдикцию, то в такой ситуации вы можете осуществлять ТГП с момента подачи уведомления, не дожидаясь решения Роскомнадзора.
Уведомление должно быть структурировано исходя из общего подхода законодательства и Роскомнадзора, что для каждой цели необходимо указывать состав обрабатываемых данных, категории субъектов, правовое основание и т.п.[5]
Представители Роскомнадзора также разъяснили, что уведомление не нужно повторно подавать, если у вас изменился контрагент в рамках одной юрисдикции[6].
Несмотря на то, что такой комментарий является максимально размытым, можно предположить, что оператору не нужно подавать уведомление, если меняется получающая сторона, но цели такой передачи, категории субъектов данных, чьи сведения передается, а также объем передаваемых сведений, остается неизменным. Примером подобного сценария может быть смена иностранного хостинг-провайдера вашего сайта либо мобильного приложения.
Запрет и ограничение ТГП по инициативе Роскомнадзора
После рассмотрения уведомления Роскомнадзор может принять одно из следующих решений: разрешить ТГП, запретить ТГП либо ограничить ТГП, скорректировав перечень передаваемых данных / убрав одну из целей и т.п.
Внутренняя процедура рассмотрения уведомления Роскомнадзором никак не регламентирована, то есть в публичном доступе отсутствуют сведения о том, какими критериями руководствуется Роскомнадзор при принятии решения.
Однако ч. 8 ст. 12 Закона о персональных данных закрепляет, в каких случаях Роскомнадзор может ограничивать либо запрещать ТГП: в целях защиты нравственности, здоровья, прав и законных интересов граждан. Однако закон далее не поясняет, что может подходить под данные цели.
Во исполнение ч. 8 ст. 12 Закона о персональных данных было принято постановление Правительства РФ от 16.01.2023 № 24, в соответствии с которым были утверждены правила принятия Роскомнадзором решений о запрете / ограничении ТГП на основании данной нормы.
Эти правила закрепляют, в каких случаях Роскомнадзор может направить дополнительный запрос при рассмотрении уведомления оператора:
Эти сценарии не являются сами по себе основаниями для ограничения либо запрета ТГП, однако дают общее понимание, на что Роскомнадзор будет в первую очередь обращать внимание при рассмотрении уведомления.
Основания для запрета ТГП, согласно данному постановлению, в свою очередь, являются следующие ситуации:
В свою очередь, ТГП может быть ограничена по объему / целям и т.п., если:
После вынесения решения о запрете / ограничении ТГП оператор может обжаловать такой запрет как в судебном, так и в административном порядке. Однако процедура принятия решения является непубличной, поэтому в настоящее время отсутствует правоприменительная практика, которая бы находилась в открытом доступе.
Я могу здесь ориентироваться только на публикации СМИ и пресс-релизы самого регулятора.
Так, уже в июне 2023 Роскомнадзор вынес первые запреты на осуществление трансграничной передачи персональных данных. Как было указано представителем Роскомнадзора, с 1 марта в адрес Роскомнадзора поступило 733 уведомления о намерении осуществлять трансграничную передачу персональных данных, по результатам рассмотрения которых Роскомнадзором было принято три решения о запрещении трансграничной передачи и шесть решений об ограничении трансграничной передачи[7]. Как сообщил Роскомнадзор, решения о запрете и ограничении были вынесены из-за несоответствия цели трансграничной передачи персональных данных тем целям, которые указывались при их сборе, а также их объему и содержанию, например, компании планировали передавать личные данные соискателей, а также потенциальных клиентов для проверки их платежеспособности[8].
Роскомнадзор указал на следующие ошибки операторов при подаче уведомления о намерении осуществлять трансграничную передачу персональных данных:
Таким образом, оператору следует максимально тщательно подходить к подготовке и подаче уведомления о ТГП, а также к сбору всей необходимой информации. В противном случае, имеется осязаемый риск отказа / ограничения ТГП.
Запрет и ограничение ТГП по инициативе иных государственных органов
Кроме того, решение о запрете либо об ограничении ТГП Роскомнадзор может принять и в иных случаях, по представлению других государственных органов в пределах своей компетенции, например, ФСБ России, Минобороны и др.[10]
Постановлением Правительства от 10.01.2023 № 6 закрепляется данная процедура, причем Роскомнадзор не проверяет по существу доведенную до него информацию, а лишь исполняет представление, вынося соответствующее решение.
Важно обратить внимание на то, что оператор уведомляется постфактум, то есть после того, как Роскомнадзор вынес решение, и не имеет возможности представить свои доводы и аргументы в защиту своей позиции.
В такой ситуации операторы могут пойти по одному из двух путей: устранить причины, повлекшие представление компетентного госоргана, или обжаловать данные действия в судебном порядке.
С процессуальной точки зрения представляется интересным, какой акт / действие подлежит оспариванию в данной ситуации. На наш взгляд, вряд ли таким актом будет решение Роскомнадзора, поскольку сам Роскомнадзор будет выступать кондуитом воли государственного органа. Поэтому, возможно, предметом подобного административного иска будет представление госоргана либо действия по направлению соответствующего представления.
Еще раз подчеркнем, что ни одна из процедур принятия решений о запрете / ограничении ТГП не является публичной и открытой. Оператор по сути никак не может повлиять на процесс, если только ему не направят запрос.
С учетом отсутствия правоприменительной практики из-за действующего моратория на регуляторные проверки такие риски будут висеть над операторами персональных данных дамокловым мечом.
Ответственность за нарушение правил ТГП
Для того, чтобы обосновать бизнесу необходимость адаптации информационных процессов под новые требования законодательства, нужно понимать, каков риск выявления регулятором нарушений.
Всем хорошо известно, что в настоящее время действует мораторий на проверочные мероприятия, в том числе, в сфере персональных данных[11].
Однако мораторий распространяется лишь на плановые проверки. Проведение внеплановых проверок допускается по согласованию с органами прокуратуры, которое может быть получено за несколько суток, в следующих случаях:
Мораторий также не распространяется на письменные запросы Роскомнадзора в связи с получением жалобы от субъекта персональных данных либо в случае обнаружения сотрудниками регулятора нарушений в работе информационных ресурсов оператора (сайт, мобильное приложение и т.п.).
Поэтому очевидно, что любые иностранные метрические системы и cookie-файлы легко будут обнаружены сотрудниками Роскомнадзора, для которых сейчас поиск нарушений в Интернете один из основных видов деятельности. Кроме того, жалобы от конкурентов и от недовольных бывших сотрудников, которые знают «внутреннюю кухню», также помогут регулятору обнаружить нарушения.
Следовательно, даже с учетом моратория Роскомнадзор все равно может обнаружить нарушения в сфере ТГП. Теперь необходимо понять, какова ответственность за такие нарушения.
В настоящее время законодательство до сих пор не предусматривает отдельного состава правонарушения, касающегося трансграничной передачи данных.
Вероятно, Роскомнадзор может использовать общую норму ч. 1 ст. 13.11 КоАП РФ, которая предусматривает ответственность за нарушение законодательства о персональных данных с назначением штрафа до 100 000 руб. за первое нарушение и до 300 000 руб. за повторное. Кроме того, не стоит исключать иные штрафные санкции, в том числе, в уголовной плоскости, если встанет вопрос о нарушении запрета на осуществление ТГП.
Также до сих пор остается спорным вопрос о том, если оператор не получил информацию о правовом регулировании в иностранной юрисдикции, о мерах защиты данных не по своей вине. Так, он мог запросить у получающей стороны такую информацию, но его запрос был просто проигнорирован. В такой ситуации вряд ли с оператора будет снята ответственность, так как именно на нем лежит обязанность получить соответствующую информацию.
Выводы
Такое обилие новелл в регулировании ТГП создает гораздо больше вопросов, чем ответов, особенно, при отсутствии правоприменительной практики со стороны регулятора и судов.
Ясно лишь то, что для законодателя контроль над передаваемыми данными граждан России является одним из приоритетов современной политики. Следовательно, в текущей ситуации операторам персональных данных нужно максимально аккуратно подходить к структурированию своих информационных процессов как внутри группы компаний, если часть из аффилированных лиц расположена заграницей, так и со своими контрагентами, клиентами, подрядчиками, находящимися за рубежом.
Отсутствие прямой ответственности за неподачу уведомления о ТГП и сохраняющийся мораторий дает немного времени операторам, чтобы обеспечить комплаенс с новыми требованиями.
Однако полагаться на данные обстоятельства вечно вряд ли является разумным.
[1] Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности».
[2] Вебинары Роскомнадзора от 27.07.2023 (https://vk.com/video-76229642_456239470) и 01.03.2023 (https://vk.com/video-76229642_456239441)
[3] Приказ Роскомнадзора от 05.08.2022 № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных» (зарегистрировано в Минюсте России 20.09.2022 № 70152).
[4] https://pd.rkn.gov.ru/cross-border-transmission/form2/
[5] Ч. 4 ст. 12 Закона о персональных данных.
[6] Вебинар Роскомнадзора от 01.03.2023 (https://vk.com/video-76229642_456239441)
[7] https://www.interfax.ru/russia/913654
[8] https://www.rbc.ru/technology_and_media/16/06/2023/648af6909a79471a5777af4d
[10] Ч. 12 ст. 12 Закона о персональных данных
[11] Постановление Правительства РФ от 10.03.2022 № 336.