В последнее время участились случаи обращения со стороны компаний (в том числе с иностранным участием), использующих зарубежные CRM и ERP-системы, с просьбой разъяснить положения действующего законодательства в части соблюдения Закона «О персональных данных» при отправке персональных данных граждан Российской Федерации на зарубежные сервера.
С 01.09.2015 года в силу вступили поправки к Закону «О персональных данных», устанавливающие обязанность хранения данных граждан Российской Федерации на территории РФ.
Данная новелла в законодательстве была неоднозначно воспринята участниками рынка, поскольку многие трактуют ее как невозможность отправки и хранения корпоративной информации на зарубежных серверах.
В связи с различными подходами к использованию персональных данных за пределами РФ, в рамках настоящей статьи мы коснемся возможностей отправки персональных данных граждан за границу с учетом требований Закона «О персональных данных».
Требования Закона:
В соответствии с п. 5 ст. 18 Федерального закона о «Персональных данных» (далее «Закон о персональных данных») с 01.09.2015 года при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Фактически это означает, что в случае сбора организацией персональных данных физических лиц, являющихся гражданами РФ, указанные данные должны содержаться в базах данных, расположенных на территории РФ.
Закон, при этом, не ограничивает возможности отправки или дублирования персональных данных физических лиц путем их передачи для хранения, накопления и/или систематизации за пределами РФ при условии соблюдения требований Закона «О персональных данных» (так называя «трансграничная передача данных»).
Согласно ст. 12 Закона «О персональных данных», трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.), а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с законом.
Таким образом, по смыслу указанных норм трансграничная передача персональных данных на территорию государств, являющихся членами Совета и Европы или иных государств, перечень которых утвержден Приказом Роскомнадзора №274 от 15.03.2013 г. представляется возможной при соблюдении требований Федерального закона «О персональных данных», а именно: получение предварительного согласия субъекта персональных данных в любой, позволяющей подтвердить факт его получения форме* (п. 1 ст. 9 ФЗ «О персональных данных»).
Примечание*: Такое согласие может быть получено, в частности путем заполнения специальной формы на сайте, подписания заявления или иным другим способом.
Перечень стран, обеспечивающих адекватную защиту прав субъектов персональных данных (в ред. Приказа Роскомнадзора от 29.10.2014 N152):
- Австралия — Австралийский союз
- Аргентинская Республика
- Государство Израиль
- Канада
- Королевство Марокко
- Малайзия
- Мексиканские Соединенные Штаты
- Монголия
- Новая Зеландия
- Республика Ангола
- Республика Бенин
- Республика Кабо-Верде
- Республика Корея
- Республика Перу
- Республика Сенегал
- Тунисская Республика
- Республика Чили
Исходя из вышеизложенного можно сделать вывод, что отправка персональных данных граждан РФ за пределы РФ возможна при условии получения согласия субъекта персональных данных на трансграничную передачу.
Таким образом, во избежание претензий со стороны контролирующих органов, следует учитывать, что отправка персональных данных граждан РФ за пределы Российской Федерации возможна при соблюдении следующих условий:
Несоблюдение одного из вышеуказанных условий влечет невозможность законной трансграничной передачи персональных данных физического лица.
Важно отметить, что указанные выше ограничения касаются только персональных данных физических лиц и не распространяются на сведения о юридических лицах, включая данные об исполнительном органе и адресе места нахождения.
