Письмо Ассоциации российских банков от 11.11.2022 N А-01/5-516 "О порядке трансграничной передачи персональных данных"

Ассоциация российских банков обращается по просьбе банков - членов АРБ по вопросу о порядке трансграничной передачи персональных данных, в т. ч. при взаимодействии с Китайской Народной Республикой.

Вопрос трансграничной передачи персональных данных в настоящий момент регулируется статьей 12 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ).

Действующая редакция указанной статьи допускает трансграничную передачу персональных данных при наличии согласия субъекта персональных данных, даже если иностранным государством не обеспечивается адекватная защита прав субъектов персональных данных.

Однако с 1 марта 2023 года вступают в силу внесенные Федеральным законом от 14 июля 2022 года N 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности" изменения в Закон N 152-ФЗ, согласно которым значительно ужесточается порядок трансграничной передачи персональных данных.

Так, в соответствии с частью 3 статьи 12 Закона N 152-ФЗ ¹ оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных.

Как следует из пункта 7 части 4 статьи 12 Закона N 152-ФЗ ², в данном уведомлении должны быть указаны помимо прочих сведения о дате проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке.

Согласно части 5 статьи 12 Закона N 152-ФЗ ³ оператор до подачи уведомления, предусмотренного частью 3 Закона N 152-ФЗ, обязан получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, ряд сведений и документов, указанных в данной части. ⁴

Вместе с тем в силу части 2 статьи 12 Закона N 152-ФЗ ⁵ на Роскомнадзор возложена обязанность по утверждению перечня государств, обеспечивающих адекватную защиту прав субъектов персональных данных.

С 1 марта 2023 года вступает в силу приказ Роскомнадзора от 5 августа 2022 года N 128 "Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных", ⁶ в силу которого Китайская Народная Республика (далее - КНР) отнесена к числу иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных (далее - Конвенция) ⁷, действующие нормы права которых, а также применяемые ими меры по обеспечению конфиденциальности и безопасности персональных данных при их обработке соответствуют положениям Конвенции.

Представляется, что большинству российских организаций при установлении и развитии экономических отношений, в т. ч в финансовой сфере, будет затруднительно самостоятельно оценивать правильность соблюдения конфиденциальности и защиты персональных данных в данном иностранном государстве, а также получать необходимые документы и сведения, указанные в части 5 статьи 12 Закона N 152-ФЗ.

Например, динамичное развитие экономических отношений, в частности в банковской сфере ⁸, с КНР в настоящее время приобретает особое значение, в т. ч. учитывая непростую ситуацию, связанную с санкционной политикой некоторых государств. В связи с этим достаточно остро встает вопрос регулирования соответствующей трансграничной передачи персональных данных.

Решение вопроса о возможности трансграничной передачи персональных данных в КНР/ резидентам КНР имеет важное практическое значение для развития экономических отношений между двумя странами.

Таким образом, возникает следующий вопрос, оперативное разрешение которого имеет важное практическое значение для банков и их клиентов, в т. ч. в рамках развития российско-китайских экономических отношений:

является ли включение Роскомнадзором иностранного государства, в т. ч. КНР, в перечень стран, в которых обеспечивается адекватная защита прав субъектов персональных данных, юридическим фактом, свидетельствующим об исполнении оператором обязанностей, предусмотренных частями 3 - 5 статьи 12 Закона N 152-ФЗ, а именно:

- по оценке соблюдения конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке;

- по получению от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, сведений, указанных в части 5 статьи 12 Закона N 152-ФЗ?

Либо наличие иностранного государства в утвержденном перечне не влияет на необходимость исполнения оператором указанных обязанностей?

В связи с изложенным просим по вышеуказанному вопросу о порядке трансграничной передачи персональных данных иностранным государствам, обеспечивающим адекватную защиту прав субъектов персональных данных.

Ассоциация российских банков выражает надежду на дальнейшее эффективное сотрудничество с Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций по вопросам применения действующего законодательства.

Первый вице-президент

Ю. И. Кормош

------------------------------

¹ В редакции, вступающей в силу с 1 марта 2023 года.

² В редакции, вступающей в силу с 1 марта 2023 года.

³ В редакции, вступающей в силу с 1 марта 2023 года.

⁴ Следующие сведения:

1) сведения о принимаемых органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;

2) информация о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся органы власти иностранного государства, иностранные физические лица, иностранные юридические лица, которым планируется трансграничная передача персональных данных (в случае, если предполагается осуществление трансграничной передачи персональных данных органам власти иностранного государства, иностранным физическим лицам, иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных);

3) сведения об органах власти иностранного государства, иностранных физических лицах, иностранных юридических лицах, которым планируется трансграничная передача персональных данных (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

⁵ Согласно действующей редакции и редакции, вступающей в силу с 1 марта 2023 года.

⁶ Зарегистрирован Министерством юстиции Российской Федерации 20 сентября 2022 года N 70152.

⁷ Заключена в г. Страсбурге 28 января 1981 года.

⁸ Например, Акционерное общество "Национальная система платежных карт" предлагает банкам сервис, позволяющий клиентам банка и их гостям получать доступ в отдельные бизнес-залы аэропортов, железнодорожных вокзалов и прочих объектов транспортной инфраструктуры. Для получения доступа в бизнес-залы клиент банка использует Программу DragonPass. Правообладателем Программы является DragonPass Company Limited, зарегистрированная в КНР. С целью получения сервиса доступа в бизнес-залы клиент банка дает согласие банку на привлечение третьих лиц и передачу персональных данных третьим лицам, в частности АО "НСПК", компании DragonPass International Ltd (Великобритания),компании DragonPass Company Limited (Китай).