Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 29.03.2018 N 08ПА-28545 "О результатах рассмотрения письма Ассоциации банков России"

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор) рассмотрела ваше обращение от 01.03.2018 N 29269 и сообщает следующее.

В соответствии с ч. 2 ст. 2 Регламента, устанавливающей сферу его применения, настоящий Регламент не применяется к обработке персональных данных в ходе деятельности, которая выходит за пределы сферы действия законодательства Союза.

В настоящий момент Российская Федерация не является одним из государств - участников Европейского союза, а равно участницей международных договоров с Европейским союзом, устанавливающих порядок и условия обработки персональных данных применительно к российским операторам.

Таким образом, полагаем, что при осуществлении деятельности российских операторов по обработке персональных данных субъектов, в том числе являющихся гражданами стран Европейского союза, осуществляемая на территории Российской Федерации, в случаях, когда цели, порядок обработки персональных данных, объем персональных данных и иные требования в соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" определяются исключительно российским оператором, требования Регламента на указанную деятельность не распространяются.

Данные выводы, в том числе подтверждаются определением оператора, изложенным в п. 7 ст. 4 Регламента, где предусматривается, что оператор определяет цели и способы обработки персональных данных на уровне законодательства Государства - члена ЕС или на уровне ЕС.

Вместе с тем, полагаем необходимым отметить, что согласно ч. 2 ст. 3 Регламента его положения применяются к обработке персональных данных субъектов, которые находятся в Европейском союзе, оператором или обработчиком, учреждаемым в странах, не являющихся членами Европейского союза, если обработка персональных данных связана с предоставлением товаров и услуг.

Таким образом, обработка персональных данных европейских граждан, осуществляемая российскими операторами на территории стран Европейского союза, подлежит осуществлению с учетом требований настоящего Регламента.

Кроме того, требования настоящего Регламента применимы к деятельности российских операторов по обработке персональных данных, действующих на основании поручения европейского оператора, где ответственность российского оператора, в том числе по уведомлению о негативных инцидентах, связанных с обработкой персональных данных, стоит перед европейским оператором.

Дополнительно сообщаем, что Роскомнадзор не располагает информацией о планах федеральных органов исполнительной власти относительно возможного взаимодействия с Европейской комиссией в целях подтверждения обеспечения на территории Российской Федерации надлежащего уровня защиты персональных данных физических лиц, заключения с надзорными органами Европейской комиссии соглашения о предоставлении гарантий безопасности обработки персональных данных, а также разработки рекомендаций по применению единых подходов и реагированию на запросы надзорных органов ЕС или субъектов персональных данных ЕС при реализации положений Регламента.

А.А. Панков

Письмо Ассоциации банков России от 22 февраля 2018 г. N 02-05/137

В связи с вступлением в действие 25.05.2018 Регламента 2016/679 Европейского парламента и Совета Европейского союза от 26.04.2016 о защите физических лиц при обработке персональных данных и о свободном движении персональных данных и об отмене Директивы 95/46/ЕС (далее - Регламент, ЕС) российские организации финансового рынка выражают обеспокоенность вопросами, связанными с оценкой применимости к их деятельности норм указанного документа, толкованием его условий, а также определением перечня требований, которые необходимо соблюдать российским организациям финансового рынка с целью недопущения возникновения негативных последствий нарушения Регламента в виде существенных штрафов*, возможного давления на российские организации финансового рынка со стороны иностранных партнеров в ЕС, в том числе в целях предотвращения возможного приостановления трансграничных переводов и/или операций, совершаемых с использованием банковских карт, осуществляемых на территории ЕС, предотвращения неполучения сведений об операциях по таким банковским картам, осуществляемых клиентами российских организаций финансового рынка на территории ЕС.

Учитывая изложенное, а также принимая во внимание, что требования Регламента могут затронуть интересы значительного числа российских организаций финансового рынка просим, Роскомнадзор высказать свою позицию по следующим вопросам:

1. Планируется ли в связи с предстоящим вступлением в силу Регламента принятие на государственном уровне мер, направленных на оказание содействия российским организациям финансового рынка в вопросах обеспечения соответствия положениям данного Регламента, в том числе:

1.1. Осуществляется или планируется осуществление взаимодействия с Европейской комиссией с целью получения подтверждения обеспечения на территории Российской Федерации надлежащего уровня защиты персональных данных физических лиц для получения возможности российскими организациями финансового рынка беспрепятственно получать персональные данные физических лиц с территории ЕС в рамках трансграничной передачи на основании статьи 45 Регламента?

1.2. Осуществляется или планируется осуществление взаимодействия с надзорными органами ЕС с целью заключения соглашения о предоставлении гарантий безопасности обработки персональных данных для обеспечения возможности российским организациям финансового рынка получать персональные данные физических лиц с территории ЕС в рамках трансграничной передачи на основании статьи 46 Регламента в случае отсутствия решения Европейской комиссии, предусмотренного статьей 45 указанного документа?

1.3. Осуществляется или планируется проведение анализа возникновения возможных последствий (рисков) и влияния Регламента на деятельность российских организаций финансового рынка, предоставляющих услуги широкому кругу лиц, в том числе лицам ЕС, в том числе через Интернет? Осуществляется или планируется выработка мер, направленных на минимизацию указанных рисков?

1.4. Осуществляется или планируется осуществление разработки нормативно-правовой базы/рекомендаций, направленных на применение единых подходов при реализации российскими организациями финансового рынка положений Регламента, в том числе рекомендаций в целях определения применимости Регламента к российским кредитным организациям с указанием критериев, случаев, когда Регламент применим?

1.5. Осуществляется или планируется осуществление разработки рекомендаций/механизма реагирования на запросы надзорных органов ЕС и/или субъектов персональных данных ЕС, направляемые российским организациям финансового рынка в рамках Регламента?

2. В какой мере, по мнению Роскомнадзора, распространяются на деятельность российских организаций финансового рынка требования Регламента, в том числе:

2.1. Регулирует ли Регламент о защите персональных данных деятельность российских организаций финансового рынка, не имеющих на территории ЕС филиалов, представительств, подконтрольных (дочерних) организаций, но предоставляющих своим клиентам каналы дистанционного обслуживания (интернет-банкинг), доступные, в том числе на территории ЕС? Является ли указанная деятельность предложением товаров и услуг субъектам на территории ЕС в соответствии с п.п. (а) п. 2 статьи 3 Регламента?

2.2. Регулирует ли Регламент деятельность российских организаций финансового рынка, являющихся эмитентами платежных карт в рамках международных платежных систем, в связи с получением ими сведений об операциях, совершенных держателями с использованием банковских карт на территории ЕС, а также осуществлением фрод-мониторинга указанных операций с целью предотвращения мошенничества. Является ли указанная деятельность мониторингом поведения, осуществляемого в рамках ЕС в соответствии с п.п. (b) п. 2 статьи 3 Регламента?

2.3. Предусматривает ли Регламент возможность применения штрафов к российским организациям финансового рынка, не имеющим на территории ЕС филиалов, представительств, подконтрольных (дочерних) организаций, а также к российским организациям финансового рынка, входящим в банковский холдинг/группу, головная организация которого зарегистрирована в государстве - члене ЕС, но при этом не соблюдающим положения Регламента? Каков механизм привлечения к ответственности российских организаций финансового рынка за нарушение Регламента?

Прошу Вас рассмотреть поставленные в обращении вопросы и дать распоряжение заблаговременно издать разъяснения, направленные на содействие российским организациям финансового рынка в связи с предстоящим вступлением в силу Регламента 2016/679 Европейского парламента и Совета Европейского союза от 26.04.2016 о защите физических лиц при обработке персональных данных и о свободном движении персональных данных и об отмене Директивы 95/46/ЕС.

В связи с высокой актуальностью данной темы Ассоциация "Россия" выражает готовность организовать встречу с кредитными организациями для обсуждения подходов к применению указанного Регламента российскими организациями финансового рынка.

Аналогичное письмо от 22.02.2018 N 02-05/136 направлено в Банк России.

Г.И. Лунтовский

______________________________

* В соответствии со ст. 83 Регламента административный штраф может составлять 20 млн евро или 4% годовой выручки (наибольшее значение) для юридических лиц.