Статья 12. Трансграничная передача персональных данных

1. Трансграничная передача персональных данных осуществляется в соответствии с настоящим Федеральным законом и международными договорами Российской Федерации.

2. Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. В перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, включаются государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иностранные государства, не являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер по обеспечению конфиденциальности и безопасности персональных данных при их обработке.

3. Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных. Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных, предусмотренного статьей 22 настоящего Федерального закона.

4. Уведомление, предусмотренное частью 3 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление о намерении осуществлять трансграничную передачу персональных данных должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора, а также дата и номер уведомления о намерении осуществлять обработку персональных данных, ранее направленного оператором в соответствии со статьей 22 настоящего Федерального закона;

2) наименование (фамилия, имя, отчество) лица, ответственного за организацию обработки персональных данных, номера контактных телефонов, почтовые адреса и адреса электронной почты;

3) правовое основание и цель трансграничной передачи персональных данных и дальнейшей обработки переданных персональных данных;

4) категории и перечень передаваемых персональных данных;

5) категории субъектов персональных данных, персональные данные которых передаются;

6) перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных;

7) дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке.

5. Оператор до подачи уведомления, предусмотренного частью 3 настоящей статьи, обязан получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, следующие сведения:

1) сведения о принимаемых органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;

2) информация о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся органы власти иностранного государства, иностранные физические лица, иностранные юридические лица, которым планируется трансграничная передача персональных данных (в случае, если предполагается осуществление трансграничной передачи персональных данных органам власти иностранного государства, иностранным физическим лицам, иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных);

3) сведения об органах власти иностранного государства, иностранных физических лицах, иностранных юридических лицах, которым планируется трансграничная передача персональных данных (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

6. В целях оценки достоверности сведений, содержащихся в уведомлении оператора о своем намерении осуществлять трансграничную передачу персональных данных, сведения, предусмотренные пунктами 1 - 3 части 5 настоящей статьи, предоставляются оператором по запросу уполномоченного органа по защите прав субъектов персональных данных в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

7. Трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов Российской Федерации, обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене с даты принятия уполномоченным органом по защите прав субъектов персональных данных решения, предусмотренного частью 12 настоящей статьи.

8. Решение о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан принимается уполномоченным органом по защите прав субъектов персональных данных по результатам рассмотрения уведомления, предусмотренного частью 3 настоящей статьи.

9. Решение, указанное в части 8 настоящей статьи, принимается уполномоченным органом по защите прав субъектов персональных данных в течение десяти рабочих дней с даты поступления уведомления, предусмотренного частью 3 настоящей статьи, в порядке, установленном Правительством Российской Федерации. В случае направления уполномоченным органом по защите прав субъектов персональных данных запроса в соответствии с частью 6 настоящей статьи рассмотрение такого уведомления приостанавливается до даты предоставления оператором запрошенной информации.

10. После направления уведомления, указанного в части 3 настоящей статьи, оператор вправе осуществлять трансграничную передачу персональных данных на территории указанных в таком уведомлении иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или включенных в предусмотренный частью 2 настоящей статьи перечень, до принятия решения, указанного в части 8 или 12 настоящей статьи.

11. После направления уведомления, предусмотренного частью 3 настоящей статьи, оператор до истечения сроков, указанных в части 9 настоящей статьи, не вправе осуществлять трансграничную передачу персональных данных на территории указанных в уведомлении иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенных в предусмотренный частью 2 настоящей статьи перечень, за исключением случая, если такая трансграничная передача персональных данных необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц.

12. Решение о запрещении или об ограничении трансграничной передачи персональных данных принимается уполномоченным органом по защите прав субъектов персональных данных в целях:

1) защиты основ конституционного строя Российской Федерации и безопасности государства - по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности;

2) обеспечения обороны страны - по представлению федерального органа исполнительной власти, уполномоченного в области обороны;

3) защиты экономических и финансовых интересов Российской Федерации - по представлению федеральных органов исполнительной власти, уполномоченных Президентом Российской Федерации или Правительством Российской Федерации;

4) обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене - по представлению федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере международных отношений Российской Федерации.

13. Решение, предусмотренное частью 12 настоящей статьи, принимается уполномоченным органом по защите прав субъектов персональных данных в течение пяти рабочих дней с даты поступления соответствующего представления. Порядок принятия такого решения и порядок информирования операторов о принятом решении устанавливаются Правительством Российской Федерации.

14. В случае принятия уполномоченным органом по защите прав субъектов персональных данных решения, предусмотренного частью 8 или 12 настоящей статьи, оператор обязан обеспечить уничтожение органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных.

15. Правительство Российской Федерации определяет случаи, при которых требования частей 3 - 6, 8 - 11 настоящей статьи не применяются к операторам, осуществляющим трансграничную передачу персональных данных в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей.

Комментарии к статье 12 152-ФЗ О персональных данных:

1. Часть 1 комментируемой статьи содержит норму, которая определяет правила регулирования отношений по трансграничной передаче персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы. Законодатель не уточняет, каким именно документом в рамках законодательства Европейского союза следует руководствоваться, однако по смыслу нормы можно сделать заключение, что придерживаться следует действующей версии Директивы 95/46/EC Европейского парламента и Совета ЕС от 24.10.1995 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, которая постоянно дорабатывается и совершенствуется. Наиболее полная современная редакция Директивы 95/46/EC изложена в Резолюции Европейского парламента от 06.07.2011 о комплексном подходе к защите персональных данных в Европейском союзе (2011/2025 (INI)). Документом провозглашается преемственность основных принципов Директивы 95/46/EC и осуществляется значительная доработка отдельных норм. Применительно к комментируемой статье это нормы о наличии предварительного и явного согласия на обработку персональных данных, особенно в отношении глобальной онлайновой среды. Кроме того, следует учитывать отдельные положения норм, которые были исправлены ранее либо провозглашены специальными документами. К названным положениям относятся обязанность операторов обеспечить адекватный уровень защиты данных и создание независимого надзорного органа для контроля. Эти моменты, как правило, не учитываются отдельными авторами в процессе анализа европейского законодательства о трансграничной передаче данных. Основное их внимание сосредоточено на законодательстве 1995 - 2001 годов. Тем не менее европейское законодательство находится в состоянии постоянной доработки и в ближайшее время российским законодателям и операторам придется учитывать также обновленные положения об особенностях обработки персональных данных в уголовном процессе. Предложения о совершенствовании законодательства о персональных данных в Европе вносятся практически ежемесячно. Относительно стабильную на период 2 - 3 года картину европейского законодательства, вероятно, следует ожидать к окончанию 2014 года.

Положения норм комментируемой статьи относятся к автоматизированной обработке персональных данных (см. комментарий к ст. 16). Соответственно операторы, осуществляющие ручную обработку персональных данных, должны самостоятельно решать, как учитывать положения комментируемой статьи при трансграничной передаче данных. В связи с тем что автоматизированная обработка при трансграничной передаче персональных данных преобладает, операторам рекомендуется учитывать положения комментируемой статьи и при ручной обработке и трансграничной передаче персональных данных.

Обратимся к самому понятию трансграничной передачи персональных данных. Трансграничная передача персональных данных - это передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 комментируемого Закона). Несмотря на то что понятие определено комментируемым Законом, остается значительное число вопросов, ответ на которые не вместит ни один комментарий. Большинство этих вопросов связаны с отдельными функциями программных продуктов (программ для компьютеров), которые не декларируются. Речь в данном случае идет о маркерах программ для поиска информации в информационных телекоммуникационных сетях (браузерах), для общения в социальных сетях и иных. Механизм действия и особенно правовые последствия достаточно подробно описаны в литературе. Наша рекомендация оператору заключается в том, чтобы он четко представлял, какие функции реализует оборудование, на котором он производит обработку персональных данных. Вполне вероятна ситуация, при которой передача персональных данных может быть осуществлена и без его воли.

Понятие адекватной защиты прав субъектов персональных данных должно быть более четко определено законодательно либо на основе судебной и повседневной практики уполномоченного органа в сфере защиты персональных данных. С формально логической стороны адекватность может быть истолкована как совпадение, соответствие. Применительно к комментируемой статье адекватная защита прав субъектов персональных данных - соответствующая, совпадающая защита персональных данных в России и в той стране, с которой производится сравнение. В этом смысле полной адекватности установить не удастся, поскольку законодательство и юридическая практика каждой страны по-своему уникальны. Минимальный уровень адекватности, как представляется, может быть обеспечен в сравниваемой стране путем принятием закона, аналогичного тому, который является предметом настоящего комментария. Фактически имеет место обратная ситуация, поскольку Россия принимает законодательство о защите персональных данных, догоняя европейские страны. Таким образом, можно говорить о неполном соответствии европейскому современного российского законодательства о защите персональных данных либо о соответствии современного российского законодательства европейскому образца периода 1995 - 2001 годов. В этой связи адекватная защита прав субъектов персональных данных должна толковаться как защита в иностранной юрисдикции, соответствующая отечественной, но с большей степенью защиты и с дополнительными возможностями.

2. В ч. 2 комментируемой статьи содержится норма, которая детализирует функции государственного органа, который уполномочен осуществлять защиту прав субъектов персональных данных. Правительством Российской Федерации данная функция поручена Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзору). Министерством связи и массовых коммуникаций Российской Федерации, которому подведомствен Роскомнадзор, разработан документ, определяющий порядок осуществления указанных функций, - Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (Приказ Минкомсвязи РФ от 14.11.2011 N 312). В соответствии с названным документом регламентируется практически вся деятельность Роскомнадзора, результаты которой доводятся до сведения заинтересованных лиц, в том числе через официальной сайт. Одним из документов, который ожидают увидеть на официальном сайте многочисленные операторы, является Перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных, о котором идет речь в комментируемой статье. На конец марта 2013 г. искомый перечень на сайте не был представлен. Документы на сайте Роскомнадзора, которые могут быть использованы для оценки ситуации в Европейском союзе, имеют возраст 10 и более лет. Соответственно, если следовать строго принципу сравнительного правоведения в части хронологической точности сравниваемых объектов (в данном случае это нормативные акты), то на сайте отсутствует информация, на основе которой возможно провести такое сравнение. С другой стороны, приведенные на сайте документы Европейского союза (периода 2002 года) в максимальной степени соответствуют действующему российскому законодательству (2011 - 2013 годов). Европейские государства продвинулись дальше, и понятие "адекватная защита персональных данных" в России и Европе имеет временной люфт - 10 лет. Следует также учитывать, что практически все страны принимают собственные нормативные акты, которые могут в деталях отличаться от общеевропейского законодательства. В этом смысле очевидна нелегкая для Роскомнадзором задача формирования Перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных. Весьма вероятно, что данный перечень может быть сформирован Роскомнадзором совместно с полномочными структурами Министерства иностранных дел России на основе двусторонних соглашений или консультаций по вопросам защиты персональных данных. В любом случае операторам, которые ожидают появления данного Перечня, рекомендуется обращаться к законодательству и юридической практике соответствующего государства для уточнения всех деталей трансграничной передачи в каждом конкретном случае.

3. В ч. 3 комментируемой статьи закреплена норма об обязанностях оператора персональных данных убедиться в том, что страна, в которую будут направлены персональные данные, обеспечивает их адекватную защиту. Данное требование комментируемого Закона может поставить многих операторов в затруднительное положение, что явствует из материалов многочисленных форумов и сайтов, посвященных данной тематике. Вместе с тем алгоритм действия оператора может быть весьма простым и состоять из следующих основных типов мероприятий:

- первый - привести собственную деятельность по обработке персональных данных в соответствие с комментируемым Законом;

- второй - изучить требования законодательства страны получателя отправляемых персональных данных и сравнить (провести сравнительно-правовое исследование), в чем отличия;

- третий - дать оценку и принять решение о возможности/невозможности осуществления трансграничной передачи данных. Данное мероприятие оператор может провести самостоятельно при наличии соответствующих специалистов либо обратиться в соответствующие научно-исследовательские организации. Кроме того, передачу персональных данных можно поручить соответствующей подготовленной организации. Более детальное описание процедуры можно посмотреть на соответствующих сайтах организаций, которые специализируются на оказании аудиторских услуг по обслуживанию персональных данных.

1) общие положения (организационная структура компании; страна (страны), в которую передаются персональные данные; цель передачи и обработки персональных данных за границей);

2) правовое обоснование трансграничной передачи персональных данных (перечень нормативно-правовых документов, на основании которых осуществляется передача и обработка персональных данных);

3) описание объекта защиты;

4) характеристики передаваемых персональных данных (категории персональных данных, передаваемых за границу; категории субъектов персональных данных; способы обработки персональных данных (автоматизированная, неавтоматизированная, смешанная обработка));

5) регламент обеспечения безопасного информационного обмена персональными данными с зарубежными филиалами (представительствами) (описание информационной системы персональных данных, из которой передаются персональные данные; описание информационной системы персональных данных, куда передаются персональные данные; каналы передачи данных; стандарты и протоколы передачи данных и т.д.; описание мероприятий и средств обеспечения защиты передаваемых персональных данных (организационные мероприятия; технические средства защиты информации, в том числе средства криптографической защиты информации));

6) состав законодательства иностранного государства, отражающего вопросы защиты персональных данных;

7) заключительные положения (зарубежный филиал обязуется соблюдать законодательство по обработке персональных данных страны, в которой он находится; обязуется обеспечить соответствующую защиту полученных и обрабатываемых персональных данных; подписи ответственных лиц головной организации и зарубежного филиала под вышеперечисленными положениями).

Как правило, все рекомендации являются однотипными и весьма общими. Более детальное описание действий оператора возможно дать только при наличии сведений обо всех обстоятельствах трансграничной передачи данных. Представляется обоснованным полагать, что уполномоченный орган в рамках полномочий также будет ограничиваться общими рекомендациями. Это обусловлено ответственностью оператора за сохранность персональных данных.

4. Часть 4 комментируемой статьи содержит норму об осуществлении обязанностей оператора в случае трансграничной передачи персональных данных под юрисдикцию государства, которое не обеспечивает их адекватную защиту. В отношениях данного типа оператор должен уделить максимальное внимание отношениям с субъектом персональных данных (ситуации, предусмотренные п. п. 1 и 4 комментируемой части статьи). Он должен проверить и учесть наличие свободы принятия субъектом решения; наличие собственной воли субъекта, т.е. отсутствие какого-либо давления на него со стороны; наличие интереса субъекта в связи передачей для возможной обработки его собственных персональных данных; получить и надлежащим образом (письменно или в электронной форме с соответствующими подписями) оформить полученное согласие. Только после этого он может приступать к трансграничной передаче персональных данных.

Согласно п. 2 комментируемой части статьи действующие соглашения с различными странами могут содержать особенности осуществления трансграничной передачи персональных данных применительно к соответствующей стране и конкретной ситуации (например, массовое перемещение гражданских лиц в случае природных катастроф, военных действий и т.д.). Консультации по данному вопросу оператор сможет получить в представительствах Министерства иностранных дел или консульских учреждениях за рубежом.

Пункт 3 комментируемой части транслирует на отношения по трансграничной передаче персональных данных норму-исключение, в соответствии с которой согласия на обработку персональных данных не требуется в случаях обеспечения безопасности субъектов персональных данных и иных лиц, например:

- в случаях, предусмотренных законодательством Российской Федерации об обороне, в частности в соответствии со ст. 8 Федерального закона от 28.03.1998 N 53-ФЗ, согласно которой при осуществлении первичного воинского учета органы местного самоуправления поселений и органы местного самоуправления городских округов обязаны осуществлять сбор, хранение и обработку сведений, содержащихся в документах первичного воинского учета, в порядке, установленном законодательством Российской Федерации в области персональных данных и Положением о воинском учете;

- в случаях, предусмотренных законодательством Российской Федерации о безопасности, например ст. 13 Федерального закона от 03.04.1995 N 40-ФЗ, а также в случаях, предусмотренных ст. 8 Федерального закона от 28.12.2010 N 390-ФЗ;

- в случаях, предусмотренных законодательством Российской Федерации о противодействии терроризму, например ст. 11 Федерального закона от 06.03.2006 N 35-ФЗ;

- в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, а именно ст. 11 Федерального закона от 09.02.2007 N 16-ФЗ (подробнее см. комментарий к ст. 11).

Пункт 5 комментируемой части статьи предусматривает ситуацию, в которой может не представиться возможность получить согласие субъекта персональных данных (например, в случаях крушений, катастроф и т.д.). Защита жизни и здоровья субъекта, находящегося в ситуации, когда его жизни и здоровью угрожает опасность в результате травмы или заболевания, также требует моментального принятия решения. В таком случае передача сведений, относящихся в категории медицинских данных (например, группа крови, перечень медицинских препаратов, вызывающих аллергическую реакцию, перечень медицинских противопоказаний, иных данных), должна осуществляться с последующим оформлением отношений по поводу трансграничной передачи данных.