Операторам запретят передавать данные владельцам запрещённых соцсетей

С 1 марта 2023 года в России вступит в силу ряд изменений к закону «О персональных данных». Изначально поправки предполагали, что операторы данных должны будут отчитываться Роскомнадзору о каждой передаче сведений россиян за рубеж. Потом это требование смягчили.

В сентябре Минцифры опубликовало три проекта подзаконных актов, уточняющих процедуру запрета и ограничения передачи персональных данных. На это обратил внимание «Ъ», а также написал «Интерфакс».

В частности, под запрет попадает передача данных россиян запрещенным на территории РФ организациям, а также иностранным НКО, признанным нежелательными.

Первый документ регламентирует порядок принятия Роскомнадзором и его территориальными органами решений о запрещении или ограничении трансграничной передачи персональных данных «в целях защиты нравственности, здоровья, прав и законных интересов граждан». Он предполагает, что оператор может направить уведомление о планируемой передаче в виде бумажного или электронного документа, заверенного цифровой подписью. При этом, как сообщили «Интерфаксу» в Минцифры, речь не идёт о передаче данных по каждому пользователю. «Таким образом, реализация уведомления не повлечет дополнительных затрат операторов», – подчеркнули в министерстве.

Порядок также определяет случаи, в которых Роскомнадзор может принять решение о запрете трансграничной передачи персональных данных. К ним относятся непринятие мер по защите персональных данных властями иностранного государства или физическими и юридическим лицами, которым планируется передача, или отсутствие прописанных условий для прекращения такой обработки.

Также запрещается передача персданных россиян запрещенным на территории РФ организациям и иностранным неправительственным организациям, деятельность которых признана в РФ нежелательной. Кроме того, основанием для запрета может стать несоответствие передачи и обработки данных целям их сбора, не допускается и обработка в случаях, не предусмотренных законом «О персональных данных».

Другой документ, подготовленный Минцифры, предусматривает случаи, при которых к операторам, осуществляющим трансграничную передачу персональных данных, не применяются требования частей 3-6, 8-11 статьи 12 закона «О персональных данных». Так, часть требований могут не применяться в случаях, если операторы должны выполнить возложенные международным договором РФ обязанности, например, в целях осуществления международных воздушных и морских перевозок, железнодорожного и автомобильного сообщения; обеспечения транспортной безопасности; обеспечения реадмиссии; осуществления предупреждения и ликвидации чрезвычайных ситуаций; обеспечения безопасности и противодействия преступности; обеспечения дипломатических сношений; обеспечения сотрудничества в рамках Евразийского экономического союза; обеспечения обороны; обеспечения консульских сношений; оказания правовой помощи по гражданским, семейным, административным и уголовным делам. Таким образом, если оператор действует в вышеуказанных целях, то уведомлять Роскомнадзор до начала осуществления деятельности по трансграничной передаче персональных данных не требуется, следует из текста проекта постановления.

Третий проект постановления определяет порядок принятия решений о запрещении или об ограничении трансграничной передачи персональных данных по представлению уполномоченного органа. К числу таких органов относятся Минобороны РФ, МИД РФ, ФСБ и иные органы исполнительной власти, уполномоченные президентом или правительством на обеспечение защиты экономических и финансовых интересов РФ.

Источник «Ъ» на рынке онлайн-сервисов, представители которого критиковали исходный вариант поправок, сказал, что не ожидает сложностей в связи с новыми нормами. В Ozon сообщили «Ъ», что компания сформирует позицию после рассмотрения документа. «Яндекс», VK и Wildberries отказались от комментариев.

Пользователи соцсетей выступают субъектами персональных данных, а не операторами их передачи, пояснил «Ъ» управляющий партнер Enterprise Legal Solutions Юрий Федюкин: «Когда человек передает Meta (признана экстремистской организацией) собственные персональные данные, поправки и подзаконные акты не создают рисков ответственности».

Взаимодействие с Meta несет риски в первую очередь для профессиональных пользователей её соцсетей — блогеров, рекламных агентств и владельцев магазинов,— а также для «пользователей, выражающих свою политическую позицию», говорит руководитель практики интеллектуальной собственности юридической фирмы DRC Владимир Ожерельев.

По мнению гендиректора Института исследований интернета Карена Казаряна, риски для физических и юридических лиц, которые будут просто в частном порядке регистрироваться на Facebook и Instagram, не возникнут. В то же время эксперт считает, что проекты Минцифры еще могут быть доработаны, поскольку «пока неясно, как применять их на практике».

С 1 сентября российские работодатели обязаны передавать информацию о сборе персональных данных в РКН. Теперь компаниям надо отчитываться о возможном сборе информации как о сотрудниках, так и о клиентах. За нарушение предполагается штраф до 5000 рублей.