Минцифры разработало порядок принятия решений о запрещении или об ограничении трансграничной передачи персональных данных (ПД) в целях защиты нравственности, здоровья, прав и законных интересов россиян. Соответствующий проект постановления опубликован на федеральном портале regulation.gov.ru
Согласно документу, Роскомнадзор (РКН) не одобрит передачу ПД иностранным юридическим лицам, если те намерены отправлять их организациям, объявленным в России нежелательными или запрещёнными.
В частности, Meta (признана в России экстремистской организацией, её деятельность в стране запрещена) будет считаться запрещённой для передачи персональных данных, указали «Коммерсанту» в Минцифры.
С 1 марта 2023 года вступят в силу положения закона «О персональных данных», согласно которым операторы ПД должны сообщать в РКН о намерении существить трансграничную передачу данных. До этого предполагалось, что компании будут сообщать регулятору о каждом факте передачи данных за рубеж. При работе над поправками это требование смягчили.
В новых предложениях Минцифры говорится, что РКН имеет право ограничивать передачу данных за границу, в частности, по представлениям ФСБ, Минобороны и МИДа. Структуры смогут требовать запрета на передачу ПД определенному юрлицу или в ту или иную страну.
Кроме того, согласно проекту Минцифры, РКН сможет запрашивать допсведения у оператора, подавшего уведомление о передаче данных в ту или иную страну, если получит жалобу на зарегистрированное в ней иностранное лицо.
В пресс-службе Минцифры заверили «Коммерсант», что указанный порядок запроса «не создаст риски чрезмерной приостановки рассмотрения уведомлений».
Источник издания на рынке онлайн-сервисов, представители которого критиковали исходный вариант поправок, заявил, что «не ожидает сложностей в связи с новыми нормами». В Ozon отметили, что обозначат позицию после рассмотрения документа. «Яндекс», VK и Wildberries отказались комментировать «Ъ».
По словам управляющего партнёра Enterprise Legal Solutions Юрия Федюкина, пользователи социальных сетей выступают субъектами ПД, а не операторами их передачи. «Когда человек передаёт Meta собственные персональные данные, поправки и подзаконные акты не создают рисков ответственности», — пояснил изданию Федюкин.
В первую очередь взаимодействие с Meta несёт риски для профессиональных пользователей её соцсетей, запрещённых в России, — блогеров, рекламных агентств и владельцев магазинов, считает руководитель практики интеллектуальной собственности юридической фирмы DRC Владимир Ожерельев.
По мнению гендиректора Института исследований интернета Карена Казаряна, риски для физических и юридических лиц, которые в частном порядке будут регистрироваться на Facebook и Instagram (обе соцсети принадлежат компании Meta, признанной экстремистской и запрещённой в России), не возникнут. Эксперт также отметил, что проекты Минцифры могут быть доработаны, поскольку «пока неясно, как применять их на практике».
Поправки в закон о защите персональных данных были приняты в июле. Согласно им, операторы обязаны незамедлительно уведомлять уполномоченные органы власти об утечке ПД пользователей. Сообщить об этом необходимо в течение суток с момента выявления утечки.