Условия трансграничной передачи ПДн российской компанией головному офису в США

Российская Компания Б (заказчик) заключает с российской компанией А (исполнитель) договор ГПХ на оказание услуг. Компания Б - российское юридическое лицо и имеет головной офис в США. Для организации своей деятельности компании Б необходимо передавать персональные данные, полученные от компании А в рамках исполнения своих обязательств по договору, в головной офис в США. Каким образом компании Б обеспечить правомерность такой передачи в соответствии с законодательством Российской Федерации, кроме возложения в рамках указанного договора обязанности на компанию А сбора согласий в письменной форме на обработку персональных данных в свою пользу?

Чтобы обеспечить правомерность обработки головной компанией в США и трансграничной передачи ей персональных данных по законодательству РФ (презюмируем, что субъекты находятся в РФ) необходимо:

1. Определить:
а) роль головной компании в гражданском правоотношении по обработке персональных данных с субъектами: со-оператор, оператор, обработчик, получатель, пользователь;
б) основание для обработки персональных данных головной компанией в США;
в) по возможности, применить это основание для трансграничной передачи.

Предположим, что головная компания — со-оператор, а основанием обработки является, например, согласие или договор со-операторов с субъектом, в равной степени применимые к трансграничной передаче.

2. Если основанием для обработки головной компанией как со-обработчиком является согласие, то для трансграничной передачи персональных данных необходимо будет использовать согласие в письменной форме. Согласно п.4 ст.9 152-ФЗ равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

3. Со-операторы как участники холдинга могут получить единое комбинированное согласие, которое будет в равной степени релевантным для каждого из со-операторов, при условии, что оно будет содержать всю необходимую информацию о каждом со-операторе, в том числе наименование, ссылки на их политики и контактные данные каждого из операторов, а также иную информацию согласно п.3 ст.18 152-ФЗ, в связи с получением данных не напрямую от субъектов (согласие комбинируется еще и с уведомлением субъектов).

4. Со-операторы вправе возложить обязанность по организации получения согласия в свою пользу — на обработчика А, который выполняет сбор и передачу данных на основании поручения оператора Б. Согласно п.3 ст.6 152-ФЗ оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных. Таким образом, согласие (из пункта 3 выше) также необходимо дополнить указанием на обработчика А и его контактными данными (его DPO), а также получить согласие субъектов на поручение обработки компании А.

5. Согласно п.3 ст.6 152-ФЗ оператор (в нашем случае со-операторы) и обработчик А обязаны заключить договор, согласно которому обработчик обязан соблюдать принципы и правила обработки персональных данных, в договоре должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться обработчиком, и цели обработки, должна быть установлена его обязанность соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст.19 152-ФЗ.

6. Обработчик А обязан выполнять требования договора с со-операторами и несет ответственность перед ними. Со-операторы будут нести ответственность перед субъектами персональных данных за действия обработчика А.

7. Российское законодательство не содержит требования по заключению договоров между операторами или со-операторами. В рамках группы компаний условия доступа, обмена и защиты персональных данных могут быть установлены не только внутрикорпоративным соглашением по обмену данными, но и корпоративной политикой, правилами, регламентом. Согласно Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных (https://rkn.gov.ru/personal-data/p908/)» в политике рекомендуется указывать условия передачи персональных данных в адрес третьих лиц, в том числе в случае трансграничной передачи. При этом рекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц, цели трансграничной передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

8. Следует также иметь ввиду, что оператор Б обязан обеспечить требования к локализации персональных данных в РФ, если они к нему применимы. Желательно документально зафиксировать решение об использовании баз данных в РФ. На трансграничную передачу со-оператору в США требования о локализации ограничений не накладывают.

9. Если основанием для обработки и трансграничной передачи данных является не согласие, а договор со-операторов с субъектом персональных данных, то обработчик А, по поручению со-операторов, обязан до начала обработки предоставить субъекту уведомление: соответствующую информацию согласно п.3 ст.18 152-ФЗ относительно обработки и трансграничной передачи со-оператору в США (предполагаемому пользователю персональных данных).


Ответ подготовила Елена Себякина (16.11.2020)