Федеральным законом от 14 июля 2022 года № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» в Федеральный закон «О персональных данных» (далее - федеральный закон № 266-ФЗ) были внесены изменения в порядок осуществления трансграничной передачи персональных данных (ст.12) и новый порядок взаимодействия с Роскомнадзором в случае такой передаче персональных данных (ПДн).
Арбитражный суд города Москвы в августе 2023 года рассмотрел дело № А40-119044/23-17-972, в котором общество ПАО СКБ Приморья «Примсоцбанк» оспаривало решение Роскомнадзора об отказе в принятии уведомления в силу его несоответствия требованиям законодательства Российской Федерации в области персональных данных.
Суть спора
В феврале 2023 года в Управление Роскомнадзора по Дальневосточному федеральному округу от общества ПАО СКБ Приморья «Примсоцбанк» поступило письмо, содержащее во вложении документ под названием «Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных».
Для справки: Направление в адрес территориального управления Роскомнадзора такого вида документа как «Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных» необходимо в силу требований ч.7 ст.22 федерального закона «О персональных данных» в случае изменения сведений, а также в случае прекращения обработки персональных данных.
По причине несоответствия содержания отправленного заявителем документа установленной форме уведомления, утвержденной приказом Роскомнадзора от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных», письмо было возвращено банку, которому также дополнительно был разъяснен порядок подачи уведомления о намерении осуществлять трансграничную передачу ПДн, действующий с 1 марта 2023 года.
Банк уже в марте 2023 года прислал письмо «Об уточнении наименования документа и принятия его к исполнению» и указал на совершение технической ошибки в наименовании ранее направленного информационного письма и просил читать его как «Уведомление об осуществлении трансграничной передачи персональных данных».
В силу того, что в данном письме были указаны не все необходимые сведения, в апреле 2023 года заявителю были разъяснены требования, предъявляемые к содержанию уведомления об осуществлении трансграничной передачи ПДн. Банк ответным письмом дополнил содержание уведомления сведениями, предусмотренными п.7 ч.4 ст.12 федерального закона «О персональных данных».
Вместе с тем, с момента отправки первоначального письма заявителя с 1 марта 2023 года изменились требования, предъявляемые к осуществлению трансграничной передачи ПДн, и на основании этого материалы были переданы в Роскомнадзор, к полномочиям которого относится рассмотрение уведомлений о намерении осуществлять трансграничную передачу ПДн, для принятия решения по нему.
По результатам рассмотрения указанных писем Роскомнадзором в мае 2023 года было принято решение об отказе в принятии уведомления в силу его несоответствия требованиям законодательства Российской Федерации в области персональных данных.
Не согласившись с данным решением, заявитель обратился в Арбитражный суд г. Москвы о признании его незаконным.
Позиция Арбитражного суда города Москвы
Суд отметил, что все операторы, осуществляющие трансграничную передачу ПДн до 01.09.2022 г. и продолжающие ее осуществлять после указанной даты, были обязаны в период с 01.09.2022 г. по 01.03.2023 г., подать уведомление об осуществлении трансграничной передачи ПДн в территориальные управления Роскомнадзора, указав в нем сведения, предусмотренные ч. 4 ст. 12 Федерального закона «О персональных данных».
Операторы были обязаны подать уведомление об осуществлении трансграничной передачи до 01.03.2023 г. Указанные уведомления и сведения по нему подлежали внесению в реестр операторов, осуществляющих трансграничную передачу ПДн.
Суд отметил, что письмо, которое было направленно в Роскомнадзор в феврале 2022 года, не могло быть принято к рассмотрению в качестве уведомления, в силу отсутствия в нем сведений, подлежащих обязательному указанию в уведомлении (в соответствии с ч.4 ст.12 федерального закона «О персональных данных»). В частности, в нем отсутствовали:
- Адрес оператора;
- Правовое основание трансграничной передачи ПДн и дальнейшей обработки переданных ПДн;
- Дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача ПДн, конфиденциальности ПДн и обеспечения безопасности ПДн при их обработке.
Суд подчеркнул, что законодательством Российской Федерации процедура внесения изменения, дополнений, исправлений в ранее поданное уведомление об осуществлении трансграничной передачи не предусмотрена.
В указанном случае оператору надлежало подать новое уведомление в срок до 01.03.2023 г. Вместе с тем, в установленный срок такое уведомление не поступило.
Письма заявителя, содержащие документы под названием «Уведомление об осуществлении трансграничной передачи» и поданные после 01.03.2023 г., также не содержали исчерпывающий перечень сведений, подлежащих обязательному указанию в нём.
Уведомления, поданные после 01.03.2023 г., к рассмотрению не принимались. С марта 2023 года, согласно новому порядку осуществления трансграничной передачи ПДн, операторам необходимо было направить уведомление о намерении осуществлять трансграничную передачу ПДн в порядке, предусмотренном ст.12 федерального закона «О персональных данных».
Согласно ч.3 ст.12 федерального закона «О персональных данных», оператор до начала осуществления деятельности по трансграничной передаче ПДн обязан уведомить Роскомнадзор о своем намерении осуществлять трансграничную передачу. По поступившему уведомлению о намерении осуществлять трансграничную передачу предусмотрена процедура рассмотрения и принятия по нему решение, в том числе об ограничении и запрещении трансграничной передачи ПДн.
Также перед подачей уведомления оператор обязан получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача ПДн сведения, предусмотренные ч.5 ст.12 федерального закона «О персональных данных», исключительно в случае, если планируется трансграничная передача на территорию стран, не обеспечивающих адекватный уровень защиты ПДн.
Суд отметил, что указанные изменения в законодательстве Российской Федерации в части осуществления трансграничной передачи ПДн нацелены не на ограничение деятельности операторов, а на регламентацию порядка осуществления трансграничной передачи, и направлены на обеспечение дополнительной защиты прав субъектов ПДн при передаче их персональных данных с территории Российской Федерации на территорию иностранных государств.
Выполнение требований п.5 ст.6 федерального закона № 266-ФЗ, ст.12 федерального закона «О персональных данных» является обязанностью операторов. В связи с тем, что в адрес Роскомнадзора и его территориальных управлений в срок до 01.03.2023 не поступило уведомление заявителя об осуществлении трансграничной передачи ПДн, соответствующее требованиям законодательства Российской Федерации, указанное уведомление не может быть принято.
Вместе с тем, исходя из информации, представленной заявителем, им осуществляется трансграничная передача ПДн, и в силу этого, Роскомнадзором и Управлением неоднократно указывалось на новый порядок осуществления трансграничной передачи и необходимость соблюдения требований действующего законодательства Российской Федерации в области персональных данных, в частности, путем подачи уведомления о намерении осуществлять трансграничную передачу ПДн и выполнении обязанности, возложенной на заявителя как на оператора, осуществляющего обработку ПДн, в соответствии с ч.3 ст.12 федерального закона «О персональных данных».
Суд отказал в удовлетворении требований ПАО СКБ Приморья «Примсоцбанк».
Девятый арбитражный апелляционный суд в декабре 2023 года оставил без изменения решение Арбитражного суда города Москвы, а апелляционную жалобу – без удовлетворения.
Мой комментарий: Похоже, сотрудники банка так до конца не разобрались, какое же уведомление им нужно было направить в Роскомнадзор. В результате банку потребовалось получать уже согласие Роскомнадзора на трансграничную передачу ПДн.
Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/
Комментариев нет:
Отправить комментарий