Ответ Роскомнадзора на запрос АБСЗ в связи с вступлением в действие Регламента 2016/679 Европейского парламента и Совета ЕС о защите физических лиц при обработке персональных данных

Текст запроса

Ассоциация Банков Северо-Запада крайне озадачена поступающими вопросами от кредитных учреждений региона, в связи с вступлением в действие с 25.05.2018 Регламента 2016/679 Европейского парламента и Совета Европейского союза от 26.04.2016 о защите физических лиц при обработке персональных данных и о свободном движении персональных данных и об отмене Директивы 95/46/EC (Общий регламент о защите персональных данных) и создавшейся ситуацией.

По существу, многие российские кредитные организации выражают свою обеспокоенность, связанную с оценкой применимости к их деятельности норм указанного документа, толкованием его условий, а также определением перечня требований, которые необходимо соблюдать российским кредитным организациям с целью недопущения возникновения негативных последствий нарушения Общего регламента о защите персональных данных, в том числе для предотвращения приостановления трансграничных переводов и/или операций с картами, осуществляемых на территории ЕС, предотвращения неполучения сведений об операциях с банковскими картами, осуществляемых клиентами российских кредитных организаций на территории ЕС, а также исключения риска привлечения российских кредитных организаций к ответственности, предусмотренной Общим регламентом о защите персональных данных.

Учитывая изложенное, принимая во внимание, что требования Общего регламента о защите персональных данных могут затронуть интересы значительного числа российских кредитных организаций, просим Роскомнадзор, являющийся надзорным органом по защите и обработке персональных данных, высказать свою позицию по следующим вопросам:

1. Планируется ли в связи с вступлением в силу Общего регламента о защите персональных данных, принятие на государственном уровне мер по подтверждению обеспечения на территории Российской Федерации надлежащего уровня защиты персональных данных физических лиц или представления надзорным органам ЕС, а также иным публично-правовым образованиям ЕС соответствующих гарантий, а именно:
   1.1. Осуществляется или планируется ли, осуществление взаимодействия с Европейской комиссией с целью получения подтверждения обеспечения на территории Российской Федерации надлежащего уровня защиты персональных данных физических лиц, для получения возможности российским организациям беспрепятственно получать персональные данные физических лиц с территории ЕС в рамках трансграничной передачи на основании статьи 45 Общего регламента о защите персональных данных?
   1.2. Осуществляется или планируется ли осуществление взаимодействия с надзорными органами ЕС с целью заключения соглашения о предоставлении гарантий безопасности обработки персональных данных для обеспечения возможности российским организациям получать персональные данные физических лиц с территории ЕС в рамках трансграничной передачи на основании статьи 46 Общего регламента о защите персональных данных, в случае отсутствия решения Европейской комиссии, предусмотренного статьей 45 указанного документа?
2. В какой мере, по мнению Роскомнадзора, распространяется на деятельность российских кредитных организаций требования Общего регламента о защите персональных данных, в том числе:
   2.1. Регулирует ли Общий регламент о защите персональных данных деятельность российских кредитных организаций, не имеющих на территории ЕС филиалов, представительств, подконтрольных (дочерних) организаций, но предоставляющих своим клиентам каналы дистанционного обслуживания (интернет-банкинг), доступные, в том числе на территории ЕС?
   Является ли указанная деятельность предложением товаров и услуг субъектам на территории ЕС в соответствии с п.п. (a) п. 2 статьи 3 Общего регламента о защите персональных данных?
   2.2. Регулирует ли Общий регламент о защите персональных данных деятельность российских кредитных организаций, являющихся эмитентами платежных карт в рамках международных платежных систем, в связи с получением ими сведений об операциях совершенных держателями с картами на территории ЕС, а также осуществлением фрод-мониторинга указанных операций с целью предотвращения мошенничества с использованием карт.
   Является ли указанная деятельность мониторингом поведения, осуществляемого в рамках ЕС в соответствии с п.п. (b) п. 2 статьи 3 Общего регламента о защите персональных данных?

Ответ

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор) рассмотрела ваше обращение и сообщает следующее.

В соответствии с ч. 2 ст. 2 Регламента, устанавливающей сферу его применения, настоящий Регламент не применяется к обработке персональных данных в ходе деятельности, которая выходит за пределы сферы действия законодательства Союза.

В настоящий момент Российская Федерация не является одним из государств-участников Европейского союза, а равно участницей международных договоров с Европейским союзом, устанавливающих порядок и условия обработки персональных данных применительно к российским операторам.

Таким образом, полагаем, что при осуществлении деятельности российских операторов по обработке персональных данных субъектов, в том числе являющихся гражданами стран Европейского союза, осуществляемая на территории Российской Федерации, в случаях, когда цели, порядок обработки персональных данных, объем персональных данных и иные требования в соответствии со ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» определяются исключительно российским оператором, требования Регламента на указанную деятельность не распространяются.

Данные выводы, в том числе подтверждаются определением оператора, изложенным в п. 7 ст. 4 Регламента, где предусматривается, что оператор определяет цели и способы обработки персональных данных на уровне законодательства Государства-члена ЕС или на уровне ЕС.

Вместе с тем, полагаем необходимым отметить, что согласно ч. 2 ст. 3 Регламента его положения применяются к обработке персональных данных субъектов, которые находятся в Европейском союзе, оператором или обработчиком, учреждаемым в странах, не являющихся членами Европейского союза, если обработка персональных данных связана с предоставлением товаров и услуг.

Таким образом, обработка персональных данных европейских граждан, осуществляемая российскими операторами на территории стран Европейского союза, подлежит осуществлению с учетом требований настоящего Регламента.

Кроме того, требования настоящего Регламента применимы к деятельности российских операторов по обработке персональных данных, действующих на основании поручения европейского оператора, где ответственность российского оператора, в том числе по уведомлению о негативных инцидентах, связанных с обработкой персональных данных, стоит перед европейским оператором.

Дополнительно сообщаем, что информация о планах федеральных органов исполнительной власти относительно возможного взаимодействия с Европейской комиссией в целях подтверждения обеспечения на территории Российской Федерации надлежащего уровня защиты персональных данных физических лиц, а также заключения с надзорными органами Европейской комиссии соглашения о предоставлении гарантий безопасности обработки персональных данных в распоряжении Роскомнадзора отсутствует.