1 марта 2023 года вступили в силу изменения в Федеральный закон № 152-ФЗ «О персональных данных», касающиеся порядка передачи персональных данных за пределы Российской Федерации.
Согласно этим изменениям, иностранные государства по-прежнему будут делиться на те, которые обеспечивают адекватную защиту прав субъектов персональных данных, и те, которые не обеспечивают такую защиту, как это было ранее в 152-ФЗ.
Однако теперь введены уведомительный и разрешительный режимы для трансграничной передачи персональных данных. Это значит, что операторы персональных данных в любом случае должны уведомить Роскомнадзор о намерении передать персональные данные за пределы России и РКН рассмотрит такие уведомления в течение 10 рабочих дней.
Уведомительный режим – применяется при передаче персональных данных в страны с адекватной защитой прав субъектов (ратифицировавшие Конвенцию Совета Европы о защите физических лиц при автоматической обработке персональных данных). После уведомления оператор может передавать персональные данные в указанные страны до принятия РКН решения о запрете или ограничении такой передачи;
Разрешительный режим – применяется при передаче персональных данных в страны без адекватной защиты прав субъектов. После уведомления оператор не может передавать персональные данные в указанные страны до момента рассмотрения уведомления РКН, за исключением случаев, когда это необходимо для защиты жизни, здоровья или иных важных интересов субъекта или других лиц. Таким образом, передача персональных данных в эти страны возможна без согласия субъекта или иных предусмотренных законом оснований при условии получения разрешения РКН.
Роскомнадзор имеет право запросить у оператора информацию для оценки достоверности данных, указанных в уведомлении. Данная информация включает меры, принимаемые органами власти иностранных государств, иностранными физическими и юридическими лицами для защиты передаваемых персональных данных и условия прекращения их обработки. Роскомнадзор также может запросить информацию о правовом регулировании персональных данных в иностранных государствах, под юрисдикцией которых находятся получатели данных, если эти государства не обеспечивают адекватную защиту прав субъектов персональных данных. Кроме того, Роскомнадзор может запросить информацию об органах иностранных государств, иностранных физических и юридических лицах, включая их наименования, ФИО, контактные телефоны, почтовые адреса и адреса электронной почты.
Расширен перечень целей, для которых может быть запрещена или ограничена трансграничная передача персональных данных. Ранее в этот перечень входила защита основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечение обороны страны и безопасности государства. С 1 марта 2023 года к перечню добавляются следующие цели: защита экономических и финансовых интересов Российской Федерации, обеспечение защиты прав, свобод и интересов граждан Российской Федерации дипломатическими и международно-правовыми средствами, а также как защита суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене.
В случае принятия РКН решения о запрете или ограничении трансграничной передачи персональных данных оператор обязан уничтожить ранее переданные персональные данные органом иностранного государства, иностранным физическим или иностранным юридическим лицом.
Дания не является участником Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных, а также не включена в перечень Роскомнадзора стран, надлежащим образом соблюдающих положения этой Конвенции, нормы права, действующие в соответствующем государстве, и меры, принимаемые для обеспечения конфиденциальности и безопасности персональных данных при их обработке.
Поэтому наиболее вероятно, что передача персональных данных в Данию может не быть одобрена Роскомнадзором, если оператор персональных данных обратится туда с соответствующим запросом.