Вопрос трансграничной передачи персональных данных работника, направляемого в командировку в рамках заключённого договора на размещение требует внимания к нормам Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) и разъяснениям Роскомнадзора.

Передача персональных данных в иностранное государство — это трансграничная передача, которая регулируется ст. 12 Закона № 152-ФЗ. Согласно ч. 3–6 и 8–11 ст. 12 этого закона, оператор, осуществляющий трансграничную передачу персональных данных, обязан направлять в Роскомнадзор уведомление о намерении осуществлять такую передачу, если она не подпадает под исключения, предусмотренные постановлением Правительства РФ от 29 декабря 2022 г. № 2526.

В случае размещения в зарубежной гостинице по договору, при котором передаются персональные данные клиента (например, ФИО, паспортные данные и другие сведения), происходит трансграничная передача персональных данных. Если ваша организация, как оператор, осуществляет такую передачу, необходимо подать уведомление в Роскомнадзор.

С 1 марта 2023 г. действует новый порядок подачи уведомлений (ч. 1 ст. 22, ч. 3–6 ст. 12 Закона № 152-ФЗ):
- Уведомление подается однократно и до начала передачи.
- Оно оформляется на бумажном носителе или в виде электронного документа, подписанного усиленной квалифицированной электронной подписью.
- Уведомление должно содержать сведения о странах, в которые планируется передача данных.
- Для стран, не обеспечивающих адекватный уровень защиты персональных данных, оператор обязан получить дополнительные сведения от иностранных контрагентов о мерах защиты данных и правовом регулировании этих стран.
- Роскомнадзор рассматривает уведомление в течение 10 рабочих дней и может запретить или ограничить трансграничную передачу.

Постановлением Правительства РФ № 2526 утвержден исчерпывающий перечень случаев, когда требования уведомления не применяются, например, трансграничная передача в целях исполнения международных договоров Российской Федерации и т.п. Но размещение в гостинице самим фактом командировки или отдыха по договору не попадает в такие исключения, следовательно, уведомление требуется.

Кроме того, согласно п. 5 ч. 1 ст. 6 Закона № 152-ФЗ, при обработке персональных данных, необходимых для исполнения договора, согласие субъекта персональных данных на такую обработку обычно не требуется (например, для заключения и исполнения договора на размещение).

Однако при передаче данных зарубежному отелю, являющемуся третьей стороной, важно учитывать требования закона о трансграничной передаче и обеспечить соблюдение правил, о которых сказано выше.

Направить в Роскомнадзор однократное уведомление о трансграничной передаче персональных данных, если ваша организация является оператором персональных данных при заключении и исполнении договора с иностранной гостиницей.

Получить от иностранного контрагента информацию о защищённости персональных данных и правовом регулировании защиты персональных данных в стране пребывания.

При необходимости обеспечить соответствующие договорные положения об обработке и защите персональных данных.

Организовать передачу данных строго в объеме, необходимом для исполнения договора и размещения.

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ст. 6, 12, 22)

Постановление Правительства РФ от 29.12.2022 № 2526

Приказ Роскомнадзора от 05.08.2022 № 128 — перечень стран с адекватной защитой персональных данных

Информация Роскомнадзора об уведомлении о трансграничной передаче (https://pd.rkn.gov.ru)