Вопрос о необходимости уведомления Роскомнадзора о трансграничной передаче персональных данных в рамках заключаемого договора на подписанта по доверенности требует внимания к нормам Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ о ПДн) и разъяснениям Роскомнадзора.

Согласно п. 11 ст. 3 Закона о ПДн под трансграничной передачей персональных данных понимается передача персональных данных на территорию иностранного государства иностранному физическому или юридическому лицу. При этом в соответствии с ч. 3 ст. 12 Закона о ПДн оператор персональных данных до начала осуществления трансграничной передачи обязан уведомить Роскомнадзор о своем намерении осуществлять такую передачу. Уведомление направляется отдельно от уведомления о начале обработки персональных данных (ст. 22 Закона о ПДн).

Важным аспектом является, что уведомление подается один раз для каждой страны, куда передаются персональные данные, а не на каждый отдельный договор или случай передачи

Если по договору на оказание услуг или иному договору осуществляется передача персональных данных подписанта (физического лица), действующего по доверенности, его персональные данные признаются объектом защиты в рамках данного законодательства. Передача таких данных иностранной стороне (например, иностранному контрагенту, сервис-провайдеру для целей исполнения договора) считается трансграничной передачей персональных данных.

Перед подачей уведомления оператор обязан собрать сведения от иностранной стороны о мерах по защите персональных данных, правовом регулировании и контактах (ч. 5 ст. 12 Закона о ПДн). Это необходимо для подтверждения обеспечения адекватной защиты персональных данных на территории иностранного государства, особенно если страна не включена в перечень государств с адекватным уровнем защиты (приказ Роскомнадзора от 5 августа 2022 г. № 128).

Несоблюдение вышеуказанной обязанности влечет административную ответственность по статье 19.7 КоАП РФ:
штрафы для должностных лиц от 300 до 500 рублей,
для юридических лиц — от 3000 до 5000 рублей.

Обязательство уведомления напрямую связано с фактом трансграничной передачи персональных данных, а не с тем, кто именно подписывает договор — руководитель или лицо, действующее по доверенности. Если по доверенности подписант предоставляет свои персональные данные иностранной стороне, то передача таких данных подпадает под действие норм о трансграничной передаче и требует уведомления.

Организация (оператор) должна получить у иностранного контрагента информацию о правовом регулировании и мерах защиты персональных данных.

Подать уведомление в Роскомнадзор до начала трансграничной передачи (при этом уведомление подается один раз по каждой стране).

Получить согласие субъекта персональных данных (подписанта), если иное не предусмотрено законодательством (ч. 1 ст. 6 и ст. 7 Закона о ПДн).

При необходимости – провести оценку рисков и обеспечение мер по безопасности персональных данных.

Если в рамках заключаемого договора с иностранной организацией происходит передача персональных данных подписанта (физического лица), в том числе действующего по доверенности, то организация как оператор данных обязана уведомить Роскомнадзор о трансграничной передаче согласно ч. 3 ст. 12 Федерального закона № 152-ФЗ от 27.07.2006. Отсутствие такого уведомления может повлечь административную ответственность.