Согласно ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) под обработкой персональных данных понимается в том числе и передача (распространение, предоставление, доступ) персональных данных. При этом предоставление персональных данных - это действия, направленные на раскрытие этих данных определенному лицу или определенному кругу лиц (п. 6 ст. 3 Закона N 152-ФЗ). Таким образом, предоставление персональных данных генерального директора российской организации иностранной компании - контрагенту по договору является частным случаем обработки персональных данных.

По общему правилу обработка персональных данных может осуществляться с согласия субъекта персональных данных (п. 1 ч. 1 ст. 6 Закона N 152-ФЗ), а в отсутствие такого согласия - только в случаях, предусмотренных пп. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ. Приведенные нормы корреспондируются и с положениями ст. 7 Закона N 152-ФЗ, в силу которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Так, в соответствии с п. 5 ч. 1 ст. 6 Закона N 152-ФЗ допускается обработка персональных данных, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

Отметим, что юридические лица в контексте Закона N 152-ФЗ субъектами персональных данных не являются (п. 1 ст. 3 Закона N 152-ФЗ). Однако поскольку юридическое лицо представляет собой известную правовую фикцию и действует в гражданском обороте через своих работников, то обработка при заключении и исполнении договора персональных данных единоличного исполнительного органа юридического лица - его генерального директора - также возможна без согласия последнего на основании п. 5 ч. 1 ст. 6 Закона N 152-ФЗ.

Сведения о лице, имеющем право без доверенности действовать от имени юридического лица, имеются в выписке из ЕГРЮЛ. Данные, содержащиеся в государственном реестре, за некоторыми исключениями, являются открытыми и общедоступными (п. 1 ст. 6 Федерального закона от 08 августа 2001 г. N 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей" (далее - Закон N 129-ФЗ), а также достаточными для заключения и исполнения договора.

Соответственно, при указании в договорах, заключаемых юридическим лицом, таких персональных данных, как фамилия, имя, отчество единоличного исполнительного органа, необходимых для заключения и исполнения договора, его согласие на обработку персональных данных не запрашивается и не является необходимым. Если же в тексте договора присутствуют иные персональные данные генерального директора (например его место жительства, паспортные данные и пр.), тогда необходимо заручиться письменным согласием единоличного исполнительного органа на обработку подобной информации.

В соответствии с ч. 1 ст. 12 Закона N 152-ФЗ трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (далее - Конвенция 1981 г.), а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

Как следует из приведенной нормы, российский законодатель не предъявляет каких-либо дополнительных требований к порядку трансграничной передачи персональных данных в отношении стран - участниц Конвенции 1981 г. То есть оператор персональных данных может осуществлять передачу персональных данных на территорию указанных государств в том же режиме, что и на территории Российской Федерации.

Если же иностранное государство не отнесено к числу государств, обеспечивающих адекватную защиту прав субъектов персональных данных, то, исходя из положений ч. 3 ст. 12 Закона N 152-ФЗ, оператор до начала осуществления трансграничной передачи персональных данных в эту страну должен убедиться в обеспечении адекватной защиты прав субъектов персональных данных на территории этого государства, а именно: изучить национальное законодательство в части требований, предъявляемых к организации безопасности персональных данных физических лиц и при отсутствии четких критериев самостоятельно принять решение о том, наличествует адекватная защита или нет.

При возникновении сомнений трансграничная передача возможна лишь в случаях, перечисленных в ч. 4 ст. 12 Закона N 152-ФЗ. Таковыми могут быть, например, письменное согласие субъекта на трансграничную передачу его персональных данных, в котором, по нашему мнению, должно быть прямо указано государство - получатель конфиденциальной информации (п. 1 ч. 4 ст. 12 Закона N 152-ФЗ). Подчеркнем, что при передаче персональных данных за границу иному оператору ответственность за действия, совершаемые в отношении переданных персональных данных, несет российский оператор.

С 1 марта 2023 г. все операторы, осуществляющие трансграничную передачу персональных данных, обязаны в письменной форме (на бумажном носителе или в форме электронного документа) уведомить об этом Роскомнадзор отдельно от уведомления о намерении осуществлять обработку персональных данных, предусмотренного ст. 22 Закона N 152-ФЗ (чч. 3, 4 ст. 12 Закона N 152-ФЗ в будущей редакции).

При этом до подачи такого уведомления оператор должен получить от органов иностранного государства, иностранного партнера, которым планируется передача персональных данных, сведения о том, какие ими предпринимаются меры по защите передаваемых персональных данных и об условиях прекращения обработки; о правовом регулировании отношений в области персональных данных иностранного государства; сведения о лицах иностранного государства, которым планируется трансграничная передача персональных данных (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

И только после направления уведомления оператор вправе осуществлять трансграничную передачу персональных данных на территорию иностранного государства, если Роскомнадзор не примет решение о запрете или ограничении такой передачи.

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

Постановление Правительства РФ от 29.12.2022 № 2526

Приказ Роскомнадзора от 05.08.2022 № 128 — перечень стран с адекватной защитой персональных данных

Информация Роскомнадзора об уведомлении о трансграничной передаче (https://pd.rkn.gov.ru)