Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»
Роскомнадзора тем, что «в законодательстве Российской Федерации существует много понятий баз данных, тем не менее все они сводятся к одному общему значению, которое и приведено выше». Оставляя в стороне весьма спорное заявление о наличии множества понятий баз данных в российском законодательстве, обратим внимание на тот факт, что предлагаемое представителями Роскомнадзора понятие «база данных» дословно совпадает с дефиницией, которая содержится в Модельном законе СНГ «О персональных данных» 1999 г.69 Данный документ хотя и можно рассматривать в качестве авторитетного источника, но формально он не имеет юридической силы и не может выступать в качестве акта, регулирующего «в рамках СНГ международные отношения в сфере защиты прав субъектов персональных данных»70.
Понятие трансграничной передачи персональных данных
1. Трансграничная передача персональных данных представляет собой отдельный вид обработки таких данных, заключающийся в передаче их «на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу». Ранее содержавшееся в указанной дефиниции указание на пересечение Государственной границы Российской Федерации было удалено как не соответствующее реалиям информационных процессов, происходящих в сети «Интернет», которая в силу своего трансграничного, децентрализованного и виртуального характера не позволяет четко обозначить географические границы определенной деятельности. В европейском законодательстве используется несколько иное, чуть более широкое понимание трансграничной передачи данных – как действий по передаче данных на территорию третьих стран (не являющихся членами Европейского Союза) или международных организаций (ст. 25 (1) Директивы 1995 г.; ст. 45 (1) Регламента 2016 г.). При этом национальная принадлежность получателя таких данных в третьей стране не имеет значения.
2. Квалифицирующими признаками трансграничной передачи персональных данных по российскому праву являются факты попадания персональных данных:
1) на территорию иностранного государства;
2) под контроль иностранного лица и
3) в результате целенаправленной деятельности оператора.
Указанные признаки позволяют выделить основной критерий трансграничной передачи данных: результатом такой передачи является попадание персональных данных под юрисдикцию другого государства с одновременным выбытием из-под юрисдикции Российской Федерации. Таким образом, если оператор − российское юридическое лицо передает персональные данные в свое представительство, находящееся за рубежом, то трансграничной передачи нет, поскольку данные не передаются иностранному лицу, а передаются самому себе (отсутствует признак 2). По этой же причине не будет трансграничной передачи данных в ситуациях, когда сотрудник организации едет в зарубежную командировку с ноутбуком,