Распространяется ли действие Закона №152-ФЗ на филиал российского оператора персональных данных, расположенный на территории иностранного государства?
Да, распространяется.
Роскомнадзор указывает, что российскому оператору при обработке персональных данных на территории иностранного государства необходимо руководствоваться Законом №152-ФЗ в части, касающейся соблюдения отдельных его требований с учетом положений об экстерриториальности.
В свою очередь, положения об экстерриториальности означают, что закон применяется к обработке персональных данных российских граждан, осуществляемой иностранными юридическими лицами или иностранными физическими лицами на основании договора, стороной которого являются граждане РФ, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами РФ либо на основании согласия гражданина РФ на обработку его персональных данных (ч. 1.1. ст. 1 №152-ФЗ).
Ранее надзорный орган отмечал, что обязанности у зарубежного филиала, который обрабатывает персональные данные в соответствии с национальным законодательством иностранного государства, соблюдать Закон №152-ФЗ нет. Однако в случае жалобы со стороны гражданина РФ о нарушении его прав как субъекта персональных данных оценка действий иностранной компании будет осуществляться с учетом требований российского законодательства.
