Все это — онлайн, с заботой о вас и по отличным ценам.
Что, в свою очередь, может гарантировать?
Здравствуйте! Столкнулся с проблемой при создании стартапа. Суть такова: я создаю сервис для анализа эмоций, мимики лица, и голоса клиентов по загруженным ими видео на сайт. Для этого планировалось использовать сторонний API от Google. Но возникли сомнения касательно соблюдения ФЗ 152. Объясню чуть подробнее: пользователь заходит на сайт и загружает видео, где он на камеру что-то рассказывает. Далее наш сервис (расположенный в России) отправляет запрос к сервису Google (нейросети) с целью анализа приложенного видео. Получаем развернутый отчет по видео и направляем пользователю описание эмоций. Я читал разные статьи и форумы: кто-то говорит, что при явном согласии пользователей на трансграничную передачу их биометрических данных и регистрацию в РКН = вполне легально. Кто-то же наотрез отрицает возможность использования сторонних сервисов (API) для анализа биометрии пользователей. Напоследок уточню, что в документации API от Google указано, что данные не используются для обучения моделей. Что, в свою очередь, может гарантировать (?) конфиденциальность данных пользователей. Буду невероятно признателен, если Вы сможете помочь мне
Здравствуйте, Александр.
Моё мнение — не получится адекватно реализовать Ваш план в рамках 152-ФЗ.
Почему:
П. 2 ст. 12 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» гласит:
Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных
Приказ Роскомнадзора от 05.08.2022 N 128
«Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных» не содержит США, как государство, обеспечивающее адекватную защиту прав субъектов персональных данных.
На этом, в принципе, можно закончить — РКН Вам заявит — данными действиями Вы не обеспечиваете защиту ПДН субъектов, соответственно нарушаете 152-ФЗ.
Ну и отдельным аргументом может быть то, что ПДН уходят в не дружественную страну, согласно Распоряжению Правительства РФ от 05.03.2022 N 430-р <Об утверждении перечня иностранных государств и территорий, совершающих недружественные действия в отношении Российской Федерации, российских юридических и физических лиц>
Здравствуйте!
С учетом требований п. 2 ст. 12 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», трансграничная передача персональных данных на территорию иностранного государства, не обеспечивающего адекватной защиты прав субъектов, допускается только с согласия субъекта и в ряде других случаев.
США отсутствуют в перечне стран с адекватной защитой (утв. Приказом Роскомнадзора от 05.08.2022 N 128).
В связи с чем, при передаче биометрических данных (мимика, голос) в Google, даже через API, вы обязаны убедиться в наличии исключительных оснований.
Согласие здесь может не сработать, так как закон предъявляет особые требования к обработке биометрии (ст. 11 152-ФЗ), а передача в «недружественную» страну (Распоряжение № 430-р) привлекает повышенное внимание РКН.
Здравствуйте.
Пожалуй, стоит поддержать мнение коллеги Пономарева. Трансграничной передаче данных посвящена ст. 12 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
В указанной норме определено, что
2. Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.
Компания Google находится в юрисдикции США/ Приказ Роскомнадзора от 05.08.2022 N 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных» не содержит США в этом перечне, что исключает возможность получить разрешение на трансграничную передачу данных.
Кроме того до начала трансграничной передачи персональных данных согласно ч. 3 — 6 ст. 12 Закона о персональных данных, Письму Минцифры России от 12.05.2025 N П25-44929 оператору необходимо получить ряд сведений от органов власти иностранного государства, иностранных физлиц или юрлиц, которым планируете передавать данные, а также направить в Роскомнадзор уведомление о трансграничной передаче персональных данных.
Выполнение подобных условий в отношении США и Google в текущих условиях невозможно.
Здравствуйте, Александр!
Не совсем согласен с мнением коллег.
Решение о запрещении или об ограничении трансграничной передачи персональных данных принимается Роскомнадзором по результатам рассмотрения уведомления оператора.
Поэтому с уверенностью можно говорить, что Вы в данном случае обязаны уведомить Роскомнадзор о намерении осуществлять трансграничную передачу персональных данных.
. Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных. Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных, предусмотренного статьей 22 настоящего Федерального закона.
ст.12 Закона №152-ФЗ
А до подачи уведомления о трансграничной передаче персональных данных Вы обязаны получить от Google LLC, сведения, указанные в ч.5 ст.12 Закона
К ним отнесены
-о меры по защите передаваемых персональных данных и условиях прекращения их обработки;
-информацию о правовом регулировании США в области персональных данных;
-сведения о Google LLC: номера контактных телефонов, почтовые адреса и адреса электронной почты.
Я дополню свой ответ:
Исключительным основанием является перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, есть ли страна в перечне либо нет.
В связи с чем, исходя из норм 152-ФЗ и позиции Роскомнадзора, на прямое одобрение со стороны регулятора рассчитывать не приходится.
Так как установлен особый статус биометрии (Ст. 11 152-ФЗ), закон устанавливает, что обработка биометрии (мимика, голос) возможна только с письменного согласия.
РКН при проверке будет смотреть на совокупность: а) недружественная страна (США); б) отсутствие адекватной защиты; в) согласие субъекта на биометрию.
На практике получить такое заключение на передачу биометрии в США сейчас крайне сложно, так как это противоречит государственной политике в области данных.
Если речь о другой стране, то нужно смотреть перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, есть ли страна в перечне либо нет.
Роскомнадзор крайне негативно относится к выводу биометрии за периметр РФ, особенно в США. Ваш аргумент «Google не использует данные для обучения» не является юридической гарантией защиты от доступа третьих лиц (например, спецслужб США по Patriot Act), и РКН это учитывает.