Что, в свою очередь, может гарантировать?

Question

Здравствуйте! Столкнулся с проблемой при создании стартапа. Суть такова: я создаю сервис для анализа эмоций, мимики лица, и голоса клиентов по загруженным ими видео на сайт. Для этого планировалось использовать сторонний API от Google. Но возникли сомнения касательно соблюдения ФЗ 152. Объясню чуть подробнее: пользователь заходит на сайт и загружает видео, где он на камеру что-то рассказывает. Далее наш сервис (расположенный в России) отправляет запрос к сервису Google (нейросети) с целью анализа приложенного видео. Получаем развернутый отчет по видео и направляем пользователю описание эмоций. Я читал разные статьи и форумы: кто-то говорит, что при явном согласии пользователей на трансграничную передачу их биометрических данных и регистрацию в РКН = вполне легально. Кто-то же наотрез отрицает возможность использования сторонних сервисов (API) для анализа биометрии пользователей. Напоследок уточню, что в документации API от Google указано, что данные не используются для обучения моделей. Что, в свою очередь, может гарантировать (?) конфиденциальность данных пользователей. Буду невероятно признателен, если Вы сможете помочь мне

Александр Пономарев · Answer

Здравствуйте, Александр. Моё мнение — не получится адекватно реализовать Ваш план в рамках 152-ФЗ. Почему: П. 2 ст. 12 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» гласит: Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных Приказ Роскомнадзора от 05.08.2022 N 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных» не содержит США, как государство, обеспечивающее адекватную защиту прав субъектов персональных данных. На этом, в принципе, можно закончить — РКН Вам заявит — данными действиями Вы не обеспечиваете защиту ПДН субъектов, соответственно нарушаете 152-ФЗ. Ну и отдельным аргументом может быть то, что ПДН уходят в не дружественную страну, согласно Распоряжению Правительства РФ от 05.03.2022 N 430-р <Об утверждении перечня иностранных государств и территорий, совершающих недружественные действия в отношении Российской Федерации, российских юридических и физических лиц>

Павел Попов · Answer

Здравствуйте! С учетом требований п. 2 ст. 12 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», трансграничная передача персональных данных на территорию иностранного государства, не обеспечивающего адекватной защиты прав субъектов, допускается только с согласия субъекта и в ряде других случаев. США отсутствуют в перечне стран с адекватной защитой (утв. Приказом Роскомнадзора от 05.08.2022 N 128). В связи с чем, при передаче биометрических данных (мимика, голос) в Google, даже через API, вы обязаны убедиться в наличии исключительных оснований. Согласие здесь может не сработать, так как закон предъявляет особые требования к обработке биометрии (ст. 11 152-ФЗ), а передача в «недружественную» страну (Распоряжение № 430-р) привлекает повышенное внимание РКН.

Юрий Колковский · Answer

Здравствуйте. Пожалуй, стоит поддержать мнение коллеги Пономарева. Трансграничной передаче данных посвящена ст. 12 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных». В указанной норме определено, что 2. Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. Компания Google находится в юрисдикции США/ Приказ Роскомнадзора от 05.08.2022 N 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных» не содержит США в этом перечне, что исключает возможность получить разрешение на трансграничную передачу данных. Кроме того до начала трансграничной передачи персональных данных согласно ч. 3 — 6 ст. 12 Закона о персональных данных, Письму Минцифры России от 12.05.2025 N П25-44929 оператору необходимо получить ряд сведений от органов власти иностранного государства, иностранных физлиц или юрлиц, которым планируете передавать данные, а также направить в Роскомнадзор уведомление о трансграничной передаче персональных данных. Выполнение подобных условий в отношении США и Google в текущих условиях невозможно.

Герман Амвросов · Answer

Здравствуйте, Александр! Не совсем согласен с мнением коллег. Решение о запрещении или об ограничении трансграничной передачи персональных данных принимается Роскомнадзором по результатам рассмотрения уведомления оператора. Поэтому с уверенностью можно говорить, что Вы в данном случае обязаны уведомить Роскомнадзор о намерении осуществлять трансграничную передачу персональных данных. . Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных. Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных, предусмотренного статьей 22 настоящего Федерального закона. ст.12 Закона №152-ФЗ А до подачи уведомления о трансграничной передаче персональных данных Вы обязаны получить от Google LLC, сведения, указанные в ч.5 ст.12 Закона К ним отнесены -о меры по защите передаваемых персональных данных и условиях прекращения их обработки; -информацию о правовом регулировании США в области персональных данных; -сведения о Google LLC: номера контактных телефонов, почтовые адреса и адреса электронной почты.