Реформа закона о персональных данных. Трансграничная передача

1 сентября в силу вступят самые масштабные с 2011 года поправки в российский закон о персональных данных. Их обсуждают на самых разных уровнях, но в сети почти нет информации, как подготовить к этому бизнес-процессы компаний. Команда экспертов «Б-152» данных подготовила серию статей на темы:

  • Трансграничная передача персональных данных: новый порядок
  • Уведомление об инцидентах и взаимодействие с ГосСОПКА: что нужно знать
  • Какие документы менять и когда
  • Какие изменения несут наибольшие риски, и как их минимизировать

Это первая статья из серии. Остальные будут опубликованы также на нашем подсайте — подпишитесь, чтобы не пропустить.

Трансграничная передача персональных данных: новый порядок

11 августа в ходе заседания Общественного совета (ОС) при РКН руководство службы констатировало, что персональные данные стали крайне ценным объектом в цифровой экономике, а значит, требуют усиления защиты. Поэтому с 1 сентября, когда в силу вступят поправки к закону «О персональных данных», компании должны будут еще больше учитывать интересы субъектов ПД и своевременно информировать РКН при трансграничной передаче данных.

Трансграничная передача ПДн — это все так же:

  • передача персональных данных
  • на территорию иностранного государства
  • какому-либо иностранному физическому лицу, юридическому лицу или органу власти иностранного государства.

Важные уточнения:

  • Если иностранная компания непосредственно собирает персональные данные граждан РФ — это не трансграничная передача, а сбор, в этой ситуации нормы о трансграничной передаче не применяются.

  • Если компания находится в России, собирает ПДн и передает их своему работнику в другой стране — это тоже не трансграничная передача, поскольку не происходит передачи иностранному физлицу/юрлицу/органу. Когда физическое лицо — работник компании, а не самостоятельный субъект, то это не передача, а доступ к данным, предоставляемый лицу за пределами офиса.

Что изменится

Трансграничная передача представляет собой один из видов обработки ПДн. Любая обработка ПДн должна осуществляться с соблюдением принципов и правил, предусмотренных 152-ФЗ, и допускается:

  • с согласия субъекта
  • для исполнения договора
  • с 1 марта 2023 добавится новое условие: предварительное уведомление Роскомнадзора.

Уведомление РКН: порядок действий

1. Дождаться формы Роскомнадзора.

Такая форма должна появиться в августе.

2. Заполнить форму

  • наименование, адрес, контакты организации
  • реквизиты уведомления
  • контакты DPO (ответственный за организацию обработки ПДн)
  • основание и цель дальнейшей обработки
  • перечень ПДн и категории субъектов
  • перечень иностранных государств импортера ПДн
  • дата оценки конфиденциальности и безопасности (в стране, в которую ПДн передаются)

3. Получить от импортера сведения о:

  • мерах по защите ПДн и и условиях прекращения обработки*
  • правовом регулировании иностранного государства-импортера*
  • контактах импортера

РКН может запросить представление этих сведений при подаче уведомления. Однако получить эту информацию от импортера будет сложно, поэтому скорее всего операторы будут готовить ее самостоятельно и демонстрировать, что информация передана импортером.

4. Направить уведомление на бумажном или электронном носителе.

5. Дождаться решения

По умолчанию, это занимает 10 рабочих дней, но срок может быть увеличен на 10-15 дней в зависимости от предоставления сведений, касающихся мер защиты в стране-импортере.

6. Обеспечить уничтожение импортером ПДн в случае наложения запрета или ограничения от РКН после подачи уведомления.

В случае со странами, «обеспечивающими адекватную защиту», трансграничная передача разрешена сразу после подачи уведомления. Подразумеваются государства, подписавшие Конвенцию №108 и те, которые указаны в приказе Роскомнадзора в качестве «адекватных».

В случае с остальными странами нужно дождаться решения от РКН.

Важно: Роскомнадзор пояснил, что подавать уведомление о трансграничной передаче данных нужно будет 1 раз в отношении конкретной страны. Точно это правило распространяется на «адекватные» страны. Как будет с «неадекватными» — посмотрим.

Если нарушить требования об уведомлении

На данный момент нет никаких новых норм и штрафов касательно неподачи уведомления о трансграничной передаче. По нашему мнению, могут действовать 2 варианта.

1. Более вероятный вариант: если вы не подали уведомление в соответствии с требованиями закона, — это обработка ПДн в случаях, не предусмотренных законодательством. В этом случае возможна административная ответственность в виде штрафа от 60 до 100 тысяч рублей (ч.1 ст.13.11 КоАП РФ).

Остаются вопросы о том, будет ли передача в несколько стран облагаться несколькими штрафами, или одно единое нарушение - 1 штраф. Пока практики нет, возможны разные версии.

2. Менее вероятный вариант: предупреждение или наложение административного штрафа за непредставление или несвоевременное представление сведений, представление которых предусмотрено законом, либо представление таких сведений в неполном объеме или искаженном виде — от 3 до 5 тыс рублей.

Ситуация важная для контроля государством, поэтому скорее всего будут более крупные и жесткие штрафы с мультипликацией по количеству стран.

Чек-лист на случай запрета или ограничения от РКН на трансграничную передачу

1. Вести реестр процессов сбора и обработки ПДн.

Без него невозможно выполнить следующие пункты, так как именно реестр дает четкое понимание, какие передачи в какие страны у вас ведутся.

2. Оценить необходимость продолжать трансграничную передачу ПДн.

Можем ли избавиться от процесса? Перейти на альтернативное решение? Поменять неадекватную страну на адекватную?

3. Вести учет импортеров и упорядочить взаимодействие с ними.

В связи с изменениями компаниям-операторам ПДн придется связываться со всеми импортерами и налаживать коммуникацию для получения от них необходимой информации, которую в случае чего будет нужно предоставлять в РКН.

4. Отслеживать разъяснения, практику, закладывать риски и ресурсы.

Первые запреты будут получены в марте-апреле 2023, тогда появится первая практика и понимание, что делать в подобных ситуациях: можно ли судиться с надзорным органом, подавать апелляции и т.д.

5. Собрать сведения о мерах защиты ПДн в странах импортеров.

Подразумеваются не средства технической защита, а именно меры защиты прав и интересов физлиц, чьи данные были переданы.

6. Не паниковать и преждевременно не менять бизнес-процессы.

Необходимо готовиться постепенно, общаться с экспертами, задавать вопросы в privacy-сообществах.

Если вы хотите разобраться во всех процессах подробнее — 19 сентября стартует курс «Data Protection Officer» от Б-152, где практикующие эксперты по защите ПДн будут показывать все инструменты и методики минимизации рисков, построения Data Mapping и т.д.

Подписывайтесь на Telegram-канал Б-152, чтобы оперативно получать информацию и разъяснения по всем законодательным изменениям в области Privacy.

С уважением, Максим Лагутин, основатель Б-152 и курса "Data Protection Officer", ведущий эксперт по защите персональных данных.

88
4 комментария

Я так и не понял, как этот закон защищает мои персональные данные

1

Не ту статью вы для этого читали

Никак. Он для того, чтобы эти данные можно было, если что, вытрясти.

РКН опубликовал формы:

▫️Уведомления об осуществлении трансграничной передачи ПДн: https://pd.rkn.gov.ru/cross-border-transmission/form/

▫️Уведомления о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных: https://pd.rkn.gov.ru/incidents/form/

Также РКН поделился, что станет с уведомлением об обработке ПДн: https://pd.rkn.gov.ru/operators-registry/notification/