Реформа закона о персональных данных. Трансграничная передача
1 сентября в силу вступят самые масштабные с 2011 года поправки в российский закон о персональных данных. Их обсуждают на самых разных уровнях, но в сети почти нет информации, как подготовить к этому бизнес-процессы компаний. Команда экспертов «Б-152» данных подготовила серию статей на темы:
- Трансграничная передача персональных данных: новый порядок
- Уведомление об инцидентах и взаимодействие с ГосСОПКА: что нужно знать
- Какие документы менять и когда
- Какие изменения несут наибольшие риски, и как их минимизировать
Это первая статья из серии. Остальные будут опубликованы также на нашем подсайте — подпишитесь, чтобы не пропустить.
Трансграничная передача персональных данных: новый порядок
11 августа в ходе заседания Общественного совета (ОС) при РКН руководство службы констатировало, что персональные данные стали крайне ценным объектом в цифровой экономике, а значит, требуют усиления защиты. Поэтому с 1 сентября, когда в силу вступят поправки к закону «О персональных данных», компании должны будут еще больше учитывать интересы субъектов ПД и своевременно информировать РКН при трансграничной передаче данных.
Трансграничная передача ПДн — это все так же:
- передача персональных данных
- на территорию иностранного государства
- какому-либо иностранному физическому лицу, юридическому лицу или органу власти иностранного государства.
Важные уточнения:
Если иностранная компания непосредственно собирает персональные данные граждан РФ — это не трансграничная передача, а сбор, в этой ситуации нормы о трансграничной передаче не применяются.
Если компания находится в России, собирает ПДн и передает их своему работнику в другой стране — это тоже не трансграничная передача, поскольку не происходит передачи иностранному физлицу/юрлицу/органу. Когда физическое лицо — работник компании, а не самостоятельный субъект, то это не передача, а доступ к данным, предоставляемый лицу за пределами офиса.
Что изменится
Трансграничная передача представляет собой один из видов обработки ПДн. Любая обработка ПДн должна осуществляться с соблюдением принципов и правил, предусмотренных 152-ФЗ, и допускается:
- с согласия субъекта
- для исполнения договора
- с 1 марта 2023 добавится новое условие: предварительное уведомление Роскомнадзора.
Уведомление РКН: порядок действий
1. Дождаться формы Роскомнадзора.
Такая форма должна появиться в августе.
2. Заполнить форму
- наименование, адрес, контакты организации
- реквизиты уведомления
- контакты DPO (ответственный за организацию обработки ПДн)
- основание и цель дальнейшей обработки
- перечень ПДн и категории субъектов
- перечень иностранных государств импортера ПДн
- дата оценки конфиденциальности и безопасности (в стране, в которую ПДн передаются)
3. Получить от импортера сведения о:
- мерах по защите ПДн и и условиях прекращения обработки*
- правовом регулировании иностранного государства-импортера*
- контактах импортера
РКН может запросить представление этих сведений при подаче уведомления. Однако получить эту информацию от импортера будет сложно, поэтому скорее всего операторы будут готовить ее самостоятельно и демонстрировать, что информация передана импортером.
4. Направить уведомление на бумажном или электронном носителе.
5. Дождаться решения
По умолчанию, это занимает 10 рабочих дней, но срок может быть увеличен на 10-15 дней в зависимости от предоставления сведений, касающихся мер защиты в стране-импортере.
6. Обеспечить уничтожение импортером ПДн в случае наложения запрета или ограничения от РКН после подачи уведомления.
В случае со странами, «обеспечивающими адекватную защиту», трансграничная передача разрешена сразу после подачи уведомления. Подразумеваются государства, подписавшие Конвенцию №108 и те, которые указаны в приказе Роскомнадзора в качестве «адекватных».
В случае с остальными странами нужно дождаться решения от РКН.
Важно: Роскомнадзор пояснил, что подавать уведомление о трансграничной передаче данных нужно будет 1 раз в отношении конкретной страны. Точно это правило распространяется на «адекватные» страны. Как будет с «неадекватными» — посмотрим.
Если нарушить требования об уведомлении
На данный момент нет никаких новых норм и штрафов касательно неподачи уведомления о трансграничной передаче. По нашему мнению, могут действовать 2 варианта.
1. Более вероятный вариант: если вы не подали уведомление в соответствии с требованиями закона, — это обработка ПДн в случаях, не предусмотренных законодательством. В этом случае возможна административная ответственность в виде штрафа от 60 до 100 тысяч рублей (ч.1 ст.13.11 КоАП РФ).
Остаются вопросы о том, будет ли передача в несколько стран облагаться несколькими штрафами, или одно единое нарушение - 1 штраф. Пока практики нет, возможны разные версии.
2. Менее вероятный вариант: предупреждение или наложение административного штрафа за непредставление или несвоевременное представление сведений, представление которых предусмотрено законом, либо представление таких сведений в неполном объеме или искаженном виде — от 3 до 5 тыс рублей.
Ситуация важная для контроля государством, поэтому скорее всего будут более крупные и жесткие штрафы с мультипликацией по количеству стран.
Чек-лист на случай запрета или ограничения от РКН на трансграничную передачу
1. Вести реестр процессов сбора и обработки ПДн.
Без него невозможно выполнить следующие пункты, так как именно реестр дает четкое понимание, какие передачи в какие страны у вас ведутся.
2. Оценить необходимость продолжать трансграничную передачу ПДн.
Можем ли избавиться от процесса? Перейти на альтернативное решение? Поменять неадекватную страну на адекватную?
3. Вести учет импортеров и упорядочить взаимодействие с ними.
В связи с изменениями компаниям-операторам ПДн придется связываться со всеми импортерами и налаживать коммуникацию для получения от них необходимой информации, которую в случае чего будет нужно предоставлять в РКН.
4. Отслеживать разъяснения, практику, закладывать риски и ресурсы.
Первые запреты будут получены в марте-апреле 2023, тогда появится первая практика и понимание, что делать в подобных ситуациях: можно ли судиться с надзорным органом, подавать апелляции и т.д.
5. Собрать сведения о мерах защиты ПДн в странах импортеров.
Подразумеваются не средства технической защита, а именно меры защиты прав и интересов физлиц, чьи данные были переданы.
6. Не паниковать и преждевременно не менять бизнес-процессы.
Необходимо готовиться постепенно, общаться с экспертами, задавать вопросы в privacy-сообществах.
Если вы хотите разобраться во всех процессах подробнее — 19 сентября стартует курс «Data Protection Officer» от Б-152, где практикующие эксперты по защите ПДн будут показывать все инструменты и методики минимизации рисков, построения Data Mapping и т.д.
Подписывайтесь на Telegram-канал Б-152, чтобы оперативно получать информацию и разъяснения по всем законодательным изменениям в области Privacy.
С уважением, Максим Лагутин, основатель Б-152 и курса "Data Protection Officer", ведущий эксперт по защите персональных данных.
Я так и не понял, как этот закон защищает мои персональные данные
Не ту статью вы для этого читали
Никак. Он для того, чтобы эти данные можно было, если что, вытрясти.
РКН опубликовал формы:
▫️Уведомления об осуществлении трансграничной передачи ПДн: https://pd.rkn.gov.ru/cross-border-transmission/form/
▫️Уведомления о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных: https://pd.rkn.gov.ru/incidents/form/
Также РКН поделился, что станет с уведомлением об обработке ПДн: https://pd.rkn.gov.ru/operators-registry/notification/