{"id":13654,"url":"\/distributions\/13654\/click?bit=1&hash=7a7aa21667aefd656b6233efba962ecbef616dfd5ac100a493b4b5899b23ff1f","title":"\u041c\u044b \u043f\u043e\u043f\u0440\u043e\u0441\u0438\u043b\u0438 \u0440\u043e\u0434\u0438\u0442\u0435\u043b\u0435\u0439 \u043e\u0431\u044a\u044f\u0441\u043d\u0438\u0442\u044c, \u043a\u0442\u043e \u0442\u0430\u043a\u0438\u0435 \u00ab\u043a\u0440\u0435\u0430\u0442\u043e\u0440\u00bb \u0438 \u00ab\u043f\u0440\u043e\u0434\u0430\u043a\u0442\u00bb","buttonText":"\u0421\u043c\u043e\u0442\u0440\u0435\u0442\u044c","imageUuid":"32086418-934b-5de5-a4ef-6425a84c490a","isPaidAndBannersEnabled":false}
Право
Б-152

Реформа закона о персональных данных. Трансграничная передача

1 сентября в силу вступят самые масштабные с 2011 года поправки в российский закон о персональных данных. Их обсуждают на самых разных уровнях, но в сети почти нет информации, как подготовить к этому бизнес-процессы компаний. Команда экспертов «Б-152» данных подготовила серию статей на темы:

  • Трансграничная передача персональных данных: новый порядок
  • Уведомление об инцидентах и взаимодействие с ГосСОПКА: что нужно знать
  • Какие документы менять и когда
  • Какие изменения несут наибольшие риски, и как их минимизировать

Это первая статья из серии. Остальные будут опубликованы также на нашем подсайте — подпишитесь, чтобы не пропустить.

Трансграничная передача персональных данных: новый порядок

11 августа в ходе заседания Общественного совета (ОС) при РКН руководство службы констатировало, что персональные данные стали крайне ценным объектом в цифровой экономике, а значит, требуют усиления защиты. Поэтому с 1 сентября, когда в силу вступят поправки к закону «О персональных данных», компании должны будут еще больше учитывать интересы субъектов ПД и своевременно информировать РКН при трансграничной передаче данных.

Трансграничная передача ПДн — это все так же:

  • передача персональных данных
  • на территорию иностранного государства
  • какому-либо иностранному физическому лицу, юридическому лицу или органу власти иностранного государства.

Важные уточнения:

  • Если иностранная компания непосредственно собирает персональные данные граждан РФ — это не трансграничная передача, а сбор, в этой ситуации нормы о трансграничной передаче не применяются.

  • Если компания находится в России, собирает ПДн и передает их своему работнику в другой стране — это тоже не трансграничная передача, поскольку не происходит передачи иностранному физлицу/юрлицу/органу. Когда физическое лицо — работник компании, а не самостоятельный субъект, то это не передача, а доступ к данным, предоставляемый лицу за пределами офиса.

Что изменится

Трансграничная передача представляет собой один из видов обработки ПДн. Любая обработка ПДн должна осуществляться с соблюдением принципов и правил, предусмотренных 152-ФЗ, и допускается:

  • с согласия субъекта
  • для исполнения договора
  • с 1 марта 2023 добавится новое условие: предварительное уведомление Роскомнадзора.

Уведомление РКН: порядок действий

1. Дождаться формы Роскомнадзора.

Такая форма должна появиться в августе.

2. Заполнить форму

  • наименование, адрес, контакты организации
  • реквизиты уведомления
  • контакты DPO (ответственный за организацию обработки ПДн)
  • основание и цель дальнейшей обработки
  • перечень ПДн и категории субъектов
  • перечень иностранных государств импортера ПДн
  • дата оценки конфиденциальности и безопасности (в стране, в которую ПДн передаются)

3. Получить от импортера сведения о:

  • мерах по защите ПДн и и условиях прекращения обработки*
  • правовом регулировании иностранного государства-импортера*
  • контактах импортера

РКН может запросить представление этих сведений при подаче уведомления. Однако получить эту информацию от импортера будет сложно, поэтому скорее всего операторы будут готовить ее самостоятельно и демонстрировать, что информация передана импортером.

4. Направить уведомление на бумажном или электронном носителе.

5. Дождаться решения

По умолчанию, это занимает 10 рабочих дней, но срок может быть увеличен на 10-15 дней в зависимости от предоставления сведений, касающихся мер защиты в стране-импортере.

6. Обеспечить уничтожение импортером ПДн в случае наложения запрета или ограничения от РКН после подачи уведомления.

В случае со странами, «обеспечивающими адекватную защиту», трансграничная передача разрешена сразу после подачи уведомления. Подразумеваются государства, подписавшие Конвенцию №108 и те, которые указаны в приказе Роскомнадзора в качестве «адекватных».

В случае с остальными странами нужно дождаться решения от РКН.

Важно: Роскомнадзор пояснил, что подавать уведомление о трансграничной передаче данных нужно будет 1 раз в отношении конкретной страны. Точно это правило распространяется на «адекватные» страны. Как будет с «неадекватными» — посмотрим.

Если нарушить требования об уведомлении

На данный момент нет никаких новых норм и штрафов касательно неподачи уведомления о трансграничной передаче. По нашему мнению, могут действовать 2 варианта.

1. Более вероятный вариант: если вы не подали уведомление в соответствии с требованиями закона, — это обработка ПДн в случаях, не предусмотренных законодательством. В этом случае возможна административная ответственность в виде штрафа от 60 до 100 тысяч рублей (ч.1 ст.13.11 КоАП РФ).

Остаются вопросы о том, будет ли передача в несколько стран облагаться несколькими штрафами, или одно единое нарушение - 1 штраф. Пока практики нет, возможны разные версии.

2. Менее вероятный вариант: предупреждение или наложение административного штрафа за непредставление или несвоевременное представление сведений, представление которых предусмотрено законом, либо представление таких сведений в неполном объеме или искаженном виде — от 3 до 5 тыс рублей.

Ситуация важная для контроля государством, поэтому скорее всего будут более крупные и жесткие штрафы с мультипликацией по количеству стран.

Чек-лист на случай запрета или ограничения от РКН на трансграничную передачу

1. Вести реестр процессов сбора и обработки ПДн.

Без него невозможно выполнить следующие пункты, так как именно реестр дает четкое понимание, какие передачи в какие страны у вас ведутся.

2. Оценить необходимость продолжать трансграничную передачу ПДн.

Можем ли избавиться от процесса? Перейти на альтернативное решение? Поменять неадекватную страну на адекватную?

3. Вести учет импортеров и упорядочить взаимодействие с ними.

В связи с изменениями компаниям-операторам ПДн придется связываться со всеми импортерами и налаживать коммуникацию для получения от них необходимой информации, которую в случае чего будет нужно предоставлять в РКН.

4. Отслеживать разъяснения, практику, закладывать риски и ресурсы.

Первые запреты будут получены в марте-апреле 2023, тогда появится первая практика и понимание, что делать в подобных ситуациях: можно ли судиться с надзорным органом, подавать апелляции и т.д.

5. Собрать сведения о мерах защиты ПДн в странах импортеров.

Подразумеваются не средства технической защита, а именно меры защиты прав и интересов физлиц, чьи данные были переданы.

6. Не паниковать и преждевременно не менять бизнес-процессы.

Необходимо готовиться постепенно, общаться с экспертами, задавать вопросы в privacy-сообществах.

Если вы хотите разобраться во всех процессах подробнее — 19 сентября стартует курс «Data Protection Officer» от Б-152, где практикующие эксперты по защите ПДн будут показывать все инструменты и методики минимизации рисков, построения Data Mapping и т.д.

Подписывайтесь на Telegram-канал Б-152, чтобы оперативно получать информацию и разъяснения по всем законодательным изменениям в области Privacy.

С уважением, Максим Лагутин, основатель Б-152 и курса "Data Protection Officer", ведущий эксперт по защите персональных данных.

0
4 комментария
Artem Kuzmichev

Я так и не понял, как этот закон защищает мои персональные данные

Ответить
Развернуть ветку
Настя Keep Calm

Не ту статью вы для этого читали

Ответить
Развернуть ветку
Aleksei Novikov

Никак. Он для того, чтобы эти данные можно было, если что, вытрясти.

Ответить
Развернуть ветку
Б-152
Автор

РКН опубликовал формы:

▫️Уведомления об осуществлении трансграничной передачи ПДн: https://pd.rkn.gov.ru/cross-border-transmission/form/

▫️Уведомления о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных: https://pd.rkn.gov.ru/incidents/form/

Также РКН поделился, что станет с уведомлением об обработке ПДн: https://pd.rkn.gov.ru/operators-registry/notification/

Ответить
Развернуть ветку
Читать все 4 комментария
null