Трансграничная передача персональных данных: изменения закона
С 1-го марта 2023 года вступают в силу последние поправки масштабной реформы трансграничной передачи персональных данных. Продолжаем делится рекомендациями для предпринимателей, которые подготовил Валерий Афонин и Егор Смородинов.
Больше информации для предпринимателей в IT в нашем ТГ канале
Что является трансграничной передачей персональных данных?
На данный момент трансграничной передачей персональных данных признается передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
При этом передачей является не только предоставление персональных данных третьим лицам, но и обеспечение доступа к ним.
Из этого следует, что трансграничной передачей будет являться, к примеру:
1. Отправка документов, содержащих персональные данные, по электронной почте лицу, находящемуся за пределами РФ;
2. Обработка или хранение персональных данных с использованием стороннего сервиса, базирующегося за рубежом;
3. Предоставление доступа к персональным данным, например на правах чтения, лицу, находящемуся за пределами РФ;
4. Хранение персональных данных на сервере, находящемся за рубежом.
Таким образом, если вы собираете данные клиентов, используя Google таблицы, храните данные на зарубежных облачных серверах, вы осуществляете трансграничную передачу персональных данных.
При трансграничной передаче персональных данных необходимо учитывать следующие моменты:
1. Необходимо получить согласие субъекта персональных данных на такую передачу.
2. Вид деятельности компании может быть исключен из-под нового регулирования .
3. Страна, на территорию которой осуществляется передача персональных данных, может не быть включена в «белый список» Роскомнадзора .
4. До 1-го марта 2023 г. нужно направить уведомление о трансграничной передаче персональных данных в Роскомнадзор;
Необходимо ли получать отдельное согласие субъекта на трансграничную передачу персональных данных?
На данный момент отдельное согласие субъекта персональных данных на трансграничную передачу требуется, если оператор передает персональные данные в страны, не обеспечивающие адекватную защиту прав субъектов персональных данных, однако с 1-го марта для такой передачи будет нужно получить разрешение Роскомнадзора, а нормы о получении согласия утратят силу.
Однако это не значит, что субъект персональных данных не должен быть информирован о трансграничной передаче. В согласии на обработку персональных данных всё ещё необходимо указывать, что персональные данные будут передаваться третьим лицам в другие страны.
Если на деятельность компании не распространяется новое регулирование, меняется ли что-то для них?
Постановлением Правительства РФ утвержден перечень случаев, при которых новые требования на операторов не распространяются. К таким случаям, к примеру, относится обеспечение международной телефонной связи, реализация мероприятий в сфере науки, культуры и образования, обеспечение воздушных и морских международных перевозок. Данный перечень поделен на два раздела. Если деятельность компании включена в первый раздел перечня, то компании не требуется подавать в Роскомнадзор уведомление о трансграничной передаче, собирать от контрагентов сведения, предусмотренные ч. 5 ст. 12 ФЗ «О персональных данных», при этом Роскомнадзор не сможет запретить такую передачу по результату рассмотрения уведомления .Если же деятельность компании включена во второй раздел, то подать уведомление и составить оценку по ч. 5 ст. 12 ФЗ «О персональных данных» нужно, но Роскомнадзор не будет вправе запретить такую трансграничную передачу по результату рассмотрения уведомления.Однако, Роскомнадзор всё ещё будет вправе запретить или ограничить передачу в целях защиты конституционного строя, обеспечения обороны страны и на других основаниях, предусмотренных законом . Такой запрет будет носить «общий», а не «частный» характер.
Какая информация необходима для подачи уведомления в Роскомнадзор?
Кроме стандартных данных, идентифицирующих оператора персональных данных и описывающих цели и основания трансграничной передачи, категории и перечень передаваемых данных, категории субъектов, в уведомлении необходимо также указать перечень иностранных государств, на территорию которых передаются персональные данные, а также дату проведения оператором оценки своих контрагентов на предмет обеспечения ими конфиденциальности и безопасности персональных данных при их обработке.
Образец заполнения уведомления представлен на сайте Роскомнадзора .
Оценка должна содержать сведения о контрагентах, о принимаемых ими мерах по защите персональных данных и условиях прекращения их обработки. Такую оценку нужно дополнить информацией о правовом регулировании в области персональных данных в стране, под юрисдикцией которой находятся контрагенты, если такая страна не включена в «белый список» Роскомнадзора.
Что нужно учитывать при трансграничной передаче персональных данных в страну не из «белого списка» Роскомнадзора?
До направления в Роскомнадзор уведомления нужно запросить у контрагентов помимо сведений о контрагентах, мерах по защите персональных данных и условиях их уничтожения также информацию о действующем законодательстве в области персональных данных .
Кроме того, если передача персональных данных в страны из «белого списка» является законной с момента направления в Роскомнадзор уведомления о такой передаче, операторы, отправляющие персональные данные в иные правопорядки, обязаны дождаться решения Роскомнадзора .
Исключением в данном случае является передача персональных данных для жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц.
Когда нужно подавать новое уведомление в Роскомнадзор о трансграничной передаче?
Если вы осуществляете трансграничную передачу персональных данных с 1-го сентября 2022 года, вы обязаны подать уведомление об этом в Роскомнадзор до 1-го марта 2023 года . При этом новые уведомления подаются в Роскомнадзор только при изменении списка стран, в которые передаются персональные данные, уведомлять Роскомнадзор по каждому факту трансграничной передачи или в случае изменения числа контрагентов не требуется.
В какой форме возможно подать уведомление по новым правилам?
На данный момент единственным способом подачи уведомления о трансграничной передаче персональных данных является заполнение электронной формы на сайте РКН с предварительной аутентификацией через Госуслуги. При заполнении формы таким способом отправка копии в бумажном виде не требуется.
Если мы заполняем опросник для иностранной компании и там необходимо указать ФИО и должность руководителя это тоже будет являться трансграничной передачей? Даже не смотря на то что это общедоступные перс данные так как официально доступны в выписке из ЕГРЮЛ?
Случайно наткнулся на статью и ваш вопрос, вот что думаю:
Данные в ЕГРЮЛ – общедоступные, это подтверждается Письмом ФНС России от 09.09.2019 № ПА-4-6/18073@. При этом такие данные были даны директором, очевидно, с его согласия.
Тем не менее когда вы передаете данные о директоре, то в качестве оператора данных выступаете вы, а не ФНС, поэтому я бы относил такую ситуацию к трансграничной передаче. Оговорюсь, конечно, что это я так вижу, и, если погрузиться в проблему подробнее, то можно найти другой ответ.
Я разговаривал с 3я разными отделениями РКН в двух сказали что это трансграничная передача и в одном что нет. Отправили запрос в РКН посмотрим что ответят.
Да, это самый надёжный вариант.