Не успел российский бизнес адаптироваться к сентябрьским изменениям в ФЗ-152 «О персональных данных», как незаметно подошла очередь для вступления в силу второго блока поправок в регулирование обработки персональных данных граждан России.
Мартовские изменения в больше степени затрагивают вопросы трансграничной передачи персональных данных.
В настоящей статье мы разберем:
- Что такое трансграничная передача персональных данных?
- Какие новые требования к бизнесу предъявляются с 01 марта 2023 года?
- Может ли оператор персональных данных проигнорировать новые требования законодательства?
Что такое трансграничная передача персональных данных?
Трансграничной передачей персональных данных (ТПД) считается передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Исходя из вышеуказанного определения можно заключить, что ТПД – это одновременное соблюдение трех условий:
- Передача персональных данных (важно понимать, что передачей, помимо целенаправленной отправки информации, считается также предоставление доступа к такой информации);
- С территории России на территорию иностранного государства;
Иностранному лицу (органу власти, физическому или юридическому лицу).
Если в бизнес процессах вашей компании присутствуют вышеперечисленные аспекты – ваша организация осуществляет трансграничную передачу персональных данных.
В частности, ТПД признается:
Предоставление контактных данных сотрудников зарубежным контрагентам в рамках делового взаимодействия;
Открытие для граждан РФ банковских счетов, оформление страховых полисов за рубежом;
Размещение ПД персонала российской компании в глобальном корпоративном справочнике;
Бронирование зарубежных гостиниц и приобретение транспортных билетов у иностранных компаний при направлении сотрудников из РФ в заграничные поездки
- Использование зарубежных специализированных облачных платформ (Google Analytics, SAP, Workday, Salesforce и пр.)
Моя организация осуществляет ТПД. Какие действия необходимо совершить, чтобы учесть требования закона?
Во-первых, оператору персональных необходимо выяснить:
Какие персональные данные участвуют в трансграничной передаче;
- В какие страны передаются персональные данные.
Полученную информацию целесообразно зафиксировать в реестре процессов обработки персональных данных.
Во-вторых, удостовериться, что для передачи данных имеются надлежащие правовые основания, исчерпывающий перечень которых определен в статье 6 ФЗ "О персональных данных".
В-третьих, определить обеспечивают ли страны, в которые осуществляется передача персональных данных, адекватную защиту прав субъектов персональных данных.
Перечень таких стран определен Приказом Роскомнадзора от 05.08.2022 N 128 "Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных".
Так, если страна, в которую вы передаете ПД, не указана в списке Роскомнадзора как "доверенная", то передача ПД в такую страну персональных данных недопустима до окончания рассмотрения Роскомнадзором уведомления о ТПД.
В – четвертых, самостоятельно провести оценку соблюдения получающей стороной конфиденциальности персональных данных, а также обеспечение безопасности при их обработке. Для этого оператору необходимо запросить
Сведения о получающей ПД стороне (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).
Сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
Информация о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся получающая ПД сторона;
Наконец, сформировать и направить в Роскомнадзор уведомление о трансграничной передаче персональных данных. Форма уведомления размещена на сайте Роскомнадзора.
Можно ли сделать вид, что ничего не произошло?
Нет, нельзя.
Трансграничная передача персональных данных является существенным аспектом работы с персональными данными, которому регулирующий орган уделяет особое внимание. Актуальность данного направления обусловлена, в числе прочего, необходимостью обеспечения безопасности данных граждан в текущей политической обстановке.
В случае несоблюдения требований организация-оператор ПД может быть привлечена к административной ответственности:
За ТПД без надлежащего правового основания – до 300 000 рублей (ч. 1 ст. 13.11 КоАП РФ)
Неуведомление Роскомнадзора о ТПД – до 5 000 рублей (ст. 19.7 КоАП РФ)
- Невыполнение предписания Роскомнадзора об устранении нарушений – до 20 000 рублей (ч. 1, ст. 19.5 КоАП РФ)
Важно отметить, что уведомление о ТПД должно быть направлено Оператором до начала осуществления деятельности по трансграничной передаче персональных данных.
Таким образом, законодатель предлагает всем операторам ПД до 01 марта 2023 определиться: продолжить передачу персональных данных в третьи страны, оценив потенциальные риски, либо отказаться такой передачи, оптимизировав свои бизнес процессы.
Спасибо за полезную статью. Все очень понятно написано и с юмором, а так всегда приятнее читать о серьезных вещах)