1 сентября 2022 года, а также 1 марта вступили в силу поправки в 152-ФЗ, которые меняют многие важные процессы работы кадровой службы в части обработки персональных данных. Поправки вносят значительные изменения в условия трансграничной передачи данных, в том числе обязанность компании уведомлять о ней Роскомнадзор. Подробнее рассказал Никита Володин, консультант по защите персональных данных компании Б-152.
Какие действия относятся к трансграничной передаче
Трансграничная передача данных предполагает одновременное выполнение трех обязательных условий, а именно:
- оператор передает персональные данные, то есть поправки не касаются данных, не относящихся к персональным;
- персональные данные передаются иностранному физическому лицу, юридическому лицу или органу власти другого государства, и
- это лицо или орган находится на территории иностранного государства.
Если организация передает сведения своему сотруднику, который находится за границей, это не будет считаться трансграничной передачей, так как в данном случае не будет выполняться одно из указанных выше требований, а именно требование о передаче именно иностранному физическому лицу.
Как уведомить Роскомнадзор
Новый порядок трансграничной передачи обязывает компании заранее уведомлять Роскомнадзор о намерении передать ПДн третьим лицам за границу. Для этого разработана специальная форма, в которой нужно ответить на несколько вопросов:
- Куда вы отправляете сведения (в какие страны)
- С какой целью
- Кто назначен ответственным за обработку данных в вашей компании
- Какие именно данные вы передаете
- Данные какой категории субъектов передаете (например работники, клиенты, соискатели и т.д.)
Дополнительно нужно указать дату проведения оценки безопасности передачи персональных данных в указанные в уведомлении страну/страны.
Для проведения оценки от импортера тоже необходимо получить некоторые сведения. Нужно указать, какие меры им принимаются для защиты персональных данных, каково правовое регулирование на территории государства импортера (в случае передачи на территорию стран, не обеспечивающих адекватную защиту – тех, которые не указаны в Приказе РКН №128), а также непосредственно контактные данные импортера (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты). Сложность этой процедуры может возникнуть в части предоставления импортером документов, подтверждающих принятие мер, направленных на обеспечение безопасности и конфиденциальности обрабатываемых данных, а также юридического заключения о нормативном регулировании обработки персональных данных в “неадекватной” стране.
Уведомление может подаваться на бумажном или электронном носителе. В случае, если передача осуществляется в “неадекватные” страны, заявителю необходимо ожидать 10 рабочих дней (и на это время оператору запрещено осуществлять трансграничную передачу в такую страну), и только лишь после получения «молчаливого согласия» со стороны Роскомнадзора (т.е. надзорный орган рассмотрел уведомление (статус уведомления можно проверить на официальном сайте РКН) и не отреагировал на него) оператор может продолжить осуществлять передачу. РКН может запретить или ограничить такую передачу оператору, либо продлить срок рассмотрения уведомления на 5 рабочих дней при необходимости дополнительных запросов. В случае с “адекватными” странами такую процедуру можно не проходить: сразу после уведомления данные можно передавать.
В некоторых случаях Роскомнадзор может запретить или ограничить передачу персональных данных граждан России за рубеж. Тогда компания обязана обеспечить уничтожение ПДн импортером, если данные уже были переданы.
Подавать уведомления нужно только один раз, с указанием всех стран и целей, с которыми осуществляется трансграничная передача. В случае, если меняется перечень стран и/или целей трансграничной передачи – компании необходимо будет подать новое уведомление.
Форма уведомления уже опубликована на сайте Роскомнадзора
Ответственность за нарушение требований
В случае, если передача ПДн в другую страну запрещена или ограничена РКН, но компания продолжает передавать данные партнерам в этой стране, это расценивается как обработка ПДн в случаях, не предусмотренных законодательством. В соответствии с ч.1 ст.13.11 КоАП РФ организации может грозить штраф в размере от 60 до 100 тысяч рублей.
В случае, если оператор просто не уведомил РКН оператор может быть оштрафован на сумму от 3 до 5 тыс. рублей в соответствии со ст. 19.7 КоАП.
Россия входит в Топ-10 стран мира по уровню компетенций в сфере технологий и науки о данных
Что делать в случае запрета или ограничения на трансграничную передачу
При работе с персональными данными необходимо четко понимать, какие сведения и в какие страны вы передаете. Поэтому стоит вести реестр бизнес-процессов организации, в рамках которых обрабатываются ПДн.
Проверьте, нет ли среди ваших партнеров третьих лиц из “неадекватных” стран (тех, что не входят в список “адекватных”, представленный Роскомнадзором) для того чтобы правильно выстроить процедуру уведомления РКН.
Следует наладить коммуникацию с партнерами и постараться получить от них необходимые для уведомления и оценки безопасности сведения, в том числе информацию о мерах защиты безопасности и конфиденциальности персональных данных субъектов ПДн.
Также рекомендуем следить за практикой других компаний, а также перечнем стран, в отношении которых РКН запретил или ограничил трансграничную передачу персональных данных. Это поможет выстроить бизнес-процессы без правильно и без неожиданностей.
Опасные ошибки в персональных данных, которые может найти Роскомнадзор
Подведем итоги
Новый порядок трансграничной передачи данных начал действовать недавно, поэтому практика по этому вопросу еще не успела в полной мере сформироваться. Но это не значит, что можно игнорировать требования Роскомнадзора. Подавать уведомления в случае намерения осуществлять трансграничную передачу нужно обязательно, собрав предварительно всю необходимую информацию.
Чтобы облегчить себе задачу, рекомендуем вести реестр бизнес-процессов, в рамках которых обрабатываются персональные данные. Также запрашивайте информацию о предпринимаемых вашими иностранными партнерами мерах по обеспечению безопасности и конфиденциальности персональных данных, это облегчит проведение вами оценки безопасности трансграничной передачи.

