Новое в законах

30 января 2024

Как уведомить о трансграничной передаче персональных данных в 2024 году

30 января 2024

Если вы работаете с иностранными партнёрами или пользуетесь иностранным сервисом, обрабатывающим персональные данные, об этом нужно сообщать Роскомнадзору. Использование Google Analytics Роскомнадзор тоже относит к трансграничной передаче. Новые правила касаются даже малого бизнеса, включая ИП и самозанятых. Рассказываем, почему это обязательно и как отправить уведомление «о намерении осуществлять трансграничную передачу персональных данных».

Что такое трансграничная передача персональных данных

Это передача персональных данных за границу органу власти иностранного государства, иностранной компании или иностранному физическому лицу (п. 11 ст. 3 закона о персональных данных). Как только вы передаете персональные данные за границу, считается, что вы занимаетесь трансграничной передачей персональных данных. Значит, нужно направить уведомление в Роскомнадзор. Причем это нужно сделать еще до начала передачи таких данных.


Персональными данными могут быть, к примеру:


  • ФИО и номер телефона;
  • паспортные данные;
  • cookies — с их помощью записывается информация о пользователе: во сколько он заходил на сайт, с какого устройства и т. д. Несмотря на то, что с помощью cookies нельзя прямо определить конкретного пользователя (например, его ФИО), Роскомнадзор считает их персональными данными.

В каких случаях нужно уведомлять о трансграничной передаче

Вот несколько примеров, когда передача данных считается трансграничной и нужно уведомлять об этом Роскомнадзор:


  • вы используете Google Analytics или другие иностранные сервисы, например, для отправления рассылок, иностранные CRM-системы для ведения клиентских баз, облачные сервисы (Google Cloud Platform), Google Docs;
  • вы отправляете в иностранный отель паспортные данные работников для бронирования;
  • вы передаете данные работников для открытия банковского счета в другой стране;
  • вы храните персональные данные на сервере, который находится за рубежом.


Когда не нужно отправлять уведомление:


  • ваш работник находится за границей и обрабатывает персональные данные для исполнения своих должностных обязанностей;
  • вы передаете персональные данные представительству иностранной компании, которое находится в России;
  • вы передаете персональные данные своему зарубежному представительству.


Уведомление должны отправлять как компании, так и ИП, самозанятые и другие операторы.

Узнать больше о том, что нужно для того, чтобы минимизировать риски, связанные с обработкой персональных данных, вы можете по ссылке, а здесь можно прочитать, как Сбер обрабатывает и защищает персональные данные своих клиентов.

ЧИТАЙТЕ ТАКЖЕ

Как собирать персональные данные, чтобы не пришел Роскомнадзор

placeholder

Подробнее ➔

Нужно ли еще что-то делать, кроме отправки уведомления

Да, перед тем как отправить уведомление в Роскомнадзор, нужно получить определенную информацию у иностранного лица, которому вы передаете данные. Перечень такой информации зависит от конкретной страны. Так, иностранные государства, в которые вы передаете персональные данные, подразделяют на те, которые:


  • обеспечивают адекватную защиту прав субъектов персональных данных («адекватные страны»);
  • не обеспечивают адекватную защиту прав субъектов персональных данных («неадекватные страны»).


Если вы передаете персональные данные в «адекватную страну», то нужно получить у принимающего иностранного лица информацию:


  • о принимаемых мерах по защите передаваемых персональных данных;
  • об условиях прекращения их обработки;
  • контакты — наименование либо ФИО, номера контактных телефонов, почтовые адреса и адреса электронной почты.


Если вы собираетесь передавать персональные данные в «неадекватную страну», то помимо вышеуказанной информации нужно еще получить сведения о правовом регулировании в области персональных данных иностранного государства (п. 2 ч. 5 ст. 12 закона о персональных данных).


Предоставлять всю эту информацию в Роскомнадзор не нужно. Но ведомство может запросить ее позже.

Как понять, какая страна относится к «адекватным», а какая — к «неадекватным»

К «адекватным странам», то есть странам, которые обеспечивают адекватную защиту персональных данных, относятся те, которые указаны в Приказе Роскомнадзора от 05.08.2022 № 128. Например, это Китай, Швейцария, Индия, Сингапур.


Все остальные страны, которые не указаны в этом приказе, считаются «неадекватными». Например, США.


Может ли Роскомнадзор запретить передачу данных

Да, может.


При рассмотрении вашего уведомления Роскомнадзор может запретить или ограничить передачу, если увидит риски нарушения прав граждан (на жизнь, здоровье, защиту нравственных ценностей и другие) или подрыва конституционного строя РФ, государственной безопасности.


Например, он может вынести запрет, если иностранное лицо, которому планируется передача персональных данных, не принимает меры по защите передаваемых персональных данных, а также не определило условия прекращения их обработки. Или если иностранное лицо включено в перечень организаций, деятельность которых нежелательна в России.


Кроме того, в ряде случаев Роскомнадзор может ограничить или запретить трансграничную передачу по представлению уполномоченных органов (например, ФСБ — в целях защиты основ конституционного строя и безопасности).


Оператор может, в свою очередь, обжаловать решение Роскомнадзора о запрещении или об ограничении трансграничной передачи персональных данных в судебном порядке или вышестоящему должностному лицу Роскомнадзора. Жалоба может быть подана в течение одного месяца с даты получения решения. Рассмотреть ее ведомство обязано в течение 10 рабочих дней с даты ее регистрации. Решение по результатам рассмотрения жалобы может быть обжаловано в судебном порядке.

Как подать уведомление в Роскомнадзор

placeholder

Уведомление о намерении осуществлять трансграничную передачу данных можно подать в электронном виде на сайте Роскомнадзора. Для этого понадобится подтвержденная учетная запись на «Госуслугах». Если за компанию уведомление подает работник, его учетная запись должна быть привязана к организации.Там же размещен образец заполнения. Отправлять это уведомление еще и в бумажном виде не нужно.


Если у вас нет возможности подать уведомление в электронном виде, то это можно сделать в бумажном виде. Вы вправе отправить его по почте или привезти лично в Роскомнадзор.


Достаточно подать одно уведомление с указанием всех стран, куда собираетесь передавать персональные данные. При этом информацию о правовом основании, категориях и перечне персональных данных, странах, дате проведения оценки нужно предоставить по каждой цели обработки.


Если до 1 марта 2023 года вы уже подавали уведомление о трансграничной передаче данных, то повторно его отправлять не нужно (если ничего не менялось). Проверить, было ли уже такое уведомление, можно здесь.


Еще один момент — в форме уведомления есть вопрос, включены ли вы в реестр операторов, то есть отправляли ли вы ранее уведомление об обработке персональных данных. Если нет, то сначала отправьте в Роскомнадзор уведомление об обработке персональных данных. Для этого нужно заполнить специальную форму, где необходимо указать данные о компании и описать, как у вас выполняются требования по обработке и защите персональной информации. После включения в реестр операторов нужно уже направить уведомление о намерении осуществлять трансграничную передачу данных.

Что грозит за неподачу уведомления о трансграничной передаче персональных данных

Пока отдельной статьи за это нарушение не предусмотрено. Штраф возможен поч. 1 ст. 13.11 КоАП РФ за трансграничную передачу данных в нарушение законодательства — 60–100 тыс. руб. для юридических лиц. Также Роскомнадзор может вынести предупреждение или оштрафовать по ст. 19.7 КоАП РФ за неподачу уведомления — от 3 тыс. до 5 тыс. руб. для юридических лиц.

Чек-лист при передаче данных за границу


  1. Проверьте, подавали ли вы уведомление об обработке персональных данных. Если нет, то отправьте сначала его.
  2. Определитесь, нужна ли вам передача именно за границу или является ли ваша передача трансграничной по смыслу закона.
  3. Определитесь, зачем вам это нужно (определите цель).
  4. Определите, что и кому хотите передать.
  5. Убедитесь, что у вас есть основание для трансграничной передачи. Основанием может быть согласие, договор с субъектом персональных данных, закон и т. д. Полный перечень оснований перечислен в ч. 1 ст. 6 закона о персональных данных.
  6. Определите, в какую страну вы передаете данные и проверьте, обеспечивает ли она адекватную защиту прав субъектов персональных данных.
  7. Получите у иностранного лица, которому передаете персональные данные, необходимую информацию:
    о мерах по защите персональных данных;
    об условиях прекращения обработки персональных данных;
    контакты;
    о правовом регулировании в области персональных данных иностранного государства (если передача в «неадекватную страну»).
  8. Заполните и подайте уведомление о намерении осуществлять трансграничную передачу персональных данных. Если передаете данные в «неадекватную страну», то подождите 10 рабочих дней и только после этого передавайте данные за границу. Срок может быть увеличен в случае запроса Роскомнадзора. Если персональные данные отправляете в «адекватную страну», то ничего ждать не нужно.

ЧИТАЙТЕ ТАКЖЕ

Чек-лист по защите данных: что делать, если у вас нет IT-отдела

placeholder

Подробнее ➔