Юрист Московских объяснил тонкости новых поправок в закон о персональных данных

Что такое трансграничная передача персональных данных и какие риски она несет компаниям?

Трансграничная передача персональных данных (ТПД) – передача информации на территорию иностранного государства при одновременном соблюдении трех условий:

1. Передача ПД (передачей считается как целенаправленная отправка информации, так и предоставление доступа к ней);

2. С территории России на территорию иностранного государства;

3. Иностранному лицу (органу власти, физическому или юридическому лицу).

Если в бизнес-процессах вашей компании присутствуют эти аспекты, то можно смело говорить, что ваша организация осуществляет трансграничную передачу персональных данных.

В частности, ТПД признается:

1. Предоставление контактных данных сотрудников зарубежным контрагентам в рамках делового взаимодействия;

2. Открытие для граждан РФ банковских счетов, оформление страховых полисов за рубежом;

3. Бронирование зарубежных гостиниц и приобретение транспортных билетов у иностранных компаний при направлении сотрудников из РФ в заграничные поездки;

4. Размещение ПД персонала российской компании в глобальном корпоративном справочнике;

5. Использование зарубежных специализированных облачных платформ (Google Analytics, SAP, Workday, Salesforce и пр.)

Моя организация осуществляет ТПД. Какие действия необходимо совершить, чтобы учесть требования закона?

Во-первых, оператору персональных данных необходимо выяснить:

1. Какие персональные данные участвуют в трансграничной передаче;

2. В какие страны передаются персональные данные.

Полученную информацию целесообразно зафиксировать в реестре процессов обработки персональных данных.

Во-вторых, удостовериться, что для передачи данных имеются надлежащие правовые основания, исчерпывающий перечень которых определен в статье 6 ФЗ «О персональных данных».

В-третьих, определить, обеспечивают ли страны, в которые осуществляется передача персональных данных, адекватную защиту прав субъектов персональных данных.

Перечень таких стран определен Приказом Роскомнадзора от 05.08.2022 N 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных». Среди них, в частности, страны — члены Европейского союза, Япония, Канада, Австралия. Примечательно, что США в этом списке доверенных стран нет.

Если страна, в которую вы передаете ПД, не указана в списке Роскомнадзора как доверенная, то передача ПД в такую страну персональных данных недопустима до окончания рассмотрения Роскомнадзором уведомления о ТПД.

В-четвертых, самостоятельно провести оценку соблюдения получающей стороной конфиденциальности персональных данных, а также обеспечение безопасности при их обработке. Для этого оператору необходимо запросить:

1. Сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;

2. Информацию о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся получающая ПД сторона;

3. Сведения о получающей ПД стороне (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

Наконец, сформировать и направить в Роскомнадзор уведомление о трансграничной передаче персональных данных. Форма уведомления размещена на сайте Роскомнадзора.

Можно ли сделать вид, что ничего не произошло?

Нет, нельзя.

Трансграничная передача персональных данных является существенным аспектом работы с персональными данными, которому регулирующий орган уделяет особое внимание. Актуальность данного направления обусловлена, в числе прочего, необходимостью обеспечения безопасности данных граждан в текущей политической обстановке.

В случае несоблюдения требований организация-оператор ПД может быть привлечена к административной ответственности:

1. За ТПД без надлежащего правового основания – до 300 000 рублей (ч. 1 ст. 13.11 КоАП РФ)

2. Неуведомление Роскомнадзора о ТПД – до 5000 рублей (ст. 19.7 КоАП РФ)

3. Невыполнение предписания Роскомнадзора об устранении нарушений – до 20 000 рублей (ч. 1, ст. 19.5 КоАП РФ)

Важно отметить, что уведомление о ТПД должно быть направлено оператором до начала осуществления деятельности по трансграничной передаче персональных данных.

Помимо этого, не стоит забывать о еще одном нововведении, которое может появиться уже в этом году – президент России Владимир Путин поручил правительству до 1 июля 2023 года рассмотреть вопрос об установлении оборотных штрафов в отношении компаний, допускающих утечку персональных данных, а также усилить ответственность за их незаконный оборот.

Напомню: ранее Минцифры РФ подготовило законопроект о введении оборотных штрафов за утечку персональных данных пользователей – они могут составить до 3% от оборота компании, в случае если организация не обеспечивает безопасность данных.

Что это значит на практике – помимо того, что сама несанкционированная передача ПД является нарушением, отправка данных в страны вне доверенного списка может повлечь повышенный риск утечки. Высока вероятность, что в перспективе это будет грозить оборотным штрафом, который далеко не каждая организация способна перенести без серьезных последствий.

Опыт последних событий показал, насколько важна защита ПД, и ужесточение законодательства в интересах безопасности граждан – абсолютно понятная и логичная реакция государства, к которой необходимо быть готовым.

Таким образом, рекомендуем всем операторам ПД до 1 марта 2023 года определиться: продолжить передачу персональных данных в третьи страны, оценив потенциальные риски, либо отказаться от нее, оптимизировав свои бизнес-процессы.

Автор — юрист, эксперт образовательной платформы Moscow Digital School (входит в Ultimate Education)