Как уведомить Роскомнадзор о трансграничной передаче данных

31 января 2023 19 628 12

Операторы персональных данных, которые отправляют личную информацию граждан на территорию другого государства, осуществляют трансграничную передачу персональных данных. Они должны уведомить об этом Роскомнадзор не позднее 1 марта 2023 года. Разбираем в статье, какие еще есть требования к передаче персональных данных за границу, и как правильно направить уведомление.

Что говорит закон

Трансграничная передача персональных данных (ТППД) — это передача личной информации гражданина на территорию иностранного государства органу власти иностранного государства, иностранному юрлицу или физлицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

По определению к ней не относится обмен кадровой информацией российской компании со своим представительством за рубежом или обработка сведений о российском гражданине на территории России иностранной компанией. Здесь не соблюдаются одновременно два условия: передача иностранцу в другую страну.

А вот отправка списка российских граждан в турецкий отель для бронирования номеров уже будет трансграничной передачей персональных данных. Другой пример. Самозанятый дизайнер принял от российской компании заказ на изготовление визиток. Но решил перепоручить эту работу студенту из Узбекистана и отправил ему персональные данные (ПД) сотрудников заказчика. Это тоже трансграничная передача.

Оператор персональных данных и иностранец несут ответственность перед российским гражданином за сохранность ПД при передаче ПД иностранному юридическому или физическому лицу (ч. 6 ст. 6 Закона № 152-ФЗ). Это одно из отличий ТППД. Если оператор поручает обработку персональных данных российскому юрлицу или гражданину, то ответственность перед субъектом ПД он несет единолично.

На каких условиях разрешено передавать персональные данные за границу

Закон № 152-ФЗ делит все иностранные государства на две категории.

  1. Страны, обеспечивающие адекватную защиту прав субъектов ПД («адекватные страны»). К ним относятся стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и прочие государства, входящие в утвержденный Роскомнадзором список (Конвенция от 28.01.81; приказ Роскомнадзора от 05.08.2022 № 128 — действует с 1 марта 2023 года; приказ Роскомнадзора от 15.03.2013 № 274 — действует до 1 марта 2023 года). Например, это Грузия, Азербайджан, Турция, Казахстан, Беларусь, КНР. 
  2. Страны, не обеспечивающие адекватную защиту прав субъекта ПД («неадекватные страны»). К ним относятся все государства, которых нет в перечисленных выше списках Роскомнадзора. Например, ЦАР.

До 1 марта 2023 года в «адекватные страны» можно свободно передавать ПД, при условии соблюдения Закона № 152-ФЗ. Но субъект персональных данных имеет право знать, что оператор поручает кому-то обработку его личной информации (п. 8 ч. 7 ст. 14 Закона № 152-ФЗ).

Трансграничная передача в «неадекватные страны» возможна только при выполнении одного из условий:

  • с письменного согласия субъекта ПД;
  • в случаях, предусмотренных международными договорами Российской Федерации;
  • если это необходимо по закону для обеспечения конституционного строя, обороны и безопасности страны, транспортной защиты;
  • для исполнения условий договора с субъектом ПД;
  • для защиты жизни, здоровья, интересов самого гражданина и других лиц, когда невозможно получить письменное согласие на ТППД.

Этот список закрытый. Он перечисляет все возможные случаи, когда в другую страну можно передать личную информацию гражданина без гарантии соблюдения его прав (ч. 4 ст. 12 Закона № 152-ФЗ).

С 1 марта 2023 года начинает действовать новая редакция статьи 12 про ТППД в Законе № 152-ФЗ (п. 7 ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ). Основным условием для передачи личной информации российских граждан в другую страну становится уведомление Роскомнадзора. Его нужно подать до начала осуществления такой деятельности.

Операторы, которые уже передают персональные данные в другие страны, например, турагенты, и планируют продолжать это делать после вступления в силу новой редакции статьи 12, должны уведомить Роскомнадзор до 1 марта 2023 года (п. 5 ст. 6 Закона № 266-ФЗ). Это можно сделать на официальном Портале персональных данных

Как составить и подать уведомление об осуществлении ТППД

Мы составили примерный алгоритм действий оператора с пояснениями.

Шаг 1. Провести оценку соблюдения иностранным контрагентом, которому будут передаваться ПД, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке. Новая редакция статьи 12 Закона № 152-ФЗ не содержит подробной информации, как это сделать. Указаны только сведения, которые оператор должен запросить у иностранца:

  • меры по защите передаваемой личной информации российских граждан и условия прекращения ее обработки;
  • правовое регулирование в области защиты персональных данных государства-адресата, если это «неадекватная страна»;
  • информация об иностранном лице, которому передаются ПД — наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса E-mail.

Шаг 2. Заполнить форму уведомления на официальном Портале персональных данных по адресу: https://pd.rkn.gov.ru/cross-border-transmission/form/.

Чтобы подать данные в электронном виде, потребуется подтвержденная учетная запись на Госуслугах. Для организации она должна быть привязана к этой организации. Бумажный носитель направлять не нужно.

Если оператор личный кабинет на Госуслугах не завел, то можно скачать образец готового уведомления с Портала Роскомнадзора и на его основании сделать свой документ. Заполненная форма распечатывается, подписывается руководителем и направляется по почте (ч. 4 ст. 12 Закона № 152-ФЗ в редакции Закона № 266-ФЗ). Роскомнадзор в письме от 09.11.2022 № 08ВМ-98928 допустил применение для подготовки уведомления правил в 266-ФЗ, не вступивших в силу.

Некоторые пояснения по заполнению уведомления 

  1. Адрес, где размещена форма — https://pd.rkn.gov.ru/cross-border-transmission/form/.
  2. РОПД — это реестр операторов персональных данных.
  3. Цели трансграничной передачи — это та деятельность, для которой нужно отправить личную информацию за границу. Они должны соответствовать уставной деятельности оператора или требованиям законов. Например, целью можно указать «бронирование отеля для выполнения условий договора об оказании туристических услуг».
  4. Правовое основание ТППД — это либо письменное согласие субъекта ПД, либо установленные Законом случаи. При заполнении формы на Госуслугах предлагается выбрать вариант из списка.
  5. Дата окончания проведения оценки. Указывается конкретное число, когда у оператора уже есть сведения от иностранного лица, предусмотренные ст. 12 Закона № 152-ФЗ в редакции Закона № 266-ФЗ. Дата уведомления не может быть раньше даты оценки.

После отправки уведомления до 1 марта 2023 года оператор свои обязанности выполнил. Он может продолжать осуществлять трансграничную передачу персональных данных, не дожидаясь реакции Роскомнадзора. Дополнительные требования по действиям ведомства после получения уведомления вступят в силу только 1 марта 2023 года.

Роскомнадзор в письме от 09.11.2022 № 08ВМ-98928 указал, что 266-ФЗ не предусматривает запреты или ограничения на ТППД со стороны Роскомнадзора по уведомлениям, отправленным до 01.03.2023. 

Сколько уведомлений нужно подать

Роскомнадзор в уже упомянутом письме № 08ВМ-98928 указал, что оператор может заполнить столько форм, сколько считает нужным. Ограничений на количество и частоту уведомлений о ТППД не установлено.

Какие могут быть варианты:

  • подать одно уведомление на все цели трансграничной передачи и все страны, с которыми контактирует оператор — форма позволяет это сделать;
  • заполнить бланк отдельно на каждую цель или каждое государство.

До 1 марта 2023 года оператор подает уведомление об осуществлении ТППД. То есть оно касается тех, кто уже работает с иностранными контрагентами и направляет им какую-то личную информацию граждан. Если у оператора что-то изменится после 1 марта 2023 года, например, в списке стран или целей, он подает уже уведомление о намерении осуществлять ТПДД. Его формы на Портале Роскомнадзора пока нет, но требования к содержанию указаны в ч. 4 ст. 12 Закона № 152-ФЗ в редакции 266-ФЗ.

Когда могут запретить трансграничную передачу ПД

Правила об ограничении ТППД заработают с 1 марта 2023 года (ст. 12 Закона № 152-ФЗ в редакции 266-ФЗ). 

Во-первых, Роскомнадзор может запретить или ограничить трансграничную передачу по результатам рассмотрения уведомления о намерении осуществлять ТППД (ч. 8 ст. 12 Закона № 152-ФЗ в редакции 266-ФЗ). На принятие такого решения у него есть 10 рабочих дней. 

Роскомнадзор при проверке уведомлений может запросить все сведения об оценке соблюдения иностранным контрагентом, которому будут передаваться ПД, мер по защите ПД при их обработке, поэтому лучше документировать и сохранять всю переписку с зарубежным контрагентом. Оператор должен будет передать информацию в ведомство в течение 10 рабочих дней. Срок можно продлить по уважительной причине не более чем на пять рабочих дней. Пока Роскомнадзор не получит от оператора всю запрашиваемую информацию, он приостанавливает проверку уведомления.

Важно! Оператор может осуществлять ТППД в «адекватные страны» уже после отправки уведомления. Ответа Роскомнадзора дожидаться необязательно (ч. 10 ст. 12 Закона № 152-ФЗ в редакции 266-ФЗ). По «неадекватным странам» нужно будет получить результаты рассмотрения уведомления. Если Роскомнадзор не разрешит ТППД в такие государства или для этого оператора, то осуществлять трансграничную передачу нельзя.

Во-вторых, Роскомнадзор может запретить или ограничить ТППД по представлению уполномоченных органов власти, например, МВД, Минобороны, ФСБ. Такое решение принимается в целях защиты интересов РФ, ее граждан, обеспечения суверенитета и государственной безопасности (ч. 12 ст. 12 Закона № 152-ФЗ в редакции 266-ФЗ).

Правила ввода запретов по представлению уполномоченных органов власти утверждены Постановлением Правительства РФ от 10.01.2023 № 6. Они начнут действовать с 1 марта 2023 года.

extern

Все важное под контролем

Контролируйте сроки отчётности и платежей в Экстерне

Как теперь работать с иностранными контрагентами

Тенденция в законодательстве о защите персональных данных последних лет — ужесточение требований, особенно, к передаче ПД за границу. Позволим себе дать несколько советов тем операторам, кто работает с иностранцами.

  1. Составьте реестр всех случаев ТППД и поддерживайте его в рабочем состоянии. Заведите досье на каждого зарубежного контрагента, в котором храните сведения по ч. 5 ст. 12 Закона № 152-ФЗ в редакции 266-ФЗ. Это пригодится для оперативного ответа на вопросы Роскомнадзора.
  2. Если контрагент отказывается давать какую-то информацию, оцените варианты разрыва отношений с ним. Есть вероятность, что Роскомнадзор может ограничить передачу ПД такому лицу. В первую очередь, это касается партнеров из «неадекватных стран».
  3. Отслеживайте изменения в законодательстве и появление разъяснений Роскомнадзора. Новые правила трансграничной передачи действуют с 1 марта 2023 года, поэтому практика пока не наработана.

Следите за публикациями в нашем Журнале.

Главное на почту — и памятка по расчету выплат, налогов и взносов в подарок
Подписаться
Подписываясь, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от группы компаний СКБ Контур.
Главное на почту — и памятка по расчету выплат, налогов и взносов в подарок
Подписаться
Подписываясь, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от группы компаний СКБ Контур.

Статьи по теме

Все статьи
12 комментариев
М
Добрый день. Спасибо автору за статью. Непростая тема раскрыта понятно и просто.
Возник вопрос по заполнению уведомления, буду признательна за пояснения.
В разделе статьи "Некоторые советы по заполнению уведомления" указано, что дата оценки не должна быть раньше даты подачи уведомления. Как я понимаю, это касается случаев отправки уведомления после 01.03.2023, т.е. по новым правилам, и связано это с тем, что оператор в принципе не может передать ПД до подачи уведомления, соответственно, не может и оценить соблюдение иностранным лицом конфиденциальности переданных ПД.
А как быть в случае направления уведомления о ТППД до 01.03.2023, т.е. когда оператор уже осуществляет ТППД ? Допустим, заключен контракт 01.02.2021 г., в рамках которого передаются ПД работника. ПД передаются в страну, обеспечивающую адекватную защиту согласно списку Роскомнадзора. В редакции ст. 12 ФЗ до внесения изменений указано, что до передачи ПД оператор обязан убедиться в том, что иностранным государством обеспечивается адекватная защита ПД. Достаточно ли в таком случае просто убедиться, что ПД передаются в страну с адекватной защитой ПД и указать дату оценки - дату заключения контракта или до него. Или же тут следует руководствоваться иным принципом и какую дату в данном случае указывать, как Вы считаете ?
https://kontur.ru/extern
Наталья Пискарева 10 февраля
Мария, здравствуйте! Вы правильно поняли, что до 1 марта 2023 года у оператора ПД нет обязанности проводить оценку по новой редакции ст. 12 Закона № 152-ФЗ. Достаточно убедиться, что страна входит в список «адекватных». Полагаю, Вы можете указать датой окончания оценки дату заключения контракта.
Но мой совет — запросить у иностранного контрагента список мер по защите ПД. Например, кто из его сотрудников имеет доступ к этой информации; как она хранится и т.п. На заполнение уведомления об осуществлении ТППД это не повлияет. Эта информация в любом случае Вам понадобится после 1 марта 2023 года, если Вы решите расширить перечень передаваемых ПД или целей и будете формировать уведомление о намерении осуществлять ТППД.
Е
Екатерина 14 февраля
Здравствуйте, размещение информации (ФИО должность телефон менеджера по продажам) на сайте может являться трансграничной передачей данных?
https://kontur.ru/extern
Наталья Пискарева 14 февраля
Екатерина, здравствуйте! Вы дали мало вводных для ответа. Неизвестно, кто владелец сайта и в какой стране. Одно можно сказать точно — размещение на сайте данных менеджера является распространением ПД. На него нужно оформлять отдельное согласие субъекта.
Также обратите внимание, что ответы редакции «Контур» — это частное мнение. Официальную позицию Вы можете узнать в территориальном отделении Роскомнадзора.
Ю
Здравствуйте. Наталья, спасибо за статью. Подскажите, пожалуйста, если мы передаем в страны, находящиеся в благонадежном списке ФИО директора (что, в принципе, является его персональными данными) - в контракте, мы должны уведомлять о передаче таких данных? Или в этом нет необходимости?
https://kontur.ru/extern
Наталья Пискарева 21 февраля
Юлия, здравствуйте! Уведомление Роскомнадзора до 1 марта 2023 года, по сути, оператору ничем не грозит — ведомство не сможет ограничить такую передачу персональных данных. Смотрите риски, если не уведомить. Если Роскомнадзор узнает, что Вы передаете в другую страну, даже «адекватную», данные без уведомления, компанию могут привлечь к ответственности по ст. 19.7 КоАП РФ.
Ю
Добрый день. Клиенты осуществляют через банк трансграничные переводы. При этом персональные данные клиентов передаются банком в платежные системы, например, такие как Золотая корона, Contact, которые являются российскими организациями, и далее в иностранные банки. Является ли это для банка трансграничной передачей персональных данных? Должен ли банк в своем уведомлении Роскомнадзору указывать осуществление трансграничной передачи персональных данных, или трансграничную передачу данных должны указывать в своих уведомлениях только платежные системы? И еще подскажите, пожалуйста, такой вопрос возник: если конечным получателем трансграничных данных является ЮЛ, ФЛ, каким образом банк должен обеспечить уничтожение персональных данных в случае запрета РКН на переводы в эту страну?
https://kontur.ru/extern
Наталья Пискарева 1 марта
Юлия, здравствуйте! Если банк заключил договор с российским контрагентом, а не иностранным лицом, то ТППД нет. Но Вы можете задать этот вопрос в Роскомнадзор, чтобы получить официальный ответ. Порядок уничтожения персональных данных утвержден приказом Роскомнадзора от 28 октября 2022 г. № 179. Он действует с 1 марта 2023 года.
М
Марина 5 марта
Здравствуйте! Требуется ли получение согласия сотрудника на трансграничную передачу персональных данных (фио, должность) в накладной в страны, указанные в Конвенции 108? Спасибо
https://kontur.ru/extern
Наталья Пискарева 18 мая
Марина, здравствуйте! По моему мнению, получать согласие субъекта ПД на трансграничную передачу ПД в адекватные страны необязательно. Такого требования нет в 152-ФЗ. Но по запросу субъекта ПД оператор обязан ему сообщить о фактах осуществленной или планируемой трансграничной передачи персональных данных (п. 7 ст. 14 152-ФЗ).
А
Анастасия 16 мая
Здравствуйте, не совсем поняла вот этот момент:"Дата окончания проведения оценки. Указывается конкретное число, когда у оператора уже есть сведения от иностранного лица, предусмотренные ст. 12 Закона № 152-ФЗ в редакции Закона № 266-ФЗ. Дата оценки не может быть раньше даты подачи уведомления." , а именно не понимаю почему дата оценки должна быть не раньше даты подачи уведомления, если даже в самом образце РКН указано так: Дата окончания проведения оценки: 10.02.2023, Дата и время подачи уведомления: 01.03.2023 15:21.

Да и как мне кажется, вполне логично, сначала провели оценку, потом уведомили, в том числе, и об этом РКН.

А вы как считаете ?

P.S. Спасибо за полезную и понятную статью! :)
https://kontur.ru/extern
Наталья Пискарева 18 мая
Анастасия, здравствуйте! Спасибо за замечание и внимательность. Да, Вы правы. Дата уведомления не может быть раньше даты оценки (п. 5 ст. 12 152-ФЗ), а не наоборот. Внесем исправления в статью.