Как уведомить Роскомнадзор о трансграничной передаче данных

Что говорит закон

Трансграничная передача персональных данных (ТППД) — это передача личной информации гражданина на территорию иностранного государства органу власти иностранного государства, иностранному юрлицу или физлицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

По определению к ней не относится обмен кадровой информацией российской компании со своим представительством за рубежом или обработка сведений о российском гражданине на территории России иностранной компанией. Здесь не соблюдаются одновременно два условия: передача иностранцу в другую страну.

А вот отправка списка российских граждан в турецкий отель для бронирования номеров уже будет трансграничной передачей персональных данных. Другой пример. Самозанятый дизайнер принял от российской компании заказ на изготовление визиток. Но решил перепоручить эту работу студенту из Узбекистана и отправил ему персональные данные (ПД) сотрудников заказчика. Это тоже трансграничная передача.

Оператор персональных данных и иностранец несут ответственность перед российским гражданином за сохранность ПД при передаче ПД иностранному юридическому или физическому лицу (ч. 6 ст. 6 Закона № 152-ФЗ). Это одно из отличий ТППД. Если оператор поручает обработку персональных данных российскому юрлицу или гражданину, то ответственность перед субъектом ПД он несет единолично.

На каких условиях разрешено передавать персональные данные за границу

Закон № 152-ФЗ делит все иностранные государства на две категории.

1. Страны, обеспечивающие адекватную защиту прав субъектов ПД («адекватные страны»). К ним относятся стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и прочие государства, входящие в утвержденный Роскомнадзором список (Конвенция от 28.01.81; приказ Роскомнадзора от 05.08.2022 № 128 — действует с 1 марта 2023 года; приказ Роскомнадзора от 15.03.2013 № 274 — действует до 1 марта 2023 года). Например, это Грузия, Азербайджан, Турция, Казахстан, Беларусь, КНР. 
2. Страны, не обеспечивающие адекватную защиту прав субъекта ПД («неадекватные страны»). К ним относятся все государства, которых нет в перечисленных выше списках Роскомнадзора. Например, ЦАР.

До 1 марта 2023 года в «адекватные страны» можно свободно передавать ПД, при условии соблюдения Закона № 152-ФЗ. Но субъект персональных данных имеет право знать, что оператор поручает кому-то обработку его личной информации (п. 8 ч. 7 ст. 14 Закона № 152-ФЗ).

Трансграничная передача в «неадекватные страны» возможна только при выполнении одного из условий:

• с письменного согласия субъекта ПД;
• в случаях, предусмотренных международными договорами Российской Федерации;
• если это необходимо по закону для обеспечения конституционного строя, обороны и безопасности страны, транспортной защиты;
• для исполнения условий договора с субъектом ПД;
• для защиты жизни, здоровья, интересов самого гражданина и других лиц, когда невозможно получить письменное согласие на ТППД.

Этот список закрытый. Он перечисляет все возможные случаи, когда в другую страну можно передать личную информацию гражданина без гарантии соблюдения его прав (ч. 4 ст. 12 Закона № 152-ФЗ).

С 1 марта 2023 года начинает действовать новая редакция статьи 12 про ТППД в Законе № 152-ФЗ (п. 7 ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ). Основным условием для передачи личной информации российских граждан в другую страну становится уведомление Роскомнадзора. Его нужно подать до начала осуществления такой деятельности.

Операторы, которые уже передают персональные данные в другие страны, например, турагенты, и планируют продолжать это делать после вступления в силу новой редакции статьи 12, должны уведомить Роскомнадзор до 1 марта 2023 года (п. 5 ст. 6 Закона № 266-ФЗ). Это можно сделать на официальном Портале персональных данных. 

Как составить и подать уведомление об осуществлении ТППД

Мы составили примерный алгоритм действий оператора с пояснениями.

Шаг 1. Провести оценку соблюдения иностранным контрагентом, которому будут передаваться ПД, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке. Новая редакция статьи 12 Закона № 152-ФЗ не содержит подробной информации, как это сделать. Указаны только сведения, которые оператор должен запросить у иностранца:

• меры по защите передаваемой личной информации российских граждан и условия прекращения ее обработки;
• правовое регулирование в области защиты персональных данных государства-адресата, если это «неадекватная страна»;
• информация об иностранном лице, которому передаются ПД — наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса E-mail.

Шаг 2. Заполнить форму уведомления на официальном Портале персональных данных по адресу: https://pd.rkn.gov.ru/cross-border-transmission/form/.

Чтобы подать данные в электронном виде, потребуется подтвержденная учетная запись на Госуслугах. Для организации она должна быть привязана к этой организации. Бумажный носитель направлять не нужно.

Если оператор личный кабинет на Госуслугах не завел, то можно скачать образец готового уведомления с Портала Роскомнадзора и на его основании сделать свой документ. Заполненная форма распечатывается, подписывается руководителем и направляется по почте (ч. 4 ст. 12 Закона № 152-ФЗ в редакции Закона № 266-ФЗ). Роскомнадзор в письме от 09.11.2022 № 08ВМ-98928 допустил применение для подготовки уведомления правил в 266-ФЗ, не вступивших в силу.

После отправки уведомления до 1 марта 2023 года оператор свои обязанности выполнил. Он может продолжать осуществлять трансграничную передачу персональных данных, не дожидаясь реакции Роскомнадзора. Дополнительные требования по действиям ведомства после получения уведомления вступят в силу только 1 марта 2023 года.

Роскомнадзор в письме от 09.11.2022 № 08ВМ-98928 указал, что 266-ФЗ не предусматривает запреты или ограничения на ТППД со стороны Роскомнадзора по уведомлениям, отправленным до 01.03.2023. 

Сколько уведомлений нужно подать

Роскомнадзор в уже упомянутом письме № 08ВМ-98928 указал, что оператор может заполнить столько форм, сколько считает нужным. Ограничений на количество и частоту уведомлений о ТППД не установлено.

Какие могут быть варианты:

• подать одно уведомление на все цели трансграничной передачи и все страны, с которыми контактирует оператор — форма позволяет это сделать;
• заполнить бланк отдельно на каждую цель или каждое государство.

До 1 марта 2023 года оператор подает уведомление об осуществлении ТППД. То есть оно касается тех, кто уже работает с иностранными контрагентами и направляет им какую-то личную информацию граждан. Если у оператора что-то изменится после 1 марта 2023 года, например, в списке стран или целей, он подает уже уведомление о намерении осуществлять ТПДД. Его формы на Портале Роскомнадзора пока нет, но требования к содержанию указаны в ч. 4 ст. 12 Закона № 152-ФЗ в редакции 266-ФЗ.

Когда могут запретить трансграничную передачу ПД

Правила об ограничении ТППД заработают с 1 марта 2023 года (ст. 12 Закона № 152-ФЗ в редакции 266-ФЗ). 

Во-первых, Роскомнадзор может запретить или ограничить трансграничную передачу по результатам рассмотрения уведомления о намерении осуществлять ТППД (ч. 8 ст. 12 Закона № 152-ФЗ в редакции 266-ФЗ). На принятие такого решения у него есть 10 рабочих дней. 

Роскомнадзор при проверке уведомлений может запросить все сведения об оценке соблюдения иностранным контрагентом, которому будут передаваться ПД, мер по защите ПД при их обработке, поэтому лучше документировать и сохранять всю переписку с зарубежным контрагентом. Оператор должен будет передать информацию в ведомство в течение 10 рабочих дней. Срок можно продлить по уважительной причине не более чем на пять рабочих дней. Пока Роскомнадзор не получит от оператора всю запрашиваемую информацию, он приостанавливает проверку уведомления.

Важно! Оператор может осуществлять ТППД в «адекватные страны» уже после отправки уведомления. Ответа Роскомнадзора дожидаться необязательно (ч. 10 ст. 12 Закона № 152-ФЗ в редакции 266-ФЗ). По «неадекватным странам» нужно будет получить результаты рассмотрения уведомления. Если Роскомнадзор не разрешит ТППД в такие государства или для этого оператора, то осуществлять трансграничную передачу нельзя.

Во-вторых, Роскомнадзор может запретить или ограничить ТППД по представлению уполномоченных органов власти, например, МВД, Минобороны, ФСБ. Такое решение принимается в целях защиты интересов РФ, ее граждан, обеспечения суверенитета и государственной безопасности (ч. 12 ст. 12 Закона № 152-ФЗ в редакции 266-ФЗ).

Правила ввода запретов по представлению уполномоченных органов власти утверждены Постановлением Правительства РФ от 10.01.2023 № 6. Они начнут действовать с 1 марта 2023 года.

Все важное под контролем

Контролируйте сроки отчётности и платежей в Экстерне

Попробовать

Как теперь работать с иностранными контрагентами

Тенденция в законодательстве о защите персональных данных последних лет — ужесточение требований, особенно, к передаче ПД за границу. Позволим себе дать несколько советов тем операторам, кто работает с иностранцами.

1. Составьте реестр всех случаев ТППД и поддерживайте его в рабочем состоянии. Заведите досье на каждого зарубежного контрагента, в котором храните сведения по ч. 5 ст. 12 Закона № 152-ФЗ в редакции 266-ФЗ. Это пригодится для оперативного ответа на вопросы Роскомнадзора.
2. Если контрагент отказывается давать какую-то информацию, оцените варианты разрыва отношений с ним. Есть вероятность, что Роскомнадзор может ограничить передачу ПД такому лицу. В первую очередь, это касается партнеров из «неадекватных стран».
3. Отслеживайте изменения в законодательстве и появление разъяснений Роскомнадзора. Новые правила трансграничной передачи действуют с 1 марта 2023 года, поэтому практика пока не наработана.

Следите за публикациями в нашем Журнале.