Электронный документооборот
Учет и отчетность
Участие в закупках
Торговля и ритейл
Управление HR‑процессами
Проверка контрагентов
Автоматизация бизнеса
Обучение
Коммуникации
Сделки с недвижимостью
Банковские услуги
Продажи и маркетинг
Информационная безопасность
Операторы персональных данных, которые отправляют личную информацию граждан на территорию другого государства, осуществляют трансграничную передачу персональных данных. Они должны уведомить об этом Роскомнадзор, иначе им грозят огромные штрафы. Разбираем в статье, какие еще есть требования к передаче персональных данных за границу, и как правильно направить уведомление.
В этой статье:
Что говорит закон
Трансграничная передача персональных данных (ТППД) — это передача личной информации гражданина на территорию иностранного государства органу власти иностранного государства, иностранному юрлицу или физлицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).
По определению к ней не относится обмен кадровой информацией российской компании со своим представительством за рубежом или обработка сведений о российском гражданине на территории России иностранной компанией. Здесь не соблюдаются одновременно два условия: передача иностранцу в другую страну.
А вот отправка списка российских граждан в турецкий отель для бронирования номеров уже будет трансграничной передачей персональных данных. Другой пример. Самозанятый дизайнер принял от российской компании заказ на изготовление визиток. Но решил перепоручить эту работу студенту из Узбекистана и отправил ему персональные данные (ПД) сотрудников заказчика. Это тоже трансграничная передача.
И наконец не очевидный, но очень распространенный случай ТППД — использование в работе иностранного программного обеспечения. Например, мессенджер WhatsApp честно предупреждает в пользовательском соглашении, что обменивается данными пользователей с материнской компанией за рубежом. Кто-то из иностранных владельцев ПО не сообщает об этом, а просто тихо «льет» информацию на зарубежные сервера.
Оператор персональных данных и иностранец несут ответственность перед российским гражданином за сохранность ПД при передаче ПД иностранному юридическому или физическому лицу (ч. 6 ст. 6 Закона № 152-ФЗ). Это одно из отличий ТППД. Если оператор поручает обработку персональных данных российскому юрлицу или гражданину, то ответственность перед субъектом ПД он несет единолично.
На каких условиях разрешено передавать персональные данные за границу
Закон № 152-ФЗ делит все иностранные государства на две категории:
| Категория | Пояснение |
|---|---|
|
Страны, обеспечивающие адекватную защиту прав субъектов ПД («адекватные страны») |
К ним относятся стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и прочие государства, входящие в утвержденный Роскомнадзором список (Конвенция от 28.01.81; приказ Роскомнадзора от 05.08.2022 № 128 — действует с 1 марта 2023 года). Например, это Грузия, Азербайджан, Турция, Казахстан, Беларусь, КНР |
|
Страны, не обеспечивающие адекватную защиту прав субъекта ПД («неадекватные страны») |
К ним относятся все государства, которых нет в перечисленных выше списках Роскомнадзора. Например, ЦАР. |
До 1 марта 2023 года в «адекватные страны» можно было свободно передавать ПД, при условии соблюдения Закона № 152-ФЗ. Но субъект персональных данных имеет право знать, что оператор поручает кому-то обработку его личной информации (п. 8 ч. 7 ст. 14 Закона № 152-ФЗ).
С 1 марта 2023 года действует новая редакция статьи 12 про ТППД в Законе № 152-ФЗ (п. 7 ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ). Основным условием для передачи личной информации российских граждан в другую страну стало уведомление Роскомнадзора о намерении осуществлять трансграничную передачу персональных данных. Его нужно подать до начала осуществления такой деятельности.
Операторы, которые уже передавали персональные данные в другие страны до 1 марта 2023 года, должны были до этой даты подать уведомление об осуществлении ТППД (п. 5 ст. 6 Закона № 266-ФЗ). После этого они могли спокойно продолжать свою деятельность, не дожидаясь реакции РКН на это уведомление. Роскомнадзор в письме от 09.11.2022 № 08ВМ-98928 указал, что 266-ФЗ не предусматривает запреты или ограничения на ТППД со стороны Роскомнадзора по уведомлениям, отправленным до 01.03.2023.
Как подать уведомление о намерении осуществлять трансграничную передачу ПД
С 1 марта 2023 года операторы должны сообщить в Роскомнадзор о том, что будут передавать персональные данные иностранцам за границу, еще до самой передачи. При этом ведомство может ограничить ТППД.
Приведем примерный алгоритм уведомления Роскомнадзора.
Шаг 1. Проведите оценку соблюдения иностранным контрагентом, которому будут передаваться ПД, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке. Статья 12 Закона № 152-ФЗ не содержит подробной информации, как это сделать. Указаны только сведения, которые оператор должен запросить у иностранца — листайте:
Рекомендуем формировать и хранить такую информацию по каждому зарубежному контрагенту на случай запросов или проверок со стороны Роскомнадзора.
Шаг 2. Оцените, в какую страну вы будете отправлять персональные данные, — «адекватную» или «неадекватную».
Для этого сверьтесь со списком в приказе Роскомнадзора от 05.08.2022 № 128.
Шаг 3. Перейдите на официальный сайт Роскомнадзора с сервисом подачи уведомлений о намерении осуществлять ТППД по адресу: https://pd.rkn.gov.ru/cross-border-transmission/form2/.
Для подачи электронного уведомления вам понадобится подтвержденная учетная запись на Госуслугах. Если вы направляете его от имени организации, то это должна быть учетка организации, а не работника.
Если у компании нет личного кабинета на Госуслугах, то она может скачать форму уведомления с сайта Роскомнадзора, заполнить, распечатать и подписать у руководителя. Бумажный документ направляют Почтой России или относят лично в местное управление РКН (ч. 4 ст. 12 Закона № 152-ФЗ).
Некоторые пояснения по заполнению уведомления
Адрес, где размещена форма — https://pd.rkn.gov.ru/cross-border-transmission/form2/
РОПД — это реестр операторов персональных данных.
Цели трансграничной передачи — это та деятельность, для которой нужно отправить личную информацию за границу. Они должны соответствовать уставной деятельности оператора или требованиям законов. Например, целью можно указать «бронирование отеля для выполнения условий договора об оказании туристических услуг».
Правовое основание ТППД — это либо письменное согласие субъекта ПД, либо установленные Законом случаи.
Дата окончания проведения оценки. Указывается конкретное число, когда у оператора уже есть сведения от иностранного лица, предусмотренные ч. 5 ст. 12 Закона № 152-ФЗ. Дата оценки не может быть раньше даты подачи уведомления.
Обратите внимание, что на Портале Роскомнадзора есть образец заполненного уведомления.
Отчитайтесь легко и без ошибок
Удобный сервис для подготовки и сдачи отчетов через интернет.
Сколько уведомлений нужно подать
Роскомнадзор в уже упомянутом письме № 08ВМ-98928 указал, что оператор может заполнить столько форм, сколько считает нужным. Ограничений на количество и частоту уведомлений о ТППД не установлено.
Какие могут быть варианты:
- подать одно уведомление на все цели трансграничной передачи и все страны, с которыми контактирует оператор — форма позволяет это сделать;
- заполнить бланк отдельно на каждую цель или каждое государство.
До 1 марта 2023 года оператор подавал уведомление об осуществлении ТППД. То есть оно касалось тех, кто уже работал с иностранными контрагентами и направлял им какую-то личную информацию граждан. Если у оператора что-то изменится после 1 марта 2023 года, например, в списке стран или целей, он подает уже уведомление о намерении осуществлять ТППД.
Когда могут запретить трансграничную передачу ПД
Во-первых, Роскомнадзор может запретить или ограничить трансграничную передачу по результатам рассмотрения уведомления о намерении осуществлять ТППД (ч. 8 ст. 12 Закона № 152-ФЗ). На принятие такого решения у него есть 10 рабочих дней.
Роскомнадзор при проверке уведомлений может запросить все сведения об оценке соблюдения иностранным контрагентом, которому будут передаваться ПД, мер по защите ПД при их обработке, поэтому лучше документировать и сохранять всю переписку с зарубежным контрагентом.
Оператор должен будет передать информацию в ведомство в течение 10 рабочих дней. Срок можно продлить по уважительной причине не более чем на пять рабочих дней. Пока Роскомнадзор не получит от оператора всю запрашиваемую информацию, он приостанавливает проверку уведомления.
Оператор может осуществлять ТППД в «адекватные страны» уже после отправки уведомления. Ответа Роскомнадзора дожидаться необязательно (ч. 10 ст. 12 Закона № 152-ФЗ). По «неадекватным странам» нужно будет получить результаты рассмотрения уведомления. Если Роскомнадзор не разрешит ТППД в такие государства или для этого оператора, то осуществлять трансграничную передачу нельзя.
Во-вторых, Роскомнадзор может запретить или ограничить ТППД по представлению уполномоченных органов власти, например, МВД, Минобороны, ФСБ. Такое решение принимается в целях защиты интересов РФ, ее граждан, обеспечения суверенитета и государственной безопасности (ч. 12 ст. 12 Закона № 152-ФЗ).
Правила ввода запретов по представлению уполномоченных органов власти утверждены Постановлением Правительства от 10.01.2023 № 6. Они действуют с 1 марта 2023 года.
Как теперь работать с иностранными контрагентами
Тенденция в законодательстве о защите персональных данных последних лет — ужесточение требований, особенно, к передаче ПД за границу. Позволим себе дать несколько советов тем операторам, кто работает с иностранцами — листайте, чтобы узнать подробности:
С Экстерном соблюдать требования законодательства легко. Учет, отчетность, электронные документы — всё в одном месте.
С Экстерном соблюдать требования законодательства легко. Учет, отчетность, электронные документы — всё в одном месте.
Да и как мне кажется, вполне логично, сначала провели оценку, потом уведомили, в том числе, и об этом РКН.
А вы как считаете ?
P.S. Спасибо за полезную и понятную статью! :)
Также обратите внимание, что ответы редакции «Контур» — это частное мнение. Официальную позицию Вы можете узнать в территориальном отделении Роскомнадзора.
Возник вопрос по заполнению уведомления, буду признательна за пояснения.
В разделе статьи "Некоторые советы по заполнению уведомления" указано, что дата оценки не должна быть раньше даты подачи уведомления. Как я понимаю, это касается случаев отправки уведомления после 01.03.2023, т.е. по новым правилам, и связано это с тем, что оператор в принципе не может передать ПД до подачи уведомления, соответственно, не может и оценить соблюдение иностранным лицом конфиденциальности переданных ПД.
А как быть в случае направления уведомления о ТППД до 01.03.2023, т.е. когда оператор уже осуществляет ТППД ? Допустим, заключен контракт 01.02.2021 г., в рамках которого передаются ПД работника. ПД передаются в страну, обеспечивающую адекватную защиту согласно списку Роскомнадзора. В редакции ст. 12 ФЗ до внесения изменений указано, что до передачи ПД оператор обязан убедиться в том, что иностранным государством обеспечивается адекватная защита ПД. Достаточно ли в таком случае просто убедиться, что ПД передаются в страну с адекватной защитой ПД и указать дату оценки - дату заключения контракта или до него. Или же тут следует руководствоваться иным принципом и какую дату в данном случае указывать, как Вы считаете ?
Но мой совет — запросить у иностранного контрагента список мер по защите ПД. Например, кто из его сотрудников имеет доступ к этой информации; как она хранится и т.п. На заполнение уведомления об осуществлении ТППД это не повлияет. Эта информация в любом случае Вам понадобится после 1 марта 2023 года, если Вы решите расширить перечень передаваемых ПД или целей и будете формировать уведомление о намерении осуществлять ТППД.