Не успел российский бизнес адаптироваться к сентябрьским изменениям закона "О персональных данных", как незаметно подошла очередь второго блока поправок. С 1 марта 2023 вступили в силу изменения, которые затрагивают вопросы трансграничной передачи персональных данных. Несоблюдение операторами новых правил может повлечь не только штрафные санкции, но и приостановление деятельности организации нарушителя.
Что такое трансграничная передача персональных данных и какие риски она несет компаниям?
Трансграничная передача персональных данных (ТПД) – передача информации на территорию иностранного государства при одновременном соблюдении трех условий:
1. Передача ПД (передачей считается как целенаправленная отправка информации, так и предоставление доступа к ней);
2. С территории России на территорию иностранного государства;
3. Иностранному лицу (органу власти, физическому или юридическому лицу).
Если в бизнес-процессах вашей компании присутствуют эти аспекты, то можно смело говорить, что ваша организация осуществляет трансграничную передачу персональных данных.
В частности, ТПД признается:
1. Предоставление контактных данных сотрудников зарубежным контрагентам в рамках делового взаимодействия;
2. Открытие для граждан РФ банковских счетов, оформление страховых полисов за рубежом;
3. Бронирование зарубежных гостиниц и приобретение транспортных билетов у иностранных компаний при направлении сотрудников из РФ в заграничные поездки;
4. Размещение ПД персонала российской компании в глобальном корпоративном справочнике;
5. Использование зарубежных специализированных облачных платформ (Google Analytics, SAP, Workday, Salesforce и пр.)
Моя организация осуществляет ТПД. Какие действия необходимо совершить, чтобы учесть требования закона?
Во-первых, оператору персональных необходимо выяснить:
1. Какие персональные данные участвуют в трансграничной передаче;
2. В какие страны передаются персональные данные.
Полученную информацию целесообразно зафиксировать в реестре процессов обработки персональных данных.
Во-вторых, удостовериться, что для передачи данных имеются надлежащие правовые основания, исчерпывающий перечень которых определен в статье 6 ФЗ "О персональных данных".
В-третьих, определить обеспечивают ли страны, в которые осуществляется передача персональных данных, адекватную защиту прав субъектов персональных данных.
Перечень таких стран определен Приказом Роскомнадзора от 05.08.2022 N 128 "Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных". Среди них, в частности, страны-члены Европейского союза, Япония, Канада, Австралия. Примечательно, что США в этом списке доверенных стран нет.
Если страна, в которую вы передаете ПД, не указана в списке Роскомнадзора как доверенная, то передача ПД в такую страну персональных данных недопустима до окончания рассмотрения Роскомнадзором уведомления о ТПД.
В-четвертых, самостоятельно провести оценку соблюдения получающей стороной конфиденциальности персональных данных, а также обеспечение безопасности при их обработке. Для этого оператору необходимо запросить:
1. Сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
2. Информация о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся получающая ПД сторона;
3. Сведения о получающей ПД стороне (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).
Наконец, сформировать и направить в Роскомнадзор уведомление о трансграничной передаче персональных данных. Форма уведомления размещена на сайте Роскомнадзора.
Можно ли сделать вид, что ничего не произошло?
Нет, нельзя.
Трансграничная передача персональных данных является существенным аспектом работы с персональными данными, которому регулирующий орган уделяет особое внимание. Актуальность данного направления обусловлена, в числе прочего, необходимостью обеспечения безопасности данных граждан в текущей политической обстановке.
В случае несоблюдения требований организация-оператор ПД может быть привлечена к административной ответственности:
1. За ТПД без надлежащего правового основания – до 300 000 рублей (ч. 1 ст. 13.11 КоАП РФ)
2. Неуведомление Роскомнадзора о ТПД – до 5 000 рублей (ст. 19.7 КоАП РФ)
3. Невыполнение предписания Роскомнадзора об устранении нарушений – до 20 000 рублей (ч. 1, ст. 19.5 КоАП РФ)
Важно отметить, что уведомление о ТПД должно быть направлено оператором до начала осуществления деятельности по трансграничной передаче персональных данных.
Помимо этого, не стоит забывать о еще одном нововведении, которое может появиться уже в этом году – президент России Владимир Путин поручил правительству до 1 июля 2023 года рассмотреть вопрос об установлении оборотных штрафов в отношении компаний, допускающих утечку персональных данных, а также усилить ответственность за их незаконный оборот.
Напомню – ранее Минцифры РФ подготовило законопроект о введении оборотных штрафов за утечку персональных данных пользователей – они могут составить до 3% от оборота компании, в случае если организация не обеспечивает безопасность данных.
Что это значит на практике – помимо того, что сама несанкционированная передача ПД является нарушением, отправка данных в страны вне доверенного списка может повлечь повышенный риск утечки. Высока вероятность, что в перспективе это будет грозить оборотным штрафом, который далеко не каждая организация способна перенести без серьезных последствий.
Опыт последних событий показал, насколько важна защита ПД, и ужесточение законодательства в интересах безопасности граждан – абсолютно понятная и логичная реакция государства, к которой необходимо быть готовым.
Таким образом, рекомендуем всем операторам ПД до 1 марта 2023 года определиться: продолжить передачу персональных данных в третьи страны, оценив потенциальные риски, либо отказаться от нее, оптимизировав свои бизнес-процессы.
Автор - юрист, эксперт образовательной платформы Moscow Digital School (входит в Ultimate Education)
