Трансграничная передача персональных сведений – это по сути передача информации о человеке за пределы страны. Если компания работает с заграничными контрагентами, то обязана знать, как отправлять данные безопасно по новым правилам, какие меры предпринять до начала передачи и что сделать, чтобы не столкнуться с претензиями от Роскомнадзора. Обо всем об этом поговорим в статье.
Содержание
Предпосылки принятия нового закона Новые требования к трансграничной передаче персональных данных В каком случае Роскомнадзор устанавливает запрет или ограничение трансграничной передачи |
Скачайте образцы документов для работы: |
|
Алгоритм действий при трансграничной передаче персданных |
|
Образец согласия на трансграничную передачу персданных |
|
Пример заполнения уведомления о трансграничной передаче персданных |
|
Штрафы за нарушения при получении согласия на обработку персданных |
Предпосылки принятия нового закона
Отдельного закона, который бы регулировал отправку персональных сведений на территорию другого государства, пока нет. Что относится к трансграничной передаче персональных данных, говорится в Федеральном законе от 27.07.2006 № 152-ФЗ. Это отправка информации иностранному физическому или юрлицу, а также представителям государственной власти.
До недавнего времени законодательство почти не регулировало передачу личных сведений за границу. Не предъявлялись требования к иностранной стороне, не поднимался вопрос о защите информации. Роскомнадзор уведомляли только о стране, в которую предполагалось передавать данные.
За последнее время произошли несколько крупных массовых утечек персональных данных, это говорит о том, что не уделялось достаточно внимания законодательным механизмам защиты. Также появились интернет-сервисы, которые занимались противоправным оборотом личной информации. Большинство из них числилось в иностранном сегменте Интернета, на который не распространяется российский закон о персональных данных.
Это создало угрозу мошенничества и нарушения конституционных прав граждан. Именно поэтому нужно было реформировать законодательство, усовершенствовать правовую защиту и усилить контроль государства в этой сфере.
Подробнее о том, какие требования предъявляют сейчас к обработке персональных данных.
Новые требования к трансграничной передаче персональных данных
Чтобы усилить защиту персональных данных граждан правительство приняло Федеральный закон № 266-ФЗ от 14.07.2022, который внес изменения в Закон 152-ФЗ. Часть изменений вступят в силу с 1.03.2023 года, основные положения применяются с сентября 2022 года. Также Постановление Правительства РФ от 10.01.2023 № 6 и № 24 от 16.01.2023 «…о запрете или ограничении трансграничной передачи персональных данных».
По новому закону передача персональных сведений за границу может быть двух типов:
- в страны, которые подписали Конвенцию Совета Европы о защите личной информации при автоматической обработке и те, что не подписали, но числятся в списке Роскомнадзора (перечень стран в приказе Роскомнадзора от 15.03.2013 № 274)
- прочие страны, но при некоторых условиях, например, если есть согласие субъекта на передачу сведений или международный договор. Также если нужны данные гражданина России, чтобы защитить его жизнь, здоровье и важные интересы, если не удалось взять с него согласие на трансграничную передачу персональных данных. Полный закрытый перечень условий содержится в ст.12 Закона № 152-ФЗ.
Образец согласия на трансграничную передачу данных скачайте по ссылке.
Роскомнадзор может не разрешить передавать информацию за границу, если увидит угрозу здоровью и интересам россиян, их нравственности или угрозу безопасности страны. Ведомство рассматривает заявление 10 рабочих дней и на это время деятельность компании будет «заморожена», после выносит постановление об отказе либо ограничении, или разрешении.
Все операторы, которые будут передавать или уже передают сведения о россиянах в другие страны, обязаны подключиться к госсистеме по обнаружения компьютерных атак (госСОПКА) и сообщать обо всех утечках личных сведений.
До того, как подать уведомление о том, что оператор собирается передавать сведения в другую страну, он обязан запросить у заграничных контрагентов следующую информацию:
- какие меры принимает правительство иностранного государства и сам зарубежный оператор персональных данных для защиты личных сведений, и при каких условиях они прекратят их обработку. Необходимо получить именно документальное подтверждение;
- как законодательно регулируется вопрос о персональной информации, в случае если страна не подписала Конвенцию Совета Европы;
- сведения о том, кому будут передавать данные (название или ФИО, адреса, номера телефонов, электронная почта).
Также компания, до того, как начнет передавать персональные данные, должна уведомить Роскомнадзор. Новый порядок передачи информации за рубеж действует с 1 марта 2023 года, но для тех, кто уже ее отправляет нужно подать уведомление о трансграничной передаче персональных данных в ведомство не позднее этой даты.
Уведомить Роскомнадзор об отправке личных сведений можно на бумаге или электронно.
Важно! Уведомление о трансграничной передаче персональных данных — это отдельный документ помимо общего уведомления о начале обработки персональной информации. |
В уведомлении нужно указать все об операторе: название, адрес, ФИО человека, который отвечает за обработку персональных данных и его контакты. Также следует проставить номер и число последнего уведомления, которое направили в ведомство.
Далее нужно отразить полный список сведений, которые планируется отправлять за границу и упомянуть о тех, чьи это сведения, а также список стран, куда будут отправлять данные. Самое главное — указать цель отправки и обработки личной информации и даты, в которые она будет производиться.
Уведомлять Роскомнадзор нужно только один раз для каждой страны. Образец уведомления можно скачать по ссылке, заполнить электронную форму документа можно на портале ведомства.
Все, что нужно знать о персональных данных работника, читайте в нашей статье.
Обратите внимание! Страны, которые подписали Конвенцию Совета Европы, могут передавать личные сведения за границу сразу после уведомления ведомства. Остальные обязаны подождать десять рабочих дней, и если не поступит информация об ограничении или запрете, только в этом случае осуществлять передачу персональных данных за границу. |
Если у компании есть зарубежный филиал, то, чтобы трансграничная передача данных осуществлялась по всем правилам, после уведомления Роскомнадзора нужно разработать и утвердить ЛНА. В нем следует указать следующие пункты относительно персональных данных:
Общие моменты. Сюда входит структура организации, государства, в которые компания будет передавать сведения, и с какой целью их будут отправлять и обрабатывать за границей.
Юридическое обоснование для передачи личной информации. То есть законы и правовые акты, разрешающие отправку и работу с персональными данными.
Характеристики личных сведений. Сюда стоит включить категории данных и способы обработки, также информацию о том, чьи это данные.
Информация о самой передаче данных. Здесь нужно описать информационные системы, из которых берут личные сведения и принимающие системы, каналы передачи, стандарты и протоколы.
Меры по защите персональных данных. Какие мероприятия проводятся на организационном уровне, какие используются технические средства, например криптографическое шифрование.
Законодательное регулирование в области персданных в тех странах, куда информация будет передаваться.
Заключение. Обязательства и ответственность заграничного подразделения компании при обработке личных сведений, подписи ответственных сотрудников.
Это поможет снизить риски при трансграничной передаче данных и избежать претензий проверяющих.
Алгоритм действий при трансграничной передаче данных, скачайте по ссылке.
В каком случае Роскомнадзор устанавливает запрет или ограничение трансграничной передачи
Чтобы защитить нравственность, здоровье, права и законные интересы граждан, Роскомнадзор может запретить передавать личные данные за границу, если (ПП РФ от 16.01.23 № 24):
- иностранные компании, кому планируется передавать данные, ничего не делают для их защиты и не обозначили условия для прекращения обработки информации;
- деятельность зарубежного контрагента запрещена в России по решению суда или он включен в перечень организаций, чья деятельность признается нежелательной на территории РФ;
- цель обработки персональной информации и цель ее сбора разные;
- передача сведений за границу осуществляется в случаях, не предусмотренных ст. 6 Федерального закона 152-ФЗ.
Иногда ведомство не полностью запрещает передачу информации за границу, а только ограничивает:
- когда сведения по содержанию и объему не соответствуют цели передачи;
- когда категория персональных данных не соответствует цели передачи.
Выстроить правильную работу с личными данными сотрудников и избежать претензий Роскомнадзора поможет наш курс «Персональные данные: новые требования 2022–2023».
|
Топ-5 документов по персональным данным, которые скачивают ваши коллеги: |
|
Бланк приказа о назначении ответственного за обработку персданных |
|
Образец положений согласия на распространение персданных |
|
Примерная форма политики по персданным |
|
Пример нового согласия на обработку персданных
|
|
Чек-лист для аудита документов по персданным
|