Новости В России утвердили порядок трансграничной передачи персональных данных

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.380
Репутация
11.800
Реакции
62.047
RUB
50
Опубликовано постановление правительства о трансграничной передачи персональных данных.


Документ описывает случаи, когда Роскомнадзор может запретить передачу ПДн за рубеж. Применять правила начнут с 1 марта. Постановление правительства от 16.01.2023 № 24 “Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан” опубликовано на официальном портале правовой информации.

russian_data_transmit_news.png


Акт описывает случаи, в которых Роскомнадзор принимает решение о запрещении трансграничной передачи персональных данных (ПД) в целях защиты нравственности, здоровья, прав и законных интересов граждан:

- органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача ПД, не принимаются меры по защите передаваемых ПД, а также не определены условия прекращения их обработки;

- иностранное юридическое лицо, которому планируется трансграничная передача ПД, является организацией, деятельность которой запрещена на территории РФ;

- иностранное юридическое лицо, которому планируется трансграничная передача ПД, включено в перечень иностранных и международных неправительственных организаций, деятельность которых признана нежелательной на территории РФ;

- трансграничная передача и дальнейшая обработка переданных ПД несовместима с целями их сбора;

- трансграничная передача ПД осуществляется в случаях, не предусмотренных частью 1 статьи 6 закона “О персональных данных”.

Основное зерно в нем в том, что в очередной раз расширяются полномочия Роскомнадзора, а вернее — появляются новые. Контроль трансграничной передачи данных — тема не новая, достаточно вспомнить требования об их хранении строго на российских серверах. “Однако теперь этот контроль ужесточается: и информационно (необходимо уведомлять), и административно (Роскомнадзор будет следить).

— Насколько документ проработан, станет понятно, когда его начнут применять на практике. Если будут споры, в том числе те, что дойдут до суда, они и прольют свет на нестыковки, если они есть".

Организации обязаны обосновывать регулятору необходимость передачи персональных данных за границу. При этом трансграничная передача на территорию государств, где не обеспечивается адекватная защита прав субъектов персональных данных, может быть ограничена или запрещена, что может принести серьезные убытки бизнесу или даже привести к его остановке.

Постановление вступает в силу 1 марта 2023 года. С этого же дня будет применяться новый порядок трансграничной передачи ПД. Операторы ПД должны были начать уведомлять Роскомнадзор о трансграничной передаче ПД с 1 сентября 2022. Формы для подачи уведомлений опубликованы на сайте ведомства.

 

Трансграничная передача персональных данных. И точка.​


Не успел российский бизнес адаптироваться к сентябрьским изменениям в ФЗ-152 «О персональных данных», как незаметно подошла очередь для вступления в силу второго блока поправок в регулирование обработки персональных данных граждан России.

Мартовские изменения в больше степени затрагивают вопросы трансграничной передачи персональных данных.
В настоящей статье мы разберем:
  1. Что такое трансграничная передача персональных данных?
  2. Какие новые требования к бизнесу предъявляются с 01 марта 2023 года?
  3. Может ли оператор персональных данных проигнорировать новые требования законодательства?

Что такое трансграничная передача персональных данных?

Трансграничной передачей персональных данных (ТПД) считается передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Исходя из вышеуказанного определения можно заключить, что ТПД – это одновременное соблюдение трех условий:
  1. Передача персональных данных (важно понимать, что передачей, помимо целенаправленной отправки информации, считается также предоставление доступа к такой информации);
  2. С территории России на территорию иностранного государства;
  3. Иностранному лицу (органу власти, физическому или юридическому лицу).
Если в бизнес процессах вашей компании присутствуют вышеперечисленные аспекты – ваша организация осуществляет трансграничную передачу персональных данных.
В частности, ТПД признается:
  • Предоставление контактных данных сотрудников зарубежным контрагентам в рамках делового взаимодействия;
  • Открытие для граждан РФ банковских счетов, оформление страховых полисов за рубежом;
  • Размещение ПД персонала российской компании в глобальном корпоративном справочнике;
  • Бронирование зарубежных гостиниц и приобретение транспортных билетов у иностранных компаний при направлении сотрудников из РФ в заграничные поездки
  • Использование зарубежных специализированных облачных платформ (Google Analytics, SAP, Workday, Salesforce и пр.)

Моя организация осуществляет ТПД. Какие действия необходимо совершить, чтобы учесть требования закона?

Во-первых, оператору персональных необходимо выяснить:
  • Какие персональные данные участвуют в трансграничной передаче;
  • В какие страны передаются персональные данные.

Полученную информацию целесообразно зафиксировать в реестре процессов обработки персональных данных.
Во-вторых, удостовериться, что для передачи данных имеются надлежащие правовые основания, исчерпывающий перечень которых определен в статье 6 ФЗ "О персональных данных".
В-третьих, определить обеспечивают ли страны, в которые осуществляется передача персональных данных, адекватную защиту прав субъектов персональных данных.
Перечень таких стран определен Приказом Роскомнадзора от 05.08.2022 N 128 "Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных".
Так, если страна, в которую вы передаете ПД, не указана в списке Роскомнадзора как "доверенная", то передача ПД в такую страну персональных данных недопустима до окончания рассмотрения Роскомнадзором уведомления о ТПД.
В – четвертых, самостоятельно провести оценку соблюдения получающей стороной конфиденциальности персональных данных, а также обеспечение безопасности при их обработке. Для этого оператору необходимо запросить
  • Сведения о получающей ПД стороне (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).
  • Сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
  • Информация о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся получающая ПД сторона;
webp

Позиция Роскомнадзора

Наконец, сформировать и направить в Роскомнадзор уведомление о трансграничной передаче персональных данных. Форма уведомления размещена на сайте Роскомнадзора.

Можно ли сделать вид, что ничего не произошло?

Нет, нельзя.
Трансграничная передача персональных данных является существенным аспектом работы с персональными данными, которому регулирующий орган уделяет особое внимание. Актуальность данного направления обусловлена, в числе прочего, необходимостью обеспечения безопасности данных граждан в текущей политической обстановке.
В случае несоблюдения требований организация-оператор ПД может быть привлечена к административной ответственности:
  • За ТПД без надлежащего правового основания – до 300 000 рублей (ч. 1 ст. 13.11 КоАП РФ)
  • Неуведомление Роскомнадзора о ТПД – до 5 000 рублей (ст. 19.7 КоАП РФ)
  • Невыполнение предписания Роскомнадзора об устранении нарушений – до 20 000 рублей (ч. 1, ст. 19.5 КоАП РФ)
Важно отметить, что уведомление о ТПД должно быть направлено Оператором до начала осуществления деятельности по трансграничной передаче персональных данных.
Таким образом, законодатель предлагает всем операторам ПД до 01 марта 2023 определиться: продолжить передачу персональных данных в третьи страны, оценив потенциальные риски, либо отказаться такой передачи, оптимизировав свои бизнес процессы.

 
Сверху Снизу