Трансграничная передача данных становится всё более сложной задачей для бизнеса. Компании активно работают с клиентами и партнёрами из разных стран, что требует соблюдения новых международных стандартов. Если игнорировать правила, на которых основана трансграничная передача данных, штраф или наказание могут быть серьезными.
Чтобы успешно работать в новых условиях, нужно понимать правила, действующие в разных юрисдикциях, и находить способы их соблюдения без ущерба для бизнеса. В статье узнаете, что такое трансграничная передача данных, ответственность какого масштаба могут понести компании, если неправильно предоставить уведомления в РКН и что нужно учесть бизнесу помимо отправки уведомлений.
Содержание
- Что такое трансграничная передача персональных данных?
- Новые правила подачи уведомления в РКН
- Как подать уведомление?
- Когда уведомление не требуется?
- Когда РКН запрещает или ограничивает передачу данных?
- Что будет, если не уведомить РКН?
- Что нужно сделать, кроме отправки уведомления?
- Что грозит за неподачу уведомлений о трансграничной передаче персональных данных?
- Чек-лист при передаче данных за границу
Что такое трансграничная передача персональных данных?
При взаимодействии с иностранными партнерами по бизнесу, использования заграничных сервисов, обрабатывающих персональные данные (ПД) и решении задач личного характера, для которых нужно находиться за границей, в некоторых случаях стоит уведомлять Роскомнадзор.
Трансграничная передача персональных данных — это процесс отправки за пределы Российской Федерации личных данных юридическим и физическим лицам, а также иностранным госорганам. К ним относятся:
- Ф.И.О.;
- паспортные данные и контакты (например, номер телефона);
- метрики и cookie-файлы.
Роскомнадзор нужно уведомить до начала этой операции в следующих случаях:
- ПД хранятся на сервере, который расположен за рубежом;
- трансграничная передача персональных данных работников в иностранный отель происходит для того, чтобы забронировать места на время командировки;
- открывается банковский счет за границей;
- используются облачные информационные сервисы или аналитические поведенческие инструменты (например, Google Docs, Google Analytics).
Рассмотрим, что относится к трансграничной передаче данных:
- попадание материалов под контроль иностранного контрагента;
- сам факт отправки сведений указанной категории на территорию другой страны;
- получение материалов в результате целенаправленных действий оператора.
Правила передачи ПД за границу регулируются ФЗ №152 от 27.07.2006 года. (с последующими изменениями и дополнениями).
Новые правила подачи уведомления в РКН
Законодательно все иностранные государства по контролю процесса обмена информацией разделили на 2 категории:
- Страны с защитой ПД. В этом списке 89 государств, в которых действует регулирование, защита персональных данных, и предусмотрены санкции за нарушение этих принципов.
- Страны, которые не защищают ПД. Сюда вошли остальные государства, которые в вышеуказанный перечень не входят.
До 01.03.2023 года при работе с первой категорией стран уведомлять Роскомнадзор было не нужно. А для стран из второго списка эта возможность была актуальной только при соблюдении определенных условий. По новым правилам, после этой даты информировать РКН нужно при работе с любой страной (еще до начала операции).
Если компания классифицируется как оператор персональных данных, об этом также нужно уведомить Роскомнадзор для включения в реестр.
Оператором может стать любое юридическое или физическое лицо, которое занимается обработкой ПД (например, банк, владелец сайта, туристические агентства, учебные заведения, организации, предоставляющие юридические и бухгалтерские услуги).
Как подать уведомление?
Информацию нужно отправить в РКН до того, как отправите ее иностранному лицу-контрагенту. Это можно сделать на официальном сайте Роскомнадзора в электронном формате. Для этого нужно иметь подтвержденную учетную запись на «Госуслугах». Если работник действует от лица компании, его учетка должна быть привязана к юрлицу.
Кроме того, можно отправить материалы на бумажном бланке почтой или привезти лично в контролирующий орган. Пример опубликован на сайте ведомства.
Необязательно подавать отдельные бланки по каждой стране. Достаточно указать перечень всех стран, категорий и целей в одном документе.
Стандартный срок рассмотрения уведомления — 10 рабочих дней. В отдельных случаях запрашиваются дополнительные материалы, и сроки рассмотрения документов продлеваются.
Дополнительно запросить информацию могут в следующих случаях:
- в Роскомнадзоре отсутствуют доказательства наличия в стране-контрагенте госоргана, который защищает права лиц-субъектов;
- если трансграничная передача данных относится к определенной категории или субъекту, например, несовершеннолетние лица;
- наличие в РКН жалоб, связанных с нарушением прав в указанном государстве.
Алгоритм действий оператора будет разным, в зависимости от страны-контрагента:
- если это страна из первой категории (оцениваемая как государство с защитой ПД), после отправки уведомления окончательного решения Роскомнадзора ждать не надо;
- если это государство, которое не защищает информацию ПД, она отправляется только после положительного ответа РКН.
Информировать контролирующие органы по новым правилам следует лишь тем операторам, которые делают это впервые после 1 марта 2023 года. Если раньше организация уже уведомляла ведомство, и в ее деятельности с тех пор не произошло изменений (не добавилось других стран, сохранились цели), заново документы подавать не надо. Также не требуется повторно уведомлять Роскомнадзор при смене контрагента в пределах одной юрисдикции.
Проверить статус операции можно на сайте ведомства.
Когда уведомление не требуется?
Информировать контролирующие органы требуется не всегда. В некоторых случаях подавать уведомление не нужно, например:
- материалы обрабатывает представитель компании-оператора, находящийся в другой стране, в силу своих должностных обязанностей;
- материалы направляются в российское представительство иностранной компании;
- материалы отправляются в иностранное представительство российского юридического лица.
Информировать Роскомнадзор требуется не только юридическим лицам, но и другим операторам: самозанятым, ИП и другим.
Когда РКН запрещает или ограничивает передачу данных?
После рассмотрения материалов Роскомнадзор принимает решение о разрешении, запрете или ограничении операций с ПД.
Причины для запрета:
- в государстве-контрагенте отсутствуют меры для защиты ПД, непонятны условия обработки и ее прекращения;
- суд признал деятельность организации-получателя незаконной (запрещенной) или нежелательной;
- цели сбора не соответствуют обработке/работе с информацией;
- цели отправки не указаны в законе №152-ФЗ «О трансграничной передаче данных».
Если запрет был вынесен уже после отправки ПД, оператор должен организовать уничтожение ранее переданных материалов.
Причины для ограничений:
- цель отправки не соответствует типу, целям данных или категории субъектов;
- выявлены риски нарушения прав субъектов;
- указания уполномоченных органов об ограничении операций (например, Министерства обороны, ФСБ).
При несогласии с решением об ограничении или запрете операции оператор может обжаловать решение Роскомнадзора в течение месяца или подать документы заново после устранения нарушений. Обжалуется решение в административном порядке в вышестоящую инстанцию или через суд.
Что будет, если не уведомить РКН?
В результате внеплановых проверок организаций (например, по запросу прокуратуры), письменного запроса Роскомнадзора при получении жалобы или анализа информационных ресурсов (приложения, сайта) могут обнаружиться различные нарушения. Они могут быть связаны с отсутствием уведомления или другим несоблюдением законодательства, за которое предусмотрена ответственность.
Читайте по теме:
Как уведомить налоговую об открытии счета за рубежом
Отчет о движении денежных средств за рубежом
За нарушение трансграничной передачи персональных данных специальной статьи не предусмотрено, но оператор может понести административное наказание за то, что вовремя не предоставил информацию или нарушил закон о трансграничной передаче персональных данных.
Что нужно сделать, кроме отправки уведомления?
Оператор перед трансграничной операцией должен получить от иностранных контрагентов следующую информацию:
- контакты организаций или физлиц, отвечающих за хранение, обработку/передачу ПД;
- меры, которые будут предприниматься контрагентом для защиты переданных материалов;
- условия прекращения обработки ПД.
Это нужно сделать для подтверждения надежности иностранных партнеров. Полученные сведения оператор хранит у себя. В ряде случаев Роскомнадзор может запросить их при рассмотрении поданных документов.
Если уведомление об отправке ПД подается впервые, и организация не числится в реестре операторов, сначала нужно подать в Роскомнадзор уведомление об обработке персональных данных. И только после включения в реестр можно совершать трансграничные операции.
Что грозит за неподачу уведомлений о трансграничной передаче персональных данных?
При нарушениях соответствующих статей КоАП или закона о ПД установлены штрафы:
- физические лица — 100-6 тыс. рублей;
- должностные лица — 300-20 тыс. рублей;
- юридические лица — 3-100 тыс. рублей.
Кроме штрафа за трансграничную передачу персональных данных несоответствующим закону образом, оператору может быть вынесено предупреждение, а в случае серьезных правонарушений — запрет на работу с ПД. Максимальные суммы штрафов назначаются при выявлении повторных нарушений трансграничной передачи персональных данных.
Еще по теме:
Чек-лист для стартапов: 12 шагов к соблюдению GDPR
Что такое транспортная экспедиция и как правильно ее оформить
Тот факт, что проблема произошла не по вине оператора — например, контрагент проигнорировал запрос и не предоставил материалы, не является поводом для освобождения организации от штрафных санкций. Ответственность за трансграничную передачу данных возлагается на оператора.
Чек-лист при передаче данных за границу
- Перед подачей уведомления о ТГП нужно проверить, отправлялось ли уведомление об обработке персональных данных в Роскомнадзор. Если оператора нет в реестре, — это первоочередная задача.
- Определяются цели, тип передаваемых сведений, категория субъекта ПД. Все это проверяется в соответствии с законом о трансграничной передаче персональных данных.
- Определить, что является трансграничной передачей персональных данных в конкретном случае законодательно, и нужно ли уведомлять Роскомнадзор.
- Проверить правовое основание для отправки ПД. Удостовериться, что соблюдены все правила трансграничной передачи персональных данных.
- Проанализировать страну, с которой предстоит работать, выяснить, относится ли она к государствам с «адекватной» или «неадекватной» защитой ПД.
- Запросить у иностранного контрагента контакты и дополнительные материалы о политике работы с персональными данными: обработке и условиях ее прекращения, защите, правовом регулировании этих вопросов. Это может потребовать Роскомнадзор.
- При необходимости подачи уведомления в РКН (если оно до настоящего момента не подавалось) заполнить по образцу и отправить лично или в электронном виде.
- Если государство-иностранный контрагент отнесено к «неадекватным», до решения Роскомнадзора операция не проводится. Нужно быть готовым к предоставлению дополнительной информации.
- Если страна-контрагент принадлежит к «адекватной» категории, ждать решения контролирующих органов не нужно, и сразу после отправки уведомления можно совершать операцию.
- При запрете или ограничении операции со стороны РКН решение можно обжаловать или устранить указанные нарушения и отправить уведомление повторно.
Фото на обложке: Freepik
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- Пройти курс «Наличка: как использовать, чтобы не нарушить 115-ФЗ»
- 1 «Серая» зарплата: что это такое, признаки, кого оштрафуют за «серую» зарплату и как доказать «серую» зарплату?
- 2 Что такое шоурум и чем отличается от обычных магазинов?
- 3 Как открыть магазин автозапчастей с нуля
- 4 Юзабилити: что это такое и для чего нужно
ВОЗМОЖНОСТИ
28 января 2025
03 февраля 2025
28 февраля 2025