Если ваша компания осуществляет передачу персональных данных в другую страну, необходимо позаботиться об адекватной защите таких сведений. Этого требует закон.
Если ваша компания осуществляет передачу персональных данных в другую страну, необходимо позаботиться об адекватной защите таких сведений. Этого требует закон.
Работникам кадровых служб необходимо помнить об изменениях в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных». Пакеты поправок вступили в силу 1 сентября 2022 года и 1 марта 2023 года. Затронули они и условия трансграничной передачи данных.
Что считается трансграничной передачей данных
Трансграничная передача персональных данных — передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физлицу или иностранной организации (ст. 3 Закона от 27.07.2006 № 152-ФЗ).
В определение заложены три условия, которые должны выполняться одновременно:
- оператор передаёт именно ПДн;
- ПДн передаются иностранному физлицу, организации или органу власти иностранного государства;
- такие лица или орган находятся на территории иностранного государства.
Если вы передаёте сведения своему сотруднику, который находится за границей, трансграничной передачей данных это считаться не будет, поскольку одно из перечисленных условий не выполняется.
Памятка! Что относится к персональным данным? Любые сведения, прямо или косвенно относящиеся к определённому физическому лицу: ФИО, адрес, информация о дате и месте рождения, социальном и имущественном положении, образовании, профессии, доходах, биометрические данные (фото, отпечатки пальцев, запись голоса).
Как уведомить Роскомнадзор
О намерении провести трансграничную передачу данных оператор должен уведомить Роскомнадзор (ч. 3 ст. 12 Закона № 152-ФЗ). Направить уведомление можно в бумажном или электронном виде, указав ряд сведений:
- наименование (ФИО), адрес оператора, дату и номер уведомления о намерении осуществлять обработку ПДн, ранее направленного оператором в соответствии со ст. 22 Закона № 152-ФЗ;
- наименование (ФИО) лица, ответственного за организацию обработки ПДн, номера контактных телефонов, почтовые адреса и адреса электронной почты;
- правовое основание и цель трансграничной передачи персональных данных и дальнейшей обработки переданных ПДн;
- категории и перечень передаваемых ПДн;
- категории субъектов ПДн, персональные данные которых передаются;
- перечень иностранных государств, на территории которых планируется трансграничная передача ПДн;
- дату проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физлицами, иностранными организациями, которым планируется трансграничная передача персональных данных, конфиденциальности и обеспечения безопасности при обработке ПДн.
Прежде чем направить уведомление, оператор должен получить от иностранных получателей (физлиц, организаций или органов власти) сведения:
- о мерах по защите ПДн и об условиях прекращения их обработки.
- о правовом регулировании в области ПДн иностранного государства, под юрисдикцией которого находится получатель (если такое государство не упомянуто в перечне из Приказа Роскомнадзора от 05.08.2022 № 128).
- об органах власти иностранного государства, иностранных физлицах, иностранных организациях, которым планируется трансграничная передача персональных данных (наименование либо ФИО, номера контактных телефонов, почтовые адреса и адреса электронной почты).
В целях проверки достоверности Роскомнадзор может запросить перечисленные сведения у оператора. Ответить на запрос необходимо в течение 10 рабочих дней. Срок ответа можно продлить ещё на пять рабочих дней, подав мотивированную просьбу и обосновав причины продления (ч. 6 ст. 12 Закона № 152-ФЗ).
Приказ № 128. Что нужно знать о перечне иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн? В приказе Роскомнадзора приведён перечень государств-получателей, обеспечивающих надлежащую защиту при трансграничной передаче персональных данных. В него входят:
- страны, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн;
- иностранные государства, которые сторонами Конвенции не являются, но действующие нормы права которых и применяемые меры по обеспечению конфиденциальности и безопасности ПДн при их обработке соответствуют положениям Конвенции.
Если Роскомнадзор запретит трансграничную передачу ПДн
Роскомнадзор вправе ограничить или запретить трансграничную передачу данных при наличии соответствующих оснований (ч. 7, 12 ст. 12 Закона № 152-ФЗ). Решение принимается в течение 10 рабочих дней с даты поступления уведомления от оператора.
С момента отправки уведомления (до истечения указанных 10 дней) оператор может вести трансграничную передачу данных, но только в страны из перечня, утверждённого Приказом № 128. В страны, не включённые в перечень, передавать данные запрещено. Исключения составляют случаи, когда передача сведений необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц (ч. 11 ст. 12 закона № 152-ФЗ).
Если в итоге Роскомнадзор принимает решение о запрете, оператор обязан обеспечить уничтожение органом власти иностранного государства, иностранным физлицом, иностранной организацией ранее переданных им ПДн (ч. 14 ст. 12 закона № 152-ФЗ).
Как подготовиться к трансграничной передаче данных
Чтобы правильно выстроить бизнес-процессы и избежать штрафов, выполните несколько простых шагов.
- Наладьте коммуникацию с иностранными партнёрами в области работы с ПДн.
- Проверьте, нет ли среди иностранных партнёров лиц из стран, не включённых в перечень государств, обеспечивающих адекватную защиту прав субъектов ПДн (Приказ № 128).
- Запросите необходимые для оценки безопасности и уведомления Роскомнадзора сведения, включая информацию о мерах защиты безопасности и конфиденциальности ПДн.
- Знакомьтесь с практикой других компаний, в отношении которых Роскомнадзор запретил или ограничил трансграничную передачу данных.
Смотрите также:
Подпишитесь, чтобы не пропустить интересные мероприятия и получите подарок на почту!
Вы сможете выбрать только актуальные для вас темы.