Этой осенью вступили в силу самые масштабные с 2011 года поправки в российский закон о персональных данных. Как привести бизнес-процессы компаний в соответствие с новыми правилами - рассказываем в экспертном обзоре от Б-152 с конкретными рекомендациями.
В этой статье разбираем, как поправки коснулись трансграничной передачи данных. Отдельно выйдут материалы о том, какие изменения вносить в документы по ПДн, как вести реестр обработки ПДн, как уничтожать избыточные данные и т.д.
Ликбез
Трансграничная передача ПДн — это процесс, который соответствует следующим критериям:
передаются ПДн
на территорию другого государства
иностранному физическому, юридическому лицу или органу власти.
Важно! Есть 2 процесса, которые часто путают с трансграничной передачей, однако они таковыми не являются:
Сбор ПДн граждан России непосредственно иностранной компанией.
Это именно сбор, в этой ситуации нормы о трансграничной передаче не применяются.
Компания находится в России, собирает ПДн и передает их своему штатному сотруднику в другой стране.
Когда физическое лицо — не самостоятельный субъект, а представитель компании, то речь идет о доступе к данным, предоставляемом лицу за пределами офиса, а не о “передаче иностранному физлицу/юрлицу/органу”.
Что меняется
Трансграничная передача - это один из видов обработки ПДн. Любая обработка должна осуществляться с соблюдением принципов и правил, предусмотренных 152-ФЗ, и допускается:
с согласия субъекта
для исполнения договора
с 1 марта 2023 - еще и с предварительного уведомления Роскомнадзора.
Уведомление РКН: порядок действий
1. Скачать форму уведомления об осуществлении трансграничной передачи ПДн
https://pd.rkn.gov.ru/cross-border-transmission/form/
2. Заполнить форму
наименование, адрес, контакты
реквизиты уведомления
контакты DPO (ответственный за организацию обработки ПДн)
основание и цель дальнейшей обработки
перечень ПДн и категории субъектов
перечень иностранных государств импортера ПДн
дата оценки конфиденциальности и безопасности (в стране, в которую ПДн передаются)
3. Получить от импортера сведения о:
мерах по защите ПДн и и условиях прекращения обработки
правовом регулировании иностранного государства-импортера
контактах импортера
РКН может запросить представление этих сведений, но получить их от импортера будет сложно, скорее всего придется готовить все самостоятельно.
4. Направить уведомление на бумажном или электронном носителе.
5. Дождаться решения РКН
В случае со странами, «обеспечивающими адекватную защиту», трансграничная передача разрешена сразу после подачи уведомления. Подразумеваются государства, подписавшие Конвенцию №108, и те, которые указаны в приказе Роскомнадзора в качестве «адекватных» стран.
В случае с остальными странами нужно дождаться решения от РКН. По умолчанию это занимает 10 рабочих дней, но срок может быть увеличен на 10-15 дней в зависимости от предоставления сведений, касающихся мер защиты в стране-импортере.
6. Обеспечить уничтожение импортером ПДн в случае наложения запрета или ограничения от РКН после подачи уведомления
Важно: Роскомнадзор пояснил, что подавать уведомление о трансграничной передаче данных нужно будет 1 раз в отношении конкретной страны (из «адекватных»).
Чек-лист на случай запрета или ограничения от РКН на трансграничную передачу:
1. Вести реестр процессов сбора и обработки ПДн
Без него невозможно выполнить следующие пункты, так как именно реестр дает четкое понимание, какие передачи в какие страны у вас ведутся.
2. Оценить необходимость продолжать трансграничную передачу ПДн
Можем ли избавиться от процесса? Перейти на альтернативное решение? Поменять неадекватную страну на адекватную?
3. Вести учет импортеров и упорядочить взаимодействие с ними
В связи с изменениями компаниям-операторам ПДн придется связываться со всеми импортерами и налаживать коммуникацию для получения от них необходимой информации, которую в случае чего будет нужно предоставлять в РКН.
4. Отслеживать разъяснения, практику, закладывать риски и ресурсы
Первые запреты будут получены в марте-апреле 2023, тогда появится первая практика и понимание, что делать в подобных ситуациях: можно ли судиться с надзорным органом, подавать апелляции и т.д.
5. Собрать сведения о мерах защиты ПДн в странах импортеров
Подразумеваются не средства технической защита, а именно меры защиты прав и интересов физлиц, чьи данные были переданы.
6. Не паниковать и преждевременно не менять бизнес-процессы
Необходимо готовиться планомерно, общаться с экспертами, задавать вопросы в privacy-сообществах.
Максим Лагутин
ведущий эксперт по защите персональных данных
