Трансграничная передача данных в 2024 году

Те, кто передает персональные данные за границу, с 1 марта 2023 года обязаны делать это по новым правилам. Перед отправкой требуется уведомить Роскомнадзор (РКН), который одобряет или запрещает передачу. В статье расскажем, почему не стоит игнорировать нововведения, и объясним нюансы процедуры.

Что понимают под трансграничной передачей данных

Трансграничная передача персональных данных ― передача персональных данных на территорию иностранного государства органу власти этого государства, иностранному физическому или юридическому лицу (ст. 3 ФЗ № 152). 

Например, компания осуществляет трансграничную передачу данных, когда:

• использует иностранные платформы для веб-аналитики (Google Analytics) или хранит данные о клиентах на зарубежных серверах;
• бронирует номера для сотрудников в гостинице другой страны на время командировки;
• передает контактные данные подчиненных зарубежным контрагентам.

Новые правила подачи уведомления в РКН

Страны, куда оператор может передавать данные, закон подразделяет на:

Страны, которые обеспечивают адекватную защиту персональных данных. В этих государствах есть комплексный нормативный правовой акт, который регулирует сферу персональных данных, уполномоченный орган по защите прав субъектов персональных данных и система санкций за нарушение требований законодательства в этой области.

В перечне 89 государств. Среди них ― страны-участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, и страны, не являющиеся сторонами Конвенции, но чьи нормы права и принимаемые меры соответствуют ее положениям.

Например, в списке ― Венгрия, Грузия, Ирландия, Дания (полный перечень утвержден Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций № 128).

Страны, которые не обеспечивают адекватную защиту персональных данных ― те, что в этот список не входят. Например, США.

До 1 марта 2023 года в страны с адекватной защитой персональных данных можно было свободно передавать персональные данные субъектов, не уведомляя РКН. А в страны, которые не могут обеспечить адекватную защиту, ― только при соблюдении определенных условий, которые перечислены в ч. 4 ст. 12 ФЗ № 152 в старой редакции. Например, при исполнении договора, стороной которого является субъект персональных данных.

С 1 марта 2023 года компании обязаны уведомлять РКН о трансграничной передаче данных в любую страну. Уведомление отправляется до начала передачи.

До подачи уведомления оператор обязан получить от органов власти иностранного государства, иностранных физических или юридических лиц, которым будут передаваться данные:

• данные о мерах по защите персональных данных и об условиях прекращения их обработки;
• контакты ― наименование либо ФИО, а также номера телефонов, почтовые адреса и email;
• сведения о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся те, кому планируется передавать данные (только для стран, не вошедших в список тех, кто адекватно защищает права субъектов персональных данных).

Все эти сведения необходимы, чтобы оператор убедился в надежности контрагентов, которым будут передаваться персональные данные. Каким образом это сделать, в законе не сказано. РКН может запросить информацию во время рассмотрения уведомления.

РКН рассматривает уведомление в течение десяти рабочих дней. Срок можно продлить по уважительной причине не более чем на пять рабочих дней. Пока РКН не получит от оператора всю запрашиваемую информацию, он приостанавливает проверку уведомления. 

В страны, которые адекватно защищают права субъектов персональных данных, оператор может передавать данные, не дожидаясь решения ведомства. Но если страна в этот список не входит, придется ждать, пока РКН завершит проверку. В любом случае ведомство может запретить или ограничить трансграничную передачу данных.

Как подать уведомление

Подать уведомление можно в электронном виде через портал персональных данных РКН, заполнив форму. Потребуется учетная запись на Госуслугах от лица, которое подает уведомление. Для компаний учетная запись должна быть привязана к юридическому лицу. Если по каким-то причинам это сделать не получается, можно на основании образца уведомления на том же портале подготовить своё, подписать и отправить в РКН почтой.

Вот сведения, которые надо включить в уведомление (ч. 4 ст. 12 ФЗ № 152).  

1. Наименование (ФИО), адрес оператора, дата и номер уведомления о намерении обрабатывать персональные данные.

2. Наименование (ФИО) ответственного за организацию обработки персональных данных, телефон, почтовый адрес и email.

3. Правовое основание, цель трансграничной передачи и обработки персональных данных. Например, цель ― «организация командирования работников компании…», правовое основание ― согласие субъекта на обработку персональных данных.    

4. Категории и перечень передаваемых персональных данных. Передавать можно только то, что соответствует целям обработки.

5. Категории субъектов персональных данных.

6. Перечень стран, куда компания планирует передавать персональные данные.

7. Дата, в которую оператор проводит оценку надежности иностранных контрагентов, которым будут передаваться персональные данные. Она должна быть более ранней, чем дата подачи уведомления.

Можно составить одно уведомление со всеми целями, категориями и странами — или отдельные на каждую цель, категорию и страну.

Когда РКН запрещает или ограничивает передачу данных

По результатам рассмотрения уведомления РКН может запретить или ограничить трансграничную передачу персональных данных (ч. 8 ст. 12 ФЗ № 152). Это делается с целями защиты конституционного строя, безопасности, защиты финансовых и экономических интересов страны. Если РКН выносит решение о запрете или ограничении в передаче персональных данных, которые были переданы ранее, то обязанность оператора ― обеспечить уничтожение иностранным органом власти, физическим или юридическим лицом данных, которые были переданы.

Причины, по которым РКН может запретить передачу:

• там, куда планируется передача, нет мер по защите персональных данных и не определены условия их обработки;
• деятельность иностранного юрлица запрещена на территории РФ решением суда или признана нежелательной;
• передача и обработка данных несовместимы с целями сбора;
• данные передаются в случаях, которые не перечислены в ч. 1 ст. 6 ФЗ № 152. 

А вот основания для ограничения передачи: содержание, объем данных и категории субъектов не соответствуют цели.

Оператор может устранить причины, по которым РКН принял такое решение, и подать уведомление заново ― через десять рабочих дней ― или обжаловать решение РКН в суде.

Что будет, если не уведомить РКН и просто отправить данные за границу

Если проигнорировать требование РКН и не подавать уведомление, можно получить предупреждение или штраф по ст. 19.7 КоАП РФ за непредоставление информации: для физлиц ― от 100 до 300 ₽, для должностных лиц ― от 300 до 500 ₽, для юрлиц ― от 3000 до 5000 ₽. 

Но есть наказание и посерьёзнее ― по ст. 13.11 КоАП РФ за нарушение законодательства в области персональных данных: для физлиц ― от 2000 до 6000 ₽, для должностных лиц ― от 10 000 до 20 000 ₽, для юрлиц ― от 60 000 до 100 000 ₽. 

Коротко о главном

• По новым правилам перед передачей персональных данных в другую страну нужно подать уведомление в РКН, по итогам рассмотрения которого ведомство может запретить или ограничить передачу.
• В обязанности оператора персональных данных входит проверка надежности иностранных контрагентов в области защиты, обработки и хранения персональных данных. А также своевременного удаления контрагентом переданных персональных данных, если РКН запретит или ограничит передачу. 
• В форме уведомления важно четко и конкретно прописать цели и правовое основание обработки, а также включить только те данные, которые требуются, чтобы ведомство не ввело запрет или ограничение на трансграничную передачу.

Информация в статье актуальна на момент подготовки и выпуска материала — июль 2024 г.