Правила трансграничной передачи персональных данных в 2023 году

С 1 марта 2023 года начали действовать новые правила передачи персональных данных за рубеж. Были введены штрафы для компаний, которые будут отправлять данные за границу, нарушая текущее законодательство. О том, как правильно отправлять персональную информацию в другие страны и ничего не нарушить — читайте в нашей статье.

Что подразумевается под трансграничной передачей данных

Трансграничная передача данных — это передача персональных сведений зарубежному государству, органу власти, физическому и юридическому лицу.

Важно обозначить, что сюда не входит:

• обмен данными о сотрудниках российской организации со своим представительством в другой стране;

• обработка данных работника из России на территории РФ представительством зарубежной компании.

Алгоритм передачи персональных данных сотрудников за рубеж

Проверьте поддержку защиты прав передаваемых сведений в стране, куда планируете отправлять данные.

Передача информации возможна только в государства, участвующие в Конвенции № 108. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ разрешает отправлять сведения в:

• страны, подписавшие Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных;

• страны, указанные в перечне Роскомнадзора (Конвенция от 28.01.1981; приказ Роскомнадзора от 05.08.2022 № 128). К таким странам относятся Грузия, Турция, Китай, Беларусь, Азербайджан, Казахстан, Индия, КНР.

Отправка сведений в иные государства, не поддерживающие адекватную защиту персональных данных запрещена. К ним относятся все страны, которых нет в списках Роскомнадзора. Данные разрешается отправлять в страны, не поддерживающие адекватную защиту персональных сведений и не содержащиеся в списке Роскомнадзора, в случаях, когда:

• работник дал согласие на трансграничную передачу своих персональных данных;

• это предусмотрено международными договорами РФ;

• это требует ФЗ для защиты конституционного строя, обороны страны, безопасности государства и транспортного комплекса;

• в договоре с работником есть такое условие;

• получить письменное согласие сотрудника не предоставляется возможным, но это требуется для защиты его жизни и здоровья.

Получите согласие сотрудника.

Для передачи информации «адекватным странам» согласие работника не требуется. Однако в случае отправки личных сведений иностранной компании, не гарантирующей адекватную защиту прав, необходимо запросить письменное согласие сотрудника на передачу данных третьему лицу.

Как уведомить Роскомнадзор о передаче персональной информации за границу

В соответствии с п. 1 ст. 22 Федерального закона № 152-ФЗ до начала обработки сведений организация должна отправить уведомление в Роскомнадзор. Перед этим у зарубежной компании необходимо запросить:

• ее наименование и контактные данные;

• принимаемые меры по защите передаваемой информации;

• когда и при каких обстоятельствах будет прекращена обработка сведений

• информацию о правовом регулировании в области персональных данных.

Последний пункт требуется запрашивать в двух случаях, когда государство:

• Не входит в список стран, подписавших Конвенцию № 108;

• Не относится к списку стран обеспечивающих адекватную защиту персданных.

Уведомление в Роскомнадзор отправляется в письменном или электронном варианте отдельным документом, а не с общим письмом об обработке персональных данных.

Для подачи уведомления в электронном формате необходимо зайти на сайт Роскомнадзора и заполнить соответствующую форму. Выбрать категорию субъектов — работники, правовые основания обработки и категории передаваемых данных. В случае, когда нужной категории нет, необходимо отметить другие категории и в специальном поле внести примечания. Затем сформированное уведомление требуется подписать усиленной квалифицированной электронной подписью.

Если иностранное государство поддерживает Конвенцию № 108 и входит в список утвержденных стран Роскомнадзором, персональные сведения можно передавать как только вы составите и отправите уведомление. В случае, когда вы планируете передать персональные сведения стране, которая не поддерживает Конвенцию и не числится в списке Роскомнадзора, данные запрещено передавать до тех пор, пока не получите ответа с решением от ведомства.

Решение будет предоставлено в течение 10 рабочих дней с момента отправки формы. Когда ведомство разрешит передачу данных в указанную страну в том объеме, который был обозначен в уведомлении, вы сможете передать эту информацию.

Стоит отметить, что если уведомление не было отправлено или было сформировано с нарушениями, организация и ее должностные лица будут обязаны выплатить штраф в соответствии со статьей 19.7 КоАП РФ. Должностным лицам грозит административный штраф в размере от 300 до 500 рублей, а юрлицам — от 3000 до 5000 рублей.

В некоторых случаях ведомство вправе ограничить или запретить отправку персональных данных за рубеж. Для начала необходимо проверить отправленное уведомление на наличие ошибок. Внесите необходимые изменения и отправьте уведомление повторно, но не ранее 10 рабочих дней с получения решения от Роскомнадзора в соответствии с пунктом 31 Правил, утвержденных постановлением Правительства от 16.01.2023 № 24.

Если вы уверены, что все правильно, направьте жалобу в ведомство в течение 30 дней с момента получения решения Роскомнадзора (пункт 33 Правил, утвержденных постановлением Правительства от 16.01.2023 № 24). Жалоба составляется в произвольной форме на имя вышестоящего должностного лица Роскомнадзора или его территориального органа.

Рассмотрение жалобы происходит в течение 10 рабочих дней с момента ее получения. На протяжении этого срока жалобу могут оставить без удовлетворения, либо разрешить трансграничную передачу (пункт 38 Правил, утвержденных постановлением Правительства от 16.01.2023 № 24).

Если вас не устроит решение по жалобе, вы можете подать в суд в соответствии с пунктом 41 Правил, утвержденных постановлением Правительства от 16.01.2023 № 24.