Трансграничная передача персональных данных - это процесс отправки личных сведений о гражданах, хранящихся на территории одного государства, другому государству либо международной организации. Такое перемещение регулируется рядом нормативных актов, как российского законодательства, так и международных стандартов.
Что относится к трансграничной передаче данных
Осуществление трансграничной передачи персональных данных производится в строгом соответствии с положениями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
К трансграничной передаче данных можно отнести:
-
Перевод данных физлиц на серверы компаний, расположенных за пределами страны.
-
Обмен информацией между филиалами одной фирмы, расположенными в разных странах.
-
Передача персональной информации иностранным партнерам для обработки или анализа.
Уведомление РКН
Прежде чем приступить к деятельности по трансграничной передаче персональных данных, оператор обязан направить уведомление в Роскомнадзор о намерении осуществлять такую передачу.
В уведомлении необходимо указать:
-
Полное название (ФИО), адрес оператора, а также дату и регистрационный номер ранее отправленного в РКН уведомления о намерении обрабатывать ПДн;
-
ФИО сотрудника, назначенного ответственным за организацию обработки ПДн, контактные телефоны, почтовые и электронные адреса;
-
Юридические основания и цели трансграничной передачи, а также дальнейшей обработки полученных данных;
-
Типы и состав передаваемых ПДн;
-
Классификации субъектов персональных данных, чьи данные будут переданы;
-
Список иностранных государств, куда планируется отправить персональные данные;
-
Дата проведенной оператором оценки соблюдения требований по сохранению конфиденциальности и обеспечению безопасности ПДн со стороны властей иностранных государств.
Согласие на трансграничную передачу персональных данных
Без согласия владельца данных обработка и передача информации за пределы России невозможна. Исключением являются случаи, предусмотренные законом. С полным перечнем случаев можно ознакомиться в Постановлении Правительства Российской Федерации от 29.12.2022 № 2526.
Важнейшим условием легитимности трансграничной передачи является наличие добровольного и документально подтвержденного согласия субъекта данных. Формулировка согласия должна содержать следующие ключевые элементы:
-
Цель передачи данных.
-
Страны назначения.
-
Категории передаваемых данных.
-
Описание предполагаемых способов обработки.
-
Информация о мерах защиты передаваемых данных.
Полученное согласие должно фиксироваться письменно или электронно и хранится оператором вместе с прочими документами, подтверждающими законность действий с персональными данными.
Международный аспект
Роскомнадзором утвержден перечень зарубежных государств, которые обеспечивают адекватную защиту прав субъектов ПДН - Приказ Роскомнадзора от 05.08.2022 N128.
Помимо внутреннего регулирования, существует также международная практика. Европейская директива GDPR (General Data Protection Regulation) регулирует защиту персональных данных в ЕС и накладывает обязательства на любые организации, работающие с европейскими гражданами, независимо от местоположения сервера. Россия подписала Конвенцию Совета Европы №108+ («Конвенция о защите прав человека относительно автоматизированной обработки персональных данных»), что обеспечивает дополнительные гарантии безопасности при международном обмене информацией.
При осуществлении трансграничной передачи важно учитывать требования обеих сторон процесса обмена: отправителя и получателя. Например, если компания передает данные российского клиента немецкому подрядчику, обе стороны обязаны соблюдать нормы отечественного закона и нормативы Евросоюза.
Какие меры предпринять для соблюдения норм?
Для того чтобы минимизировать риски нарушения законодательства при трансграничной передаче данных, рекомендуется следовать следующим правилам:
-
Получение письменного информированного согласия на трансграничную передачу ПДн.
-
Выбор адекватных мер защиты передаваемых данных (использование шифрования, защищенных каналов связи и современных протоколов аутентификации).
-
Регистрация оператора персональных данных в Роскомнадзоре - организация обязана уведомлять контролирующий орган о факте хранения и обработке персональных данных, включая планируемые международные переводы.
-
Заключение соглашения с иностранными партнерами - договоренность должна включать положения о конфиденциальности и ответственности каждой стороны.
-
Мониторинг изменений законодательства - важно регулярно проверять наличие обновлений в законодательстве и адаптироваться к новым требованиям своевременно.
Разработаем пакет документов
по персональным данным
Стоимость от 11 900 р.
Ответственность за нарушение правил
Согласно Федеральному закону №152-ФЗ «О персональных данных», переданные третьим странам данные должны оставаться под защитой аналогичной той, которую обеспечивают законы Российской Федерации. Нарушение правил влечет административную ответственность, включая крупные штрафы за трансграничную передачу данных без надлежащего оформления или принятия соответствующих технических мер.
Штраф за трансграничную передачу данных без необходимого согласования или уведомления может достигать нескольких миллионов рублей. Дополнительно возможны санкции от иностранных регуляторов, вплоть до полного запрета на деятельность компании в некоторых юрисдикциях.
Осуществление трансграничной передачи персональных данных требует внимательного подхода и понимания законодательных особенностей различных стран. Компании, осуществляющие такую передачу, должны обеспечить четкое соблюдение всех правовых норм, контролировать процесс передачи и защищать интересы субъектов данных.