Как организовать трансграничную передачу персональных данных?

20/05/24

Б-152

Как организовать трансграничную передачу персональных данных?

Екатерина Солодовникова

В современном мире, под влиянием глобализации, бизнес активно развивает трансграничные связи. Международная торговля, логистика, сотрудничество с иностранными партнерами становятся обыденностью. Следствием этого является увеличение потоков персональных данных, пересекающих границы стран. Например, если вы используете G-mail для отправки файлов, содержащих личные данные, эта информация автоматически попадает на зарубежные серверы Google, что является примером трансграничной передачи данных.

Таких, на первый взгляд незаметных, случаев трансграничного обмена информацией становится всё больше, что вызывает дополнительные риски для бизнеса, предъявляя к нему особые требования.

Статья 3 Закона о персональных данных устанавливает: «Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу».

Говоря простыми словами, для того, что факт передачи данных был признан трансграничной передачей персональных данных, должно одновременно совершаться несколько условий:

1. Вы передаете персональные данные.

2. Данные передаются иностранному лицу (органу власти, физическому или юридическому лицу).

3. Данные передаются на территорию иностранного государства.

Во всех названных случаях возникает трансграничная передача, так как соблюдаются все три обозначенных выше критерия, поэтому трансграничная передача происходит. Если же хотя бы один из критериев отсутствует – трансграничная передача не возникает.

Например, вы передаете персональные данные зарубежному представительству российской компании. Да, данные передаются в другую страну, но передаются они в адрес российского юридического лица, следовательно, трансграничная передача персональных данных не возникает.

Операторы должны уведомлять Роскомнадзор о намерении осуществлять трансграничную передачу персональных данных. Однако, прежде чем подать Уведомление нужно выполнить ряд шагов.

Шаг 1. Проверить наличие Уведомления о намерении осуществлять обработку персональных данных.

Прежде чем подать Уведомление о намерении осуществлять трансграничную передачу персональных данных, необходимо подать Уведомление о намерении осуществлять обработку персональных данных. После того как компания будет внесена в реестр операторов персональных данных, можно направлять уведомление о намерении осуществлять трансграничную передачу данных.

Шаг 2. Убедитесь в наличии правового основания для трансграничной передачи персональных данных субъекта.

Осуществлять трансграничную передачу персональных данных субъекта можно в случае, если того требует законодательство или условия договора с данным субъектом. Альтернативное основание – согласие субъекта на осуществление подобной передачи.

Шаг 3. Определите, на территорию какой страны будет осуществляться трансграничная передача персональных данных.

Необходимо определить, обеспечивает ли страна, в которую планируется передавать персональные данные адекватный уровень их защиты. Перечень «адекватных стран» устанавливается Роскомнадзором и включает в себя те страны, которые являются сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, или которые не являются сторонами Конвенции, но действующие нормы права которых, а также применяемые ими меры по обеспечению конфиденциальности и безопасности персональных данных при их обработке соответствуют положениям Конвенции.

Шаг 4. Проведите оценку соблюдения конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке.

Прежде чем осуществлять уведомление Роскомнадзора, важно собрать необходимые сведения от иностранной стороны, которой будут передаваться данные. Закон не устанавливает строгой формы, для проведения подобной оценки, главное отразить в ней сведения о:

– мерах по защите персональных данных, которые предпринимает получатель персональных данных;

– условиях прекращения обработки персональных данных;

– контактные данные лица, которому передаются персональные данные.

+ Если передача осуществляется в «неадекватную страну» необходимо также обозначить правовое регулирование в области защиты персональных данных государства-адресата.

Важно! Предоставлять данную оценку в Роскомнадзор вместе с уведомлением НЕ нужно, однако Роскомнадзор может запросить данные сведения позже.

Шаг 5. Подайте уведомление о намерении осуществлять трансграничную передачу персональных данных.

Пройдите аутентификацию на портале Госуслуг и заполните форму уведомления о намерении осуществлять трансграничную передачу персональных данных. Образец заполнения размещен на сайте Роскомнадзора.

Направьте уведомление в электронном виде через портал Госуслуг.

У Вас должна быть подтвержденная учетная запись. В случае если Вы подаете уведомление за организацию, ваша учетная запись должна быть привязана к данной организации на портале Госуслуг.

Если же у вас нет подобной учетной записи – распечатайте уведомлений и подайте почтовым отправлением или нарочно в Роскомнадзор.

Важно! Если вы осуществляете передачу персональных данных в «неадекватную страну» необходимо подождать 10 дней с момента подачи Уведомления, прежде чем осуществить передачу. В случае с «адекватными странами» ждать не требуется, можно сразу передавать данные.

Итак, подытожим, вы поняли, что передача данных, которую вы планируете осуществить, является трансграничной передачей персональных данных. Вы определили, какие данные вы будете передавать, кому и с какой целью, а также обеспечили правовое основание для данной передачи.

Что делать дальше? Воспользуйтесь нашим чек-листом по подготовке и подаче Уведомления о намерении осуществлять трансграничную передачу персональных данных:

1. Подайте уведомление об обработке персональных данных. Если вы уже подали Уведомление ранее – пропустите этот пункт.

2. Узнайте, относится ли страна, в которую планируется передача персональных данных, к списку стран, обеспечивающих адекватную защиту прав их субъектов.

3. Проведите оценку конфиденциальности передачи персональных данных, для этого, запросите у иностранного лица, которому передаете персональные данные, необходимую информацию:

Заполните форму уведомления о намерении осуществлять трансграничную передачу персональных данных и отправьте уведомление электронной почтой или на бумаге.

Начинайте передачу данных сразу же после уведомления Роскомнадзора, если передаете в «адекватные» страны и начинайте передачу по прошествии 10 дней, если данные передаются в «неадекватную» страну.

Оставить заявку на консультацию по трансграничной передаче персональных данных

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

реклама

бизнес

юридические вопросы

маркетинг

Материалы по теме