Найти в Дзене
Марина Петри. Юрист, эксперт по защите персональных данных
24 подписчика

Трансграничная передача данных: экспертный взгляд на пункт уведомления в Роскомнадзор

34
7 мин
Трансграничная передача данных – что писать в уведомлении в Роскомнадзор? Трансграничная передача данных- это передача персональных данных с территории одного государства на территорию другого. В контексте уведомления в Роскомнадзор этот пункт касается случаев, когда вы передаете (или планируете передавать) персональные данные граждан РФ на серверы или в организации, расположенные за пределами России. Этот раздел требует особого внимания, так как от правильности его заполнения зависит ваша законность в обработке персональных данных. В зависимости от того, передаете ли вы данные за границу, у вас есть несколько вариантов ответа: 1) Страны, на территории которых осуществляется передача персональных данных: указываются все страны, куда вы передаете персональные данные, например: Германия, Нидерланды.
2) Цели трансграничной передачи персональных данных: поясните, для чего вы передаете данные в эти страны. Например: “Для хранения данных на серверах хостинг-провайдера, для обработки платежей
Оглавление

Трансграничная передача данных – что писать в уведомлении в Роскомнадзор?

Трансграничная передача данных- это передача персональных данных с территории одного государства на территорию другого. В контексте уведомления в Роскомнадзор этот пункт касается случаев, когда вы передаете (или планируете передавать) персональные данные граждан РФ на серверы или в организации, расположенные за пределами России. Этот раздел требует особого внимания, так как от правильности его заполнения зависит ваша законность в обработке персональных данных.

В зависимости от того, передаете ли вы данные за границу, у вас есть несколько вариантов ответа:

  1. Если вы не осуществляете трансграничную передачу данных, то указываете: “Не осуществляется”.
  2. Если вы осуществляете трансграничную передачу данных, то требуется более детальное описание. Важно предоставить полную и точную информацию:

1) Страны, на территории которых осуществляется передача персональных данных: указываются все страны, куда вы передаете персональные данные, например: Германия, Нидерланды.
2) Цели трансграничной передачи персональных данных: поясните, для чего вы передаете данные в эти страны. Например: “Для хранения данных на серверах хостинг-провайдера, для обработки платежей, для предоставления технической поддержки пользователям”.
3) Категории передаваемых персональных данных: укажите, какие именно типы персональных данных передаются. Например: “ФИО, адрес электронной почты, номер телефона, IP-адрес, данные о заказах”.
4) Описание мер по обеспечению защиты персональных данных при их передаче: какие меры вы принимаете для защиты данных при их передаче за границу. Например: “Использование шифрования при передаче данных (SSL/TLS), заключение договоров с получателями данных, содержащих положения об обеспечении конфиденциальности и безопасности персональных данных, использование стандартных договорных условий, утвержденных Европейской комиссией”.
5) Правовое основание для трансграничной передачи данных: укажите, на каком основании осуществляется передача данных. Возможные варианты: согласие субъекта персональных данных: получили явное согласие пользователя на передачу его данных за границу; исполнение договора: передача данных необходима для исполнения договора с субъектом персональных данных (например, для доставки товара в другую страну); международный договор РФ (существует международный договор между Россией и страной, куда передаются данные, предусматривающий такую передачу); в случаях, предусмотренных федеральными законами: передача необходима в целях защиты основ конституционного строя Российской Федерации, обороны страны и безопасности государства. (редко используется для коммерческих организаций)
Что необходимо помнить:

  • Уточните у партнеров! Если вы используете сторонние сервисы (например, для рассылок, аналитики, хостинга), обязательно уточните у них, где именно хранятся и обрабатываются данные, которые вы им передаете. Эта информация должна быть отражена в уведомлении. Не полагайтесь на общие слова, требуйте конкретные данные о местонахождении серверов.
  • Обязательно укажите в вашей политике конфиденциальности информацию о трансграничной передаче данных, если она осуществляется. Ваша политика должна быть доступна и понятна пользователям.
  • Существуют страны, которые считаются обеспечивающими адекватную защиту прав субъектов персональных данных (например, страны Европейского Союза). Передача данных в такие страны обычно проще, но не отменяет необходимости указывать эту передачу в уведомлении и политике конфиденциальности.

Основные ошибки:

  • Указание “Не осуществляется”, когда трансграничная передача на самом деле происходит. Многие организации не осознают, что используют сервисы с серверами за границей.
  • Использование общих формулировок вместо конкретных данных. Например, вместо “Использование шифрования” нужно указать “Использование шифрования SSL/TLS с ключом длиной не менее 128 бит”.
  • Несоответствие информации в уведомлении и политике конфиденциальности. Важно, чтобы эти документы были согласованы между собой.
  • Отсутствие информации о правовом основании передачи данных. Нельзя просто передавать данные “потому что так нужно”.
  • Не проверили информацию от партнеров. Полагаться на заверения поставщиков услуг без документального подтверждения – рискованно.

5 Примеров Трансграничной Передачи Данных в Российском Контексте

Вот 5 распространенных примеров трансграничной передачи данных, с которыми могут столкнуться российские организации:

  1. Использование зарубежных облачных сервисов (AWS, Google Cloud, Azure): Многие российские компании используют облачные платформы от Amazon, Google или Microsoft для хранения и обработки данных. Если данные граждан РФ хранятся на серверах, расположенных за пределами России (а это часто так), это является трансграничной передачей.В уведомлении: Необходимо указать страны, где расположены серверы, цель - “хранение и обработка данных”, категории - те типы персональных данных, которые хранятся в облаке, меры защиты - “использование шифрования при передаче и хранении данных, соблюдение условий договора с провайдером облачных услуг”, основание - “исполнение договора с провайдером облачных услуг”.
  2. Использование зарубежных CRM-систем (Salesforce, Zoho CRM): Российские компании могут использовать CRM-системы, серверы которых находятся за границей, для хранения информации о своих клиентах (контакты, история взаимодействий и т.д.).В уведомлении: Необходимо указать страны, где расположены серверы CRM-системы, цель - “ведение базы клиентов, организация продаж и маркетинга”, категории - ФИО, контактные данные клиентов, история покупок, меры защиты - “использование шифрования, соблюдение условий договора с провайдером CRM”, основание - “исполнение договора с клиентом (если требуется для предоставления услуг) или согласие субъекта персональных данных (если требуется для сбора и обработки данных клиентов)”.
  3. Использование сервисов email-маркетинга (Mailchimp, Sendinblue): Если российская компания использует зарубежные сервисы для рассылки электронных писем своим клиентам, то данные клиентов (адреса email, имена) передаются за границу.В уведомлении: Необходимо указать страны, где расположены серверы сервиса email-маркетинга, цель - “рассылка рекламных и информационных сообщений”, категории - email-адреса, имена, данные о взаимодействии с рассылкой, меры защиты - “использование шифрования, соблюдение условий договора с провайдером сервиса email-маркетинга”, основание - “согласие субъекта персональных данных (на получение рассылок)”.
  4. Использование зарубежных сервисов аналитики (Google Analytics, Mixpanel): Российские веб-сайты и приложения могут использовать зарубежные сервисы аналитики для отслеживания поведения пользователей. Это подразумевает передачу данных пользователей (IP-адреса, данные о посещенных страницах) на серверы этих сервисов за границей.В уведомлении: Необходимо указать страны, где расположены серверы сервиса аналитики, цель - “анализ трафика и поведения пользователей на сайте/в приложении”, категории - IP-адреса, данные о посещенных страницах, типы устройств, меры защиты - “анонимизация данных, использование cookie policies”, основание - “согласие субъекта персональных данных (на использование cookie)”.
  5. Передача данных в головной офис иностранной компании: Если российское подразделение иностранной компании передает персональные данные своих сотрудников или клиентов в головной офис, находящийся за границей, это является трансграничной передачей.В уведомлении: Необходимо указать страну, где находится головной офис, цель - “управление персоналом, ведение отчетности, централизованное управление бизнесом”, категории - ФИО сотрудников, данные о заработной плате, контактные данные, данные клиентов, меры защиты - “использование шифрования, соблюдение корпоративных стандартов защиты данных, заключение соглашений о передаче данных между подразделениями”, основание - “исполнение трудового договора (для сотрудников), исполнение договора с клиентом (если необходимо для обслуживания), законные интересы компании”.

Важно: В каждом из этих примеров российская организация должна убедиться, что она имеет законное основание для трансграничной передачи данных (например, согласие субъекта персональных данных) и что принимаются адекватные меры для защиты данных при их передаче за границу. Также вся информация о трансграничной передаче должна быть отражена в политике конфиденциальности организации.

Трансграничная передача данных – пункт, к которому необходимо отнестись с максимальной ответственностью. Правильное заполнение этого раздела уведомления в Роскомнадзор, а также корректное отражение информации в политике конфиденциальности, поможет вам избежать штрафов и поддерживать репутацию ответственного оператора персональных данных. Не пренебрегайте этим!

Кибербезопасность
25,6 тыс интересуются