Согласно закону, трансграничная передача персональных данных (ТППДн) представляет собой процесс, в ходе которого персональные данные субъекта попадают на территорию другого государства.
Основным критерием является местоположение сервера или физического лица, получившего доступ к информации, независимо от гражданства или юрисдикции этого лица. Важно отметить, что даже если данные передаются российскому партнеру, но через программу, размещенную на зарубежном сервере, такая операция всё равно классифицируется как трансграничная передача персональных данных.
C 1 марта 2023 года вступил в силу новый порядок информирования Роскомнадзора о трансграничной передаче данных.
Роскомнадзор будет рассматривать уведомления операторов о намерении осуществлять трансграничную передачу персональных данных и по итогам рассмотрения будет вправе принять решение о запрете или ограничении передачи персональных данных в другие страны. До истечения 10 рабочих дней после подачи такого уведомления запрещено будет передавать данные в страны, не обеспечивающие адекватный уровень защиты прав субъектов персональных данных, за исключением случая, если такая трансграничная передача персональных данных необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц.
Критерии трансграничной передачи данных включают ситуации, когда:
- Данные покидают территорию России.
- Их отправляют иностранному гражданину или иностранной компании.
Обучение по персональным данным: https://mediator-pravo.ru/personal-dannie
Готовые документы по персональным данным: https://mediator-pravo.ru/personal-dannie
Примеры таких случаев:
- Перемещение персональных данных физических лиц на зарубежные серверы организаций.
- Обмен информацией между подразделениями одной компании, находящимися в разных странах.
- Отправка личной информации партнерам за границей для дальнейшей обработки или анализа.
В каких случаях нужно уведомлять о трансграничной передаче
- вы отправляете в иностранный отель паспортные данные работников для бронирования;
- вы передаете данные работников для открытия банковского счета в другой стране;
Когда не нужно отправлять уведомление:
- ваш работник находится за границей и обрабатывает персональные данные для исполнения своих должностных обязанностей;
- вы передаете персональные данные представительству иностранной компании, которое находится в России;
- вы передаете персональные данные своему зарубежному представительству.
Обратите внимание: если российские контрагенты используют иностранные серверы для передачи данных, такая ситуация тоже квалифицируется как трансграничная передача.
Особенности, которые оператор обязан учесть при трансграничной передаче персональных данных:
- Основание для передачи может быть согласовано либо договором, либо специальным разрешением субъекта данных. Однако, если используется договор, он обязательно должен включать конкретные сведения о предоставляемых персональных данных и контактную информацию зарубежного получателя.
- До начала процедуры передачи оператор обязан направить уведомление о намерении осуществить трансграничную передачу. Такое уведомление рассматривается компетентными органами в течение десяти рабочих дней, однако передача данных может начаться непосредственно после отправки уведомления.
Типичные виды данных, используемых при оказании туристических услуг, включают три основных группы:
1. Идентификационные и контактные данные — необходимы для подписания договора: фамилия, имя, отчество, дата и место рождения, реквизиты российского и загранпаспорта, адрес прописки, телефонные номера, электронная почта.
2. Дополнительные сведения, важные для предоставления качественных услуг: информация о семейном статусе, количестве членов семьи и возраст детей (это влияет на выбор номеров отелей, расчет стоимости путевки и скидки), наличие визовых разрешений и прочих официальных бумаг.
3. Специальные категории данных — самая конфиденциальная группа, включающая медицинскую информацию (например, состояние здоровья). Такие данные требуются для страхования туристов, выбора специализированных продуктов питания в гостинице или обеспечения медицинской поддержки в поездке.
Список государств, признанных обеспечивающими должный уровень защиты персональных данных, определен приказом Роскомнадзора от 05.08.2022 №128. Этот перечень включает страны-члены Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также государства, чьи правовые нормы и механизмы защиты отвечают высоким требованиям указанной Конвенции.
https://publication.pravo.gov.ru/Document/View/0001202209200008?index=2&rangeSize=1
Внимание! Среди стран, одобренных Роскомнадзором для безопасной передачи персональных данных, числятся популярные туристические направления, включая Турцию, Грецию, Монако, Мексику, Черногорию, Израиль, Бразилию и другие.
Однако Соединённые Штаты Америки отсутствуют в данном перечне. Несмотря на включение некоторых стран в список надежных («зеленые»), они одновременно могут оказаться среди тех, кого российское правительство признало недружественными странами (Распоряжение Правительства РФ от 05.03.2022 № 430-р). Следовательно, желательно относиться к таким государствам аналогично странам, не обеспечивающим достаточную защиту данных.
Что делать, если страна-получатель не соответствует критериям надежной защиты?
В таком случае оператору потребуется отправить уведомление в Роскомнадзор о планируемой трансграничной передаче персональных данных. После подачи уведомления придется ожидать проверку в течение 10 рабочих дней. Пока ведомство не даст официальное одобрение, передавать данные за рубеж нельзя — в противном случае деятельность может быть ограничена решением регулятора.
Регулирование трансграничной передачи персональных данных имеет ряд особенностей:
- Список стран, гарантирующих адекватную защиту персональных данных, определён приказом Роскомнадзора от 05.08.2022 №128. К ним относятся участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также государства, соответствующие её нормам и требованиям безопасности.
- Для отправки данных за пределы России требуется согласие их владельца, кроме ситуаций, предусмотренных законодательством (список исключений приведён в Постановлении Правительства РФ от 29.12.2022 №2526).
- При намерении передать данные в страну, не являющуюся участником вышеуказанной конвенции, оператор обязан самостоятельно убедиться в надёжности мер защиты обрабатываемой информации.
Процедура уведомления оператора выглядит следующим образом:
Оператор обязан представить в Роскомнадзор уведомление о намерении провести трансграничную передачу персональных данных. В документе необходимо отразить следующую информацию:
- Полное наименование (Ф.И.О.) оператора, его местонахождение, дату и регистрационный номер предыдущего уведомления, направленного в Роскомнадзор относительно обработки персональных данных.
- Фамилия, имя, отчество должностного лица, ответственного за организацию обработки персональных данных, а также контактные телефоны, почтовые и электронные адреса.
- Юридические основания и цели передачи данных за границу, включая дальнейшую обработку полученной информации.
- Категории и содержание передаваемых персональных данных.
- Состав групп субъектов персональных данных, чьи данные подлежат передаче.
- Перечень зарубежных государств, на территории которых планируется размещение персональных данных.
- Дата проведения оператором внутренней проверки соответствия принимаемых государством мер по охране конфиденциальности и защите персональных данных.
Рассмотрение уведомления займёт около 10 рабочих дней. Только после завершения проверки разрешается приступить к процессу передачи данных. Исключение составляют некоторые страны, входящие в Конвенцию Совета Европы и перечень Роскомнадзора №128, для которых предварительное ожидание одобрения необязательно — данные можно передавать до возможного ограничения или запрета со стороны ведомства.
Требования к безопасности
Требования к обеспечению безопасности при трансграничной передаче персональных данных:
1. Использование надлежащих методов защиты данных, таких как шифрование, защищённые каналы связи и современные протоколы аутентификации.
2. Заключение соглашений с иностранными партнерами, предусматривающих обязательства сторон по обеспечению конфиденциальности и ответственности.
3. Изучение национального законодательства и практик обработки персональных данных в стране назначения (часть 5 статьи 12 Федерального закона №152-ФЗ).
Ответственность за нарушение правил трансграничной передачи:
Незаконная передача персональных данных за границу без согласия субъекта влечет административную ответственность (статья 13.11 КоАП РФ):
- Штраф для должностных лиц и индивидуальных предпринимателей: от 100 до 300 тысяч рублей.
- Штраф для юридических лиц: от 300 до 700 тысяч рублей.
Эти увеличенные размеры штрафов были введены Федеральным законом от 30 ноября 2024 года №420-ФЗ и действуют с 30 мая 2025 года.
Кроме того, несвоевременное уведомление Роскомнадзора о планирующейся трансграничной передаче наказывается административным штрафом (часть 10 статьи 13.11 КоАП РФ):
- Для должностных лиц: от 30 до 50 тысяч рублей.
- Для юридических лиц: от 100 до 300 тысяч рублей.
Получение разрешения на трансграничную передачу персональных
Получение разрешения на трансграничную передачу персональных данных регулируется Федеральным законом № 152-ФЗ «О персональных данных» и Правилами трансграничной передачи персональных данных, утвержденными Постановлением Правительства РФ № 884 от 13 июня 2023 г.
Шаги для получения разрешения
1. Определение условий законности передачи данных
Передача должна соответствовать следующим условиям:
- Передача осуществляется в страну, обеспечивающую адекватную защиту прав субъектов персональных данных согласно международным договорам РФ.
- Если страна не обеспечивает такую защиту, передача возможна только при наличии письменного согласия субъекта персональных данных либо в рамках исполнения договора с субъектом данных.
2. Подготовка документов
Для подачи заявления на получение разрешения оператору необходимо подготовить следующий пакет документов:
- Заявление установленного образца (форма утверждена Приказом Роскомнадзора).
- Копия документа, подтверждающего согласие субъекта персональных данных на обработку и передачу его данных (если применимо).
- Документы, подтверждающие меры защиты передаваемых данных (например, договор об обеспечении информационной безопасности с принимающей стороной).
- Описание целей обработки и объема передаваемых данных.
3. Обращение в уполномоченный орган
Заявление подается в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
4. Получение решения
По результатам рассмотрения заявление получает положительное решение, отказ или предписание устранить выявленные нарушения.
Таким образом, процедура включает юридически точное оформление документов, соблюдение требований конфиденциальности и информирование субъектов данных о предстоящей передаче их персональных сведений.
Пример заполненного разрешения: https://pd.rkn.gov.ru/docs/primer_zapolnenija_uvedomlenija_TPdn.pdf
Некоторые рекомендации по заполнению уведомления:
Форма доступна по адресу: https://pd.rkn.gov.ru/cross-border-transmission/form2
Аббревиатура РОПД обозначает Реестр операторов персональных данных.
Цель трансграничной передачи — это деятельность, для которой требуется отправить личные данные за границу. Цели должны соответствовать целям деятельности оператора или законодательным требованиям. Примером цели может служить формулировка типа «бронирование гостиницы для выполнения обязательств по договору об оказании туристических услуг».
Правовым основанием для трансграничной передачи может выступать письменное согласие субъекта персональных данных или отдельные случаи, указанные в федеральном законодательстве.
Дата окончания оценки указывается конкретно, когда оператор получил необходимую информацию от иностранного партнера, соответствующую требованиям части 5 статьи 12 Закона №152-ФЗ. Эта дата не может предшествовать дате подачи уведомления.
Из письма Роскомнадзора
Ограничений на количество и частоту подачи таких уведомлений Закон N 266-ФЗ не установил. Оператор вправе направить как одно, так и несколько уведомлений об осуществлении трансграничной передачи персональных данных. В состав каждого такого уведомления необходимо включать сведения, предусмотренные ч. 4 ст. 12 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) в редакции Закона N 266-ФЗ, в том числе страны, на территорию которых осуществляется трансграничная передача персональных данных.
Полагаем, что допустимо включение в состав такого уведомления информации о трансграничной передаче персональных данных, которую оператор предполагает начать осуществлять до 1 марта 2023 года.
Закон N 266-ФЗ не предусматривает направление в Роскомнадзор уведомлений об осуществлении трансграничной передачи персональных данных после 1 марта 2023 года.
В случае изменений в деятельности оператора, указанной в уведомлении(ях) об осуществлении трансграничной передачи, в том числе при расширении перечня целей трансграничной передачи, либо перечня стран, на территорию которых планируется трансграничная передача, если такие изменения будут происходить после 1 марта 2023 года, оператор обязан направлять уведомление о намерении осуществлять трансграничную передачу персональных данных в порядке, предусмотренном ст. 12 Закона N 152-ФЗ в редакции Закона N 266-ФЗ.
Необходимо отметить, что в соответствии с Законом N 266-ФЗ после направления уведомления о намерении осуществлять трансграничную передачу персональных данных, в течение срока, предусмотренного ч. 9 ст. 12 Закона N 152-ФЗ в редакции Закона N 266-ФЗ, такая трансграничная передача допускается лишь в страны, обеспечивающие адекватный уровень защиты прав субъектов персональных данных.
Обучение по персональным данным: https://mediator-pravo.ru/personal-dannie
Готовые документы по персональным данным: https://mediator-pravo.ru/personal-dannie
