📌 В конце каждого месяца мы возвращаемся к вашим практическим вопросам и выбираем ситуации, которые стоит разобрать публично — анонимно и с реальной пользой для всех, кто работает с privacy, HR, legal и compliance.
В этот раз наша команда успела подготовить разбор сразу двух ситуаций подписчиков 🔥
СИТУАЦИЯ 1 (прямое цитирование запроса)
«Не могу понять, будет ли нарушением непредоставление или неполное предоставление информации об обработке ПДн по запросу субъекта, которое карается по ч. 4 ст. 13.11, если он обратился только один раз с таким запросом».
Ответ эксперта Б-152:
Да, один единственный запрос субъекта персональных данных в принципе достаточен для состава по ч. 4 ст. 13.11 КоАП РФ.
Право субъекта на получение такой информации закреплено в ст. 14 Закона № 152-ФЗ, а обязанность оператора дать ответ либо мотивированный отказ — в ст. 20 Закона № 152-ФЗ. Базовый срок ответа — 10 рабочих дней, с возможностью продлить его еще максимум на 5 рабочих дней при направлении мотивированного уведомления.
Важно и то, что неполное предоставление информации тоже может подпадать под ч. 4 ст. 13.11 КоАП РФ, если ответ по сути не содержит обязательных сведений из ст. 14 Закона № 152-ФЗ. Например, если оператор не отвечает, обрабатываются ли персональные данные, какие именно данные используются, на каком правовом основании, с какими целями, кому они передаются, каков срок обработки и другие обязательные параметры.
СИТУАЦИЯ 2 (прямое цитирование запроса)
«Наша компания (банк) открывает представительство в Китае, идет процесс оформления. Есть требование о локализации и об уведомлении Роскомнадзора о намерении трансграничной передачи. Абсолютно не понимаю, как подступиться к вопросу, какую информацию запросить у руководителей проекта, чтобы сделать все правильно».
Ответ эксперта Б-152:
По этому вопросу лучше сразу смотреть на процесс целиком, потому что здесь фактически не один запрос, а три отдельных трека.
1️⃣ Разбор нового процесса обработки ПДн
Если банк уже состоит в реестре операторов, нужно проверить, покрывает ли процесс оформления представительства уже заявленные цели обработки персональных данных. Если нет, оператор обязан уведомить Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем изменения.
2️⃣ Уведомление о намерении осуществлять трансграничную передачу
Его нужно подавать до начала такой передачи, и оно подается отдельно от обычного уведомления об обработке по ст. 22 Закона № 152-ФЗ.
Напомним: трансграничной передача признается тогда, когда персональные данные передаются на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
При этом Роскомнадзор уже обозначил позицию: если филиал российской компании за границей не зарегистрирован как отдельное юридическое лицо по законодательству соответствующей страны, передача персональных данных такому филиалу не считается трансграничной.
3️⃣ Локализация
Здесь важно помнить, что сбор персональных данных должен первично осуществляться на территории РФ. А дальнейшая передача в иностранную базу уже должна отдельно оцениваться по правилам ст. 12 Закона о персональных данных.
По Китаю есть отдельный нюанс: он включен в перечень государств, обеспечивающих адекватную защиту прав субъектов ПДн. Но это не отменяет обязанность подать отдельное уведомление о намерении осуществлять трансграничную передачу, если сама передача в вашем случае действительно подпадает под это регулирование.
Благодарим всех, кто присылает свои кейсы. Если в этом месяце вы не увидели разбора на свой вопрос, это не значит, что мы его проигнорировали. Мы продолжаем собирать ситуации и возвращаться к ним в следующих выпусках рубрики #РазборВашейСитуации 💙
👉 Оставить свою ситуацию можно здесь: https://forms.yandex.ru/cloud/69788830505690b956fffab8
