Трансграничная передача персональных данных
Организуем трансграничную передачу персональных данных без нарушений, уведомим Роскомнадзор
Что такое трансграничная передача персональных данных?
В соответствии с федеральным законом о персональных данных трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Если в вашей компании существует бизнес-потребность передавать данные за рубеж, то вам необходимо обеспечить юридически обоснованную процедуру трансграничной передачи, соответствующую российскому законодательству.
При легализации трансграничной передачи могут возникнуть ряд сложностей, которые потребуют опыта, квалификации и трудозатрат. Каждый случай уникален и требует индивидуального подхода.
Мы готовы взять все заботы на себя.
Сложности при трансграничной передаче
Подготовка документированной оценки процессов трансграничной передачи по требованиям ст. 12 152-ФЗ.
Учет "адекватных" и "неадекватных" стран в соответствии с требованиями Роскомнадзора.
Трансграничная передача не должна быть связана с процессами сбора персональных данных.
Учет целей трансграничной передачи и перечней персональных данных, сопоставление с уведомлением о намерении осуществлять обработку персональных данных.
Учет встречных потоков персональных данных, регулируемых законодательством других стран.
Нарушения при трансграничной передаче персональных данных
По общему правилу за непредоставление, неполное или несвоевременное предоставление информации компанию могут привлечь к ответственности по ст. 19.7 КоАП РФ за отсутствие уведомления о трансграничной обработке персональных данных, максимальный штраф по которой составляет до 5000 тысяч рублей. Однако с появлением ч. 10 ст. 13.11 КоАП РФ есть существенный риск получить штраф до 300 тысяч рублей, даже если компания добросовестно и своевременно направила в Роскомнадзор уведомление об обработке персональных данных, но намеренно или случайно не указала в нем наличие процессов трансграничной передачи.
По общему правилу за непредоставление, неполное или несвоевременное предоставление информации компанию могут привлечь к ответственности по ст. 19.7 КоАП РФ за отсутствие уведомления о трансграничной обработке персональных данных, максимальный штраф по которой составляет до 5000 тысяч рублей. Однако с появлением ч. 10 ст. 13.11 КоАП РФ есть существенный риск получить штраф до 300 тысяч рублей, даже если компания добросовестно и своевременно направила в Роскомнадзор уведомление об обработке персональных данных, но намеренно или случайно не указала в нем наличие процессов трансграничной передачи.
Риск использования иностранного софта с ИИ, например облачных провайдеров, для обработки персональных данных с мая 2025 года может обернуться для компаний утечкой персональных данных, за что ст. 13.11 КоАП РФ предусмотрены штрафы до 20 млн рублей при первом нарушении и до 500 млн при повторном.
Важно отметить, что трансграничная передача также может служить косвенным индикатором возможного отсутствия полноценной локализации баз данных на территории России, что прямо противоречит ч. 5 ст. 15 ФЗ-152, особенно если такая передача совершается неоднократно и в больших объемах. В таком случае надзорные органы могут провести дополнительную проверку для выяснения истинного положения дел и установления вины оператора, что может послужить основанием для назначения штрафа по ч. 8 ст. 13.11 КоАП РФ в размере до 6 млн рублей для компаний и до 800 тыс. рублей для работников.
Использование компаниями иностранных мессенджеров для передачи персональных данных россиян напрямую влияет на проблему трансграничной передачи персональных данных и создает серьёзные риски для их безопасности. Организациям, которые используют иностранные мессенджеры для обмена данными, грозит наказание по статье 13.11.2 КоАП РФ в виде штрафа до 700 тыс. рублей. Такое положение призвано стимулировать переход на национальные аналоги, такие как отечественные мессенджеры и коммуникационные платформы.
В декабре 2024 года в уголовном законодательстве вступила в силу ст. 272.1 УК РФ, предусматривающая до 8 лет лишения свободы за нарушения, связанные с трансграничной передачей персональных данных граждан России или перевозкой носителей информации с соответствующими сведениями.
Проводим всесторонний анализ текущих процессов на предмет наличия передачи данных за границу, а также определяем будущие намерения компании.
Определим текущие и будущие процессы, в которых наличествует трансграничная передача
Установим состав передаваемых персональных данных, цели, правовые основания и условия трансграничной передачи
Выделим страны, в которые осуществляется или планируется осуществляться трансграничная передача
Систематизируем, классифицируем и сгруппируем процессы по странам (критерий – адекватная защита прав субъектов ПДн)
С целью эффективного преодоления ситуаций, осложняющих и/или препятствующих процессу трансграничной передачи, мы идентифицируем возможные риски: запрета и ограничения трансграничной передачи, задержки начала трансграничной передачи, неправомерной локализации баз персональных данных.
Собираем и анализируем информацию о зарубежных организациях, которым планируется передавать персональные данные.
Полученные сведения позволяют убедиться, что контрагент-получатель способен обеспечить надлежащий уровень защиты данных, а передача будет соответствовать требованиям российского законодательства.
Проверим текущие соглашения с партнерами и/или подготовим новые, в рамках которых будет осуществляться передача персональных данных
Запросим у контрагентов подтверждение обеспечения конфиденциальности персональных данных
Проведём аудит получателей персональных данных с целью описания принимаемых ими мер по обеспечению безопасности, а также описанию условий прекращения обработки
Сформируем описание правового регулирования в государстве получателя данных (при трансграничной передаче в некоторые страны)
Подготавливаем и направляем по доверенности в уполномоченный орган специальное уведомление о намерении осуществлять трансграничную передачу персональных данных.
Роскомнадзор рассматривает уведомление и может принять решение как о разрешении трансграничной передачи, так и о её запрете или ограничении для защиты прав субъектов персональных данных.
Анализируем причины вынесенного решения, изучаем обоснования Роскомнадзора и оцениваем правомерность предъявленных требований. Далее разрабатываем правовые и организационные меры для устранения выявленных нарушений либо корректировки процессов обработки и передачи данных. При необходимости инициируем переговоры с Роскомнадзором и оформляем повторные уведомления.
Исследуем существующую документацию компании на соответствие требованиям законодательства и обстоятельствам трансграничной передачи данных. При необходимости разрабатываем новые или корректируем действующие локальные нормативные акты.
Этот этап позволяет снизить вероятность допущения ошибок, повысить уровень правовой грамотности персонала и обеспечить должное соответствие требованиям регуляторов в реальных рабочих процессах.
Определяем четкие параметры и стандарты, по которым будет оцениваться соответствие обработки и передачи персональных данных законодательству РФ, внутренним политикам и договорным обязательствам
Критерии подробно закрепляются во внутренних локальных нормативных актах и служат основой для регулярных проверок и внешнего аудита, что позволит своевременно выявлять и устранять несоответствия, минимизировать правовые и репутационные риски.
