Считаете, что трансграничная передача персональных данных (ПД) – это не про вас? А передача договоров и приложений к ним через Google-диск? А акт самозанятого, загруженный в Dropbox? Или список клиентов, направленный сотруднику на почтовый адрес на Gmail? Все эти привычные действия как раз и есть трансграничная передача ПД, более того – это нарушение.
Проверки
05.05.2025
Поделиться
Проверки
05.05.2025
Поделиться
Трансграничная передача персональных данных: что важно знать
Команда BIZNESINALOGI
Авторы статей и новостей
156
просмотров
Если обрабатываете ПД, т.е. получаете, храните, используете или совершаете иные действия с ними, то вы являетесь оператором ПД. Даже если вы «всего лишь» получили паспортные данные клиентов, создали базу их емейлов, телефонных номеров (все равно обрабатываете ПД), вы признаетесь оператором.
Почему нельзя использовать американские сервисы для обработки ПД
Операторы ПД обязаны использовать для обработки ПД ресурсы, находящиеся на территории России, в т.ч. при сборе данных через интернет (ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон о ПД).
А ведь США не фигурирует в перечне иностранных государств, обеспечивающих адекватную защиту прав субъектов ПД (утв. приказом Роскомнадзора от 05.08.2022 № 128), т.е. американские сервисы вообще нельзя использовать для работы с ПД россиян.
Кстати, использование на сайте интернет-сервиса Google Analytics – это нарушение ч. 5 ст. 18 Закона о ПД, поскольку этот сервис обрабатывает ПД пользователей сайта с использованием баз данных, находящихся вне территории Российской Федерации.
Как правильно передавать ПД за границу
Сначала надо внести ПД в базу данных на территории России, а потом следовать алгоритму, прописанному в ст. 12 Закона о ПД. Вот так он выглядит пошагово (чч. 3–6 ст. 12 Закона о ПД).
Шаг 1. Узнать от потенциальных получателей ПД (органов власти иностранного государства, иностранных физических или юридических лиц) следующую информацию:
-
какие меры по защите передаваемых ПД принимаются будущими получателями, каковы условия прекращения обработки ПД;
-
как местный закон регулирует оборот ПД, если потенциальный получатель не находится в государстве – участнике Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД, а также если это государство не включено в перечень Роскомнадзора (см. выше);
-
сведения о потенциальном получателе ПД (наименование, Ф.И.О., номера контактных телефонов, почтовые адреса и адреса электронной почты).
Всю полученную информацию документируйте и сохраняйте, чтобы быть готовым представить ее в Роскомнадзор по запросу.
Шаг 2. Направить в Роскомнадзор уведомление о трансграничной передаче ПД.
Если вы подали уведомление до 1 марта 2023 г., то новое подавать не надо до тех пор, пока не будут созданы новые трансграничные потоки данных – например, потребуется передача ПД в новые страны, для новых целей.
Уведомление можно составить на сайте ведомства одним из следующих способов:
-
в бумажном виде в территориальный орган Роскомнадзора;
-
в электронном виде с использованием УКЭП;
-
в электронном виде с использованием средств аутентификации ЕСИА через Госуслуги.
Исключение может быть сделано лишь в экстренных ситуациях, например, если немедленная передача ПД необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта ПД или других лиц.
Если Роскомнадзор запретит передачу, то оператору необходимо обеспечить уничтожение иностранными лицами ранее переданных им ПД (чч. 7, 8, 12–14 ст. 12 Закона о ПД). Правда, каким образом это можно реально сделать, непонятно. Полагаем, что в любом случае надо оформить и направить требование об уничтожении.
Что ждет нарушителей
Штрафы за нарушения, связанные с трансграничной передачей ПД, довольно велики: для должностных лиц и ИП – от 100 000 до 200 000 руб., для фирм – от 1 млн до 6 млн руб., при повторном нарушении ИП и должностными лицами – уже до 800 000 руб., юрлицами – до 18 млн руб. (чч. 8, 9 ст. 13.11 КоАП).
Не исключена и уголовная ответственность по ст. 272.1 УК, причем не просто за незаконное использование и (или) передачу (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей ПД, а за эти действия, сопряженные с трансграничной передачей (ч. 4 ст. 272.1 УК). А это лишение свободы на срок до восьми лет со штрафом до 2 млн руб. или в размере зарплаты (или иного дохода) осужденного за период до трех лет. Не исключено и лишение права занимать определенные должности или заниматься определенной деятельностью на срок до четырех лет.
Что еще почитать
Команда BIZNESINALOGI
Авторы статей и новостей
Вам также может быть интересно
Проверки
Проверки
Внеплановая проверка
