Этой осенью вступили в силу самые масштабные с 2011 года поправки в российский закон о персональных данных. Как привести бизнес-процессы компаний в соответствие с новыми правилами - рассказываем в экспертном обзоре от Б-152 с конкретными рекомендациями.
В этой статье разбираем, как поправки коснулись трансграничной передачи данных. Отдельно выйдут материалы о том, какие изменения вносить в документы по ПДн, как вести реестр обработки ПДн, как уничтожать избыточные данные и т.д.
Ликбез
Трансграничная передача ПДн — это процесс, который соответствует следующим критериям:
передаются ПДн
на территорию другого государства
иностранному физическому, юридическому лицу или органу власти.
Важно! Есть 2 процесса, которые часто путают с трансграничной передачей, однако они таковыми не являются:
Сбор ПДн граждан России непосредственно иностранной компанией.
Это именно сбор, в этой ситуации нормы о трансграничной передаче не применяются.
Компания находится в России, собирает ПДн и передает их своему штатному сотруднику в другой стране.
Когда физическое лицо — не самостоятельный субъект, а представитель компании, то речь идет о доступе к данным, предоставляемом лицу за пределами офиса, а не о “передаче иностранному физлицу/юрлицу/органу”.
Что меняется
Трансграничная передача - это один из видов обработки ПДн. Любая обработка должна осуществляться с соблюдением принципов и правил, предусмотренных 152-ФЗ, и допускается:
с согласия субъекта
для исполнения договора
с 1 марта 2023 - еще и с предварительного уведомления Роскомнадзора.
Уведомление РКН: порядок действий
1. Скачать форму уведомления об осуществлении трансграничной передачи ПДн
https://pd.rkn.gov.ru/cross-border-transmission/form/
2. Заполнить форму
наименование, адрес, контакты
реквизиты уведомления
контакты DPO (ответственный за организацию обработки ПДн)
основание и цель дальнейшей обработки
перечень ПДн и категории субъектов
перечень иностранных государств импортера ПДн
дата оценки конфиденциальности и безопасности (в стране, в которую ПДн передаются)
3. Получить от импортера сведения о:
мерах по защите ПДн и и условиях прекращения обработки
правовом регулировании иностранного государства-импортера
контактах импортера
РКН может запросить представление этих сведений, но получить их от импортера будет сложно, скорее всего придется готовить все самостоятельно.
4. Направить уведомление на бумажном или электронном носителе.
5. Дождаться решения РКН
В случае со странами, «обеспечивающими адекватную защиту», трансграничная передача разрешена сразу после подачи уведомления. Подразумеваются государства, подписавшие Конвенцию №108, и те, которые указаны в приказе Роскомнадзора в качестве «адекватных» стран.
В случае с остальными странами нужно дождаться решения от РКН. По умолчанию это занимает 10 рабочих дней, но срок может быть увеличен на 10-15 дней в зависимости от предоставления сведений, касающихся мер защиты в стране-импортере.
6. Обеспечить уничтожение импортером ПДн в случае наложения запрета или ограничения от РКН после подачи уведомления
Важно: Роскомнадзор пояснил, что подавать уведомление о трансграничной передаче данных нужно будет 1 раз в отношении конкретной страны (из «адекватных»).
Чек-лист на случай запрета или ограничения от РКН на трансграничную передачу:
1. Вести реестр процессов сбора и обработки ПДн
Без него невозможно выполнить следующие пункты, так как именно реестр дает четкое понимание, какие передачи в какие страны у вас ведутся.
2. Оценить необходимость продолжать трансграничную передачу ПДн
Можем ли избавиться от процесса? Перейти на альтернативное решение? Поменять неадекватную страну на адекватную?
3. Вести учет импортеров и упорядочить взаимодействие с ними
В связи с изменениями компаниям-операторам ПДн придется связываться со всеми импортерами и налаживать коммуникацию для получения от них необходимой информации, которую в случае чего будет нужно предоставлять в РКН.
4. Отслеживать разъяснения, практику, закладывать риски и ресурсы
Первые запреты будут получены в марте-апреле 2023, тогда появится первая практика и понимание, что делать в подобных ситуациях: можно ли судиться с надзорным органом, подавать апелляции и т.д.
5. Собрать сведения о мерах защиты ПДн в странах импортеров
Подразумеваются не средства технической защита, а именно меры защиты прав и интересов физлиц, чьи данные были переданы.
6. Не паниковать и преждевременно не менять бизнес-процессы
Необходимо готовиться планомерно, общаться с экспертами, задавать вопросы в privacy-сообществах.
Максим Лагутин
ведущий эксперт по защите персональных данных
Комментарии (4)
aborouhin
13.11.2022 17:57Практическую полезность статьи сильно увеличили бы конкретные примеры, считать ли трансграничной передачей и если да - как легализовать оную, в часто встречающихся сценариях (если у нас за границей SaaS, DBaaS, виртуальный сервер, облачное хранилище, резервные копии и т.п.) Более или менее однозначно всё в случае с SaaS, когда данные реально передаются конкретному иностранному лицу - провайдеру этого сервиса, для которого ПнД выглядят именно как ПнД, а не как набор байтов, и которое поэтому может выполнить требования по их защите, удалению и т.п. В остальных вариантах остаётся простор для широкой трактовки...
svboobnov
14.11.2022 13:29Вот вам сценарий, который может стать реальностью:
1. Опрашиваем клиентов с помощью WhatsApp (в любом виде: и в виде текстового чата с ботом и в виде файлов - форм с ответами), ответы содержат ПДн;Сушим сухари, готовимся к путешествиям в казённые дома.
Почему?
А) Серверы WhatsApp, Slack, Zoom и других подобных сервисов находятся за рубежом;
Б) в пользовательском соглашении указано, что провайдер услуги может творить с данными, передаваемыми через его серверы, всё, что угодно и по запросу властей отдаст любые данные.
https://faq.whatsapp.com/808280033839222/
https://www.whatsapp.com/legal/privacy-policy-eea#ea2SG9qUySboIlMvL
https://slack.com/trust/privacy/privacy-policy#collect
avelor
..если что, под трансграничку можно подвести как всякие azure ad со слаками и атласианами, так и документы содержащие ПДн сотрудников или клиентов в условном гуглдоке.
Protos
Можно устроить сэра Micro Soft как штатного сотрудника и не париться.