Новый порядок трансграничной передачи данных: подать уведомление до 1 марта 2023 года

Что изменилось?
Что сделать до 1 марта 2023 года?
Что делать после 1 марта 2023 года?
В чем разница между уведомлениями, подаваемыми до и после 1 марта 2023 года?
Какие риски и ответственность повлечет нарушение новых требований?
Как бизнесу реагировать на новые правила?

1 марта 2023 года истекает срок на подачу в Роскомнадзор уведомлений об осуществлении трансграничной передачи персональных данных. Новые поправки к закону о персональных данных затронут многие аспекты бизнеса – от командировок работников и до использования иностранных IT-сервисов.

Трансграничная передача предполагает направление персональных данных на территорию иностранного государства органу власти, иностранному физическому лицу или иностранному юридическому лицу. К примеру, трансграничная передача обязательно случится при бронировании гостиницы для командируемого работника или в ходе деловой переписки с иностранными партнерами по электронной почте. Передача данных заграницу может произойти в случае использования иностранных файловых хранилищ, сервисов электронной почты, приложений для управления проектами и иных облачных IT-сервисов (Saas). В Федеральном законе от 27.07.2006 №152-ФЗ «О персональных данных» (далее – «ЗоПДн») установлен порядок трансграничной передачи, которому следуют все операторы (т.е. любые компании или иные лица, работающие с персональными данными).

Что изменилось?

В ст.12 ЗоПДн указано, что оператор вправе направлять персональные данные на территории иностранных государств. Для отправки данных в некоторые государства, например, в США или ОАЭ, необходимо обеспечить наличие специальных правовых оснований, к примеру, согласия в письменной форме субъекта персональных данных. Роскомнадзор получает общие сведения о наличии либо отсутствии трансграничной передачи из уведомления об обработке персональных данных, которое каждый оператор (за редкими исключениями) обязан подать до начала обработки данных и, затем, поддерживать в актуальном состоянии (ст.22 ЗоПдн).

Поправки к ЗоПДн устанавливают новую обязанность оператора подробно уведомлять Роскомнадзор о каждом бизнес-процессе, связанном с трансграничной передачей персональных данных. Надзорный орган получит право запретить или ограничить передачу во внесудебном порядке. При этом утратят силу требования о наличии специального основания для отправки данных в некоторые страны. Исключительные случаи, когда трансграничная передача будет осуществляться без нового уведомления, установлены в Постановлении Правительства РФ от 29.12.2022 №2526. Они касаются осуществления и обеспечения международных перевозок, обеспечения транспортной безопасности, противодействия преступности, дипломатических сношений и других специфических ситуаций, неприменимых к деятельности большинства коммерческих компаний.

Что сделать до 1 марта 2023 года?

Согласно ч.5 ст.6 Федерального закона от 14.07.2022 №266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности», не позднее 1 марта 2023 г. операторы обязаны подать в Роскомнадзор уведомление об осуществлении трансграничной передачи персональных данных.

Это уведомление касается тех процессов, которые начались до 1 марта 2023 г. и продолжатся после этой даты. К примеру, организация регулярно направляет работников в командировку в свое дочернее юридическое лицо за границей и планирует продолжать это делать. Компания уже использует облачную систему управления персоналом от иностранного поставщика и не намерена ее менять. Во всех подобных случаях российская компания должна сделать следующее:

1) Запросить у всех получателей данных – иностранных юридических лиц, иностранных физических лиц и, если применимо, иностранных государств (далее – «получатели данных»), сведения о

• наименовании получателя данных,
• принимаемых им мерах по защите передаваемых персональных данных и условиях прекращения их обработки,
• правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находится получатель данных, а также
• контактных телефонах, почтовых адресах и адресах электронной почты получателя данных.

Информацию о правовом регулировании можно не запрашивать, если персональные данные передаются на территории государств, обеспечивающих адекватную защиту прав субъектов персональных данных. К таковым относятся все стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных либо страны, включенные в утвержденный Роскомнадзором перечень (Израиль, Беларусь, Индия, Казахстан и другие).

2) На основании полученной информации провести «оценку соблюдения конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке» получателями данных (утвержденная методика оценки отсутствует, поэтому российская компания может определить ее самостоятельно).

3) Проверить, что в уведомлении об обработке персональных данных, которое оператор подавал ранее согласно ст.22 ЗоПДн, содержатся актуальные сведения о трансграничной передаче. Если эта информация устарела, то ее необходимо обновить.

4) Заполнить уведомление об осуществлении трансграничной передачи персональных данных и подать его через официальный сайт Роскомнадзора: https://pd.rkn.gov.ru/cross-border-transmission/form/. В уведомлении отражается правовое основание и цель трансграничной передачи и дальнейшей обработки персональных данных, категории передаваемых данных и субъектов, к которым эти данные относятся, перечень иностранных государств, на территорию которых выполняется передача, дата проведения оператором оценки соблюдения получателями данных конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке, а также иные сведения.

Оператор не обязан отражать в тексте уведомления информацию, запрошенную у получателей данных для проведения оценки (шаги 1 и 2). Однако Роскомнадзор вправе затребовать эти сведения у оператора для проверки (ч.6 ст.12 ЗоПДн в новой редакции).

Что делать после 1 марта 2023 года?

Оператор будет обязан проводить оценку конфиденциальности и безопасности и подавать уведомления о намерении осуществлять трансграничную передачу персональных данных в описанном выше порядке всякий раз, когда он планирует

• запустить новый процесс, связанный с отправкой данных за рубеж (к примеру, установить деловое сотрудничество с новым иностранным партнером), либо
• внести изменения в текущий процесс (например, до 1 марта 2023 года он обрабатывал в иностранном облачном сервисе только данные работников, а позднее начал обрабатывать в том же сервисе еще и данные клиентов).

Сразу после подачи уведомления оператор будет вправе осуществлять трансграничную передачу на территории государств, обеспечивающих адекватную защиту прав субъектов персональных данных (ч.10 ст.12 ЗоПДн в новой редакции). Однако в течение 10 рабочих дней после получения уведомления Роскомнадзор будет вправе во внесудебном порядке принять решение о запрещении или ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан. В результате оператору придется отказаться от своих планов или скорректировать их. Согласно п.32 Постановления Правительства РФ от 16.01.2023 №24, решение Роскомнадзора может быть обжаловало вышестоящему должностному лицу в структуре Роскомнадзора или в судебном порядке.

Если оператор планирует направлять данные на территории государств, не обеспечивающих адекватную защиту прав субъектов персональных данных, то такая возможность появится лишь по истечении срока рассмотрения уведомления Роскомнадзором и при условии, что Роскомнадзор не примет решение о запрете или ограничении в ответ на это уведомление.

Поправки вводят еще одну процедуру установления запретов и ограничений на трансграничную передачу. Роскомнадзор получает полномочие принять подобное решение в отношении отдельных государств (и всех операторов, направляющих данные на их территорию) либо в отношении отдельных операторов по представлению федеральных органов исполнительной власти (т.е. во внесудебном порядке) согласно Постановлению Правительства РФ от 10.01.2023 №6.

В чем разница между уведомлениями, подаваемыми до и после 1 марта 2023 года?

Исходя из текста поправок к ст.12 ЗоПДн, содержание уведомлений должно быть идентично. По результатам рассмотрения уведомления, поданного до 1 марта 2023 г., Роскомнадзор не уполномочен принимать решения о запрете или ограничении трансграничной передачи (письмо Роскомнадзора от 09.11.2022 №08ВМ-98928). При рассмотрении уведомления, поданного после 1 марта 2023 г., такое полномочие появится.

Какие риски и ответственность повлечет нарушение новых требований?

Поправки не устанавливают новые штрафы за неисполнение требований по трансграничной передаче. Возможно предположить, что осуществление трансграничной передачи без поданного уведомления или в нарушение введенных запретов или ограничений повлечет административные штрафы до 100 000 руб. на юридическое лицо и/или до 20 000 руб. на его должностное лицо (генерального директора или ответственного за организацию обработки персональных данных) с возможностью увеличения штрафов при повторном нарушении согласно действующим в настоящее время ч.1 и 1.1 ст.13.11 Кодекса РФ об административных правонарушениях («КоАП»). Механизмы привлечения к ответственности будут сформированы судебной практикой.

Основной риск состоит в возникновении существенных затруднений для бизнеса или невозможности ведения дел вовсе в случае принятия Роскомнадзором решения о запрете или ограничении трансграничной передачи персональных данных. Подобное решение может сделать бесполезными инвестиции компании в приобретение прав использования новых IT-продуктов и налаживание внешнеэкономических связей, затруднить коммуникацию между расположенными в разных странах офисами корпорации, привести к невозможности исполнения договорных обязательств перед иностранными контрагентами и иным негативным последствиям.

Как бизнесу реагировать на новые правила?

• Целесообразно отразить максимальное количество бизнес-процессов в подаваемом до 1 марта 2023 г. уведомлении об осуществлении трансграничной передачи персональных данных, поскольку Роскомнадзор не сможет принять решения о запрете или ограничении передачи данных (кроме случаев получения представления от иных федеральных органов, касающегося конкретного оператора или иностранного государства).
• Работу по подготовке уведомления не стоит откладывать на последний день, поскольку она предполагает направление запросов получателям данных и, следовательно, занимает время.
• Необходимо отслеживать все новые процессы трансграничной передачи данных в организации и своевременно подавать уведомления о них, а также следить за решениями Роскомнадзора по запрету или ограничению трансграничной передачи.
• Стоит планировать бизнес-проекты с учетом рисков запрета или ограничения трансграничной передачи. К примеру, дополнять раздел о форс-мажоре в договорах с контрагентами соответствующими условиями, продумать порядок возврата инвестиций при невозможности реализации международного проекта, по возможности использовать российские IT-сервисы вместо иностранных аналогов и свести случаи трансграничной передачи до необходимого минимума.