Если организация передает персональные данные физических лиц за пределы РФ, она осуществляет трансграничную передачу персональных данных. При этом нужно соблюдать требования законодательства, в частности уведомлять Роскомнадзор о своих действиях. Какие требования закона регулируют данный процесс — узнаете из статьи.
Что такое трансграничная передача
Трансграничная передача персональных данных – это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Соответственно, в любых случаях передачи персональной информации за пределы РФ необходимо соблюдать правила трансграничной передачи (п.11 ст. 3 Закона № 152-ФЗ).
Когда используют трансграничную передачу
На практике трансграничная передача осуществляется в следующих случаях:
- отправка документов, содержащих персональные данные, по электронной почте лицу, находящемуся за пределами РФ, например иностранному партнеру;
- бронирование номеров для сотрудников при направлении их в загранкомандировки;
- использование иностранных сервисов рассылок, платформ для хранения персональных данных;
- другие ситуации, когда необходимо передать персональные данные за пределы РФ.
Как осуществляется трансграничная передача
Перед началом осуществления передачи данных за пределы РФ оператор обязан получить ряд сведений, указанных в Законе о персональных данных, от органов власти иностранного государства, иностранных физических или юридических лиц, которым планируется передача:
- информацию о принимаемых органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами мерах по защите передаваемых данных и об условиях прекращения их обработки;
- информацию о правовом регулировании в области персональных данных иностранного государства (в случае передачи в страны, которые не являются стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенные в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных);
- информацию об органах власти иностранного государства, иностранных физических лицах, иностранных юридических лицах, которым планируется передача данных (ч. 5 ст. 12 Закона № 152-ФЗ).
Такие сведения никуда направлять не нужно, они должны быть представлены по запросу Роскомнадзора.
О чем нужно уведомить Роскомнадзор
После получения сведений оператор обязан уведомить Роскомнадзор о своем намерении передавать персональные данные за пределы РФ. Уведомление следует направлять в виде документа на бумажном носителе или в электронном виде отдельно от уведомления о намерении осуществлять обработку персональных данных. Форма уведомления нормативно не определена, оператор может разработать ее самостоятельно. В уведомлении должны содержаться обязательные сведения, предусмотренные Законом (ч. 4 ст. 12 Закона № 152-ФЗ).
В каких случаях Роскомнадзор запретит передачу
Ведомство может запретить или ограничить предоставление информации в другие страны. Критерии, по которым контролирующий орган может запретить или ограничить такую передачу, утверждены Правительством РФ (Постановление Правительства РФ от 16.01.2023 № 24).
Передачу запретят, если:
- страна, иностранные физлица или организации, которым оператор хочет направлять сведения, не защищают эту информацию, а также не определены условия прекращения их обработки;
- суд запретил деятельность в РФ зарубежного юридического лица и это решение вступило в силу;
- иностранную организацию включили в список нежелательных в РФ;
- трансграничная передача и дальнейшая обработка данных не отвечают целям их сбора;
- данные, которые планируют направить, нельзя обрабатывать.
Передачу могут ограничить в следующих случаях:
- содержание и объем личных сведений не соответствуют цели такой передачи;
- категории физлиц, данные которых хотят направить, не отвечают этой цели.
Решение госорган принимает в течение 10 рабочих дней с даты поступления уведомления. Если после получения уведомления Роскомнадзор запросил дополнительные сведения, полученные оператором в соответствии с законом, то рассмотрение такого уведомления приостанавливается до даты предоставления оператором запрошенной информации (ч. 5 ст. 12 Закона № 152-ФЗ).
Что можно и нельзя после получения ответа Роскомнадзора
После направления уведомления, до получения ответа Роскомнадзора:
| Можно | Нельзя |
|---|---|
| Передавать персональные данные на территории указанных в уведомлении иностранных государств, которые являются сторонами Конвенции Совета Европы или включены в Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. | Передавать персональные данные на территории указанных в уведомлении иностранных государств, которые не являются сторонами названной Конвенции Совета Европы и не включены в упомянутый Перечень. Исключение: когда такая передача необходима для защиты жизни, здоровья, иных жизненно важных интересов. |
Внимание
Если по итогам рассмотрения уведомления Роскомнадзор запрещает трансграничную передачу, то оператор обязан обеспечить уничтожение иностранными лицами ранее переданной им информации.
Информацию о статусе и результате рассмотрения уведомления о намерении осуществлять трансграничную передачу вы можете проверить на официальном сайте Роскомнадзора.
Обработка персональных данных – это сложная тема, которая содержит множество нюансов. Кроме того, за нарушения в данной области предусмотрены внушительные штрафы. Разобраться в теме с учетом всех изменений законодательства, разъяснений госорганов и анализа судебной практики помогут материалы от экспертов КонсультантПлюс.
