1. Главная
  2. Статьи

Новые правила трансграничной передачи персональных данных: к чему готовиться бизнесу?

| статьи | печать
опубликовано:«ЭЖ-Юрист» №03 (1254) 2023

С 1 марта 2023 г. вступят в силу новые правила трансграничной передачи персональных данных — ч. 8, 9, 12, 13 ст. 12 Федерального закона «О персональных данных» (далее — Закон о ПД). Правительство приняло два постановления (от 10.01.2023 № 61 и от 16.01.2023 № 242), которыми утверждены правила принятия решения о запрещении или об ограничении трансграничной передачи ПД и о запрещении или об ограничении трансграничной передачи ПД в целях защиты нравственности, здоровья, прав и законных интересов граждан. Данные правила также вступят в силу 1 марта. Эксперты рассказали, в чем между ними разница и что необходимо учесть бизнесу после их вступления в силу с 01.03.2023.

1 Постановление Правительства РФ от 10.01.2023 № 6 «Об утверждении Правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных уполномоченным органом по защите прав субъектов персональных данных и информирования операторов о принятом решении».

2 Постановление Правительства РФ от 16.01.2023 № 24 «Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».

Мнение эксперта

Постановление № 24 устанавливает порядок и сроки рассмотрения уведомления оператора, в том числе основания для его приостановления и продления, направления Роскомнадзором оператору запросов о предоставлении недостающих сведений и (или) пояснений при несоответствии сведений в уведомлении данным в государственных информационных ресурсах, а также о предоставлении дополнительных сведений, в частности, если планируется трансграничная передача различных ПД.

Вполне вероятно под рассматриваемый запрет с 01.03.2023 может попасть использование операторами в своей деятельности ряда иностранных мессенджеров и социальных сетей.

В случае если содержание и объем ПД или категории субъектов ПД не соответствуют цели трансграничной передачи, Роскомнадзор примет решение об ограничении трансграничной передачи ПД.

При устранении причин, повлекших запрещение или ограничение трансграничной передачи ПД, оператор вправе повторно подать уведомление не ранее чем через 10 рабочих дней после первоначального принятия Роскомнадзором соответствующего решения.

Обращаем внимание, что операторы, которые осуществляют трансграничную передачу ПД с 01.09.2022, обязаны подать в Роскомнадзор уведомление об осуществлении трансграничной передачи до 01.03.2023. На Портале персональных данных Роскомнадзора (https://pd.rkn.gov.ru/cross-border-transmission/form/) реализована возможность заполнения и подачи такого уведомления.

В отличие от уведомления о намерении осуществить трансграничную передачу (подается с 01.03.2023) в отношении уведомления об осуществлении трансграничной передачи (подается до 01.03.2023) законом не установлена возможность принятия Роскомнадзором решения о запрещении/ограничении трансграничной передачи по результатам рассмотрения уведомления (письмо Роскомнадзора от 09.11.2022 № 08ВМ-98928 «О результатах рассмотрения письма»).

Поэтому рекомендуется провести аудит бизнес-процессов в компании, выявить все случаи возможной трансграничной передачи ПД, в частности при коммуникации с иностранными контрагентами, в случае использования зарубежного программного обеспечения и облачных сервисов. В зависимости от конкретных обстоятельств подача уведомления о трансграничной передаче ПД до 01.03.2023 может уменьшить риск запрета/ограничения трансграничной передачи персональных данных, которые могут затормозить или полностью заблокировать какие-то процессы в компании и повлечь убытки.

Запрещение/ограничение трансграничной передачи ПД в определенную юрисдикцию может повлечь серьезные последствия для бизнеса, так как может привести к невозможности реализации компаниями процессов в различных областях.

Пока неясно, будут ли публиковаться решения Роскомнадзора о запрещении/ограничении трансграничной передачи ПД в отношении определенных юрисдикций и смогут ли операторы, которые своевременно не направили уведомление об обработке ПД и не были включены в реестр операторов, узнать об установленном запрете/ограничении, а также будут ли для них установлены повышенные санкции в случае нарушений.

Мнение эксперта

Принятые правительством постановления уточняют положения, предусмотренные ч. 8 и 12 ст. 12 Закона о ПД, и устанавливают случаи, когда РКН может ограничить или запретить трансграничную передачу. В таблице представлены особенности обоих постановлений.

Необходимо отметить, что по сравнению с постановлением № 24 постановление № 6 предоставляет меньше гарантий прав операторов ПД: оператор ПД не может заблаговременно узнать о подготовке уполномоченным органом представления в РКН, не может обжаловать его до направления в РКН, обратиться в суд за принятием обеспечительных мер. Это, в свою очередь, может привести к тому, что значимые для коммерческой деятельности информационные процессы могут быть остановлены. Также по настоящий момент не определен полный перечень органов, уполномоченных направлять РКН соответствующие представления.

В любом случае в ближайшее время необходимо будет пристально следить за правоприменительной практикой РКН в сфере трансграничной передачи ПД.

 

Критерий

Часть 8 ст. 12 Закона о ПД

Часть 12 ст. 12 Закона о ПД

Акт, регулирующий процедуру

Постановление Правительства РФ от 16.01.2023 № 24

Постановление Правительства РФ от 10.01.2023 № 6

Цель запрета/ограничения

Защита нравственности, здоровья, прав и законных интересов граждан

  • защита основ конституционного строя РФ и безопасности государства;

  • обеспечение обороны страны;

  • защита экономических и финансовых интересов РФ

Кем принимается решение

РКН

РКН по представлению соответствующего органа государственной власти

Возможность трансграничной передачи до принятия решения

Если государство получающей стороны не включено в перечень, утвержденный приказом РКН от 05.08.2022 № 128, передача не может осуществляться до принятия РКН решения в порядке ч. 8 ст. 12 Закона о ПД. Если государство включено в приказ № 128, в таком случае оператор ПД может начать передачу без получения решения РКН

На основании представления соответствующего органа, вне зависимости от статуса трансграничной передачи (уведомление оператора ПД еще рассматривается или уже было одобрено)

Основания для принятия решения

Для запрета передачи:

  • получающая сторона не принимает меры по защите передаваемых ПД, а также не определены условия прекращения их обработки;

  • иностранное юридическое лицо, которому планируется трансграничная передача ПД, является организацией, деятельность которой запрещена на территории Российской Федерации на основании вступившего в законную силу решения суда;

  • иностранное юридическое лицо, которому планируется трансграничная передача ПД, включено в перечень иностранных и международных неправительственных организаций, деятельность которых признана нежелательной на территории Российской Федерации;

  • трансграничная передача и дальнейшая обработка переданных ПД несовместима с целями сбора ПД;

  • трансграничная передача ПД осуществляется без надлежащего правового основания, предусмотренного ст. 6 Закона о ПД.

Для ограничения передачи:

  • содержание и объем ПД, планируемых к трансграничной передаче, не соответствуют цели трансграничной передачи ПД;

  • категории субъектов ПД, персональные данные которых планируются к трансграничной передаче, не соответствуют цели трансграничной передачи ПД

Уполномоченный орган, обращаясь в РКН, должен лишь описать обстоятельства, свидетельствующие о необходимости принятия соответствующего решения

Сфера действия решения

Запрет распространяется на осуществление трансграничной передачи ПД, указанной в уведомлении оператора ПД

Действие запрета распространяется на осуществление трансграничной передачи ПД, указанной в представлении. Действие ограничения распространяется на содержание, объем ПД, а также на категории субъектов ПД

Возможность обжалования

  • в судебном порядке;

  • в административном порядке. Жалоба рассматривается в течение 10 рабочих дней

Оператор может направить обращение в адрес уполномоченного органа о снятии запрета или ограничения. Обращение рассматривается в течение 10 (может быть продлено до 20) рабочих дней.

Судебное обжалование прямо не предусмотрено, но, полагаем, возможно с учетом правил АПК РФ и КАС РФ

Мнение эксперта

Принятые постановления фактически определяют техническую составляющую порядка осуществления РКН запрета и ограничения трансграничной передачи ПД как в целом, так и тех, передача которых может быть запрещена в отдельных целях.

Предлагаемый порядок никак не минимизирует риски непредсказуемого принятия РКН решений о запрете или ограничении трансграничной передачи ПД в ряде ситуаций (вне процедуры подачи уведомления) по представлению других органов власти, порядок принятия которых определен постановлением № 6. Основной проблемой данного постановления является то, что оператор ПД, чьи имущественные интересы непосредственно затрагиваются действиями госоргана, направляющего представление о запрете или ограничении трансграничной передачи ПД, не только не участвует в рассмотрении вопроса о вынесении такого запрета, а даже не информируется о направлении запроса госорганом в РКН, не предусмотрена и обязанность РКН проинформировать оператора о начале процедуры рассмотрения такого запроса.

Оператор информируется лишь о факте вынесения такого решения, которое само по себе порождает для него неконтролируемый риск приостановки деятельности, основанной на передаче ПД (банковских и иных финансовых операций, туристических поездок, бронирования билетов и т.д.), а также порождает совершенно неисполнимую обязанность потребовать от иностранного контрагента обеспечить уничтожение ранее переданных ПД.

Полагаю, что в целях минимизации рисков неожиданного запрета или ограничения трансграничной передачи ПД операторам ПД возможно рекомендовать:

1. Не дожидаясь установленного законом предельного срока, направить уведомления об осуществлении трансграничной передачи ПД в отношении всех стран, с которыми такая передача осуществляется на постоянной, периодической или разовой основе (по принципу «одна страна — одно уведомление»). В случае получения отказа незамедлительно устранить замечания и подать уведомление вновь, а в случае повторного отказа — предпринять меры, направленные на его обжалование.

2. Усилить процедуру ­KYC («know your customer/client») относительно всех контрагентов, участвующих в процессе трансграничной передачи ПД.

3. Запросить от контрагентов из стран, не входящих в «белый список», сведения о порядке обеспечения защиты ПД, методах их хранения, порядке уничтожения и т.д. Сформировать пакет документов по каждой стране.

4. Ввести комплаенс-процедуры и чек-листы в отношении каждого нового участника трансграничной передачи ПД.

5. Провести независимый аудит системы обработки ПД и сформировать по его результатам систему мер, направленных на предотвращение их утечки, в том числе при трансграничной передаче.

6. Скорректировать декларацию о рисках (или иной документ, распределяющий риски между сторонами правоотношений), включив в него риск наложения запрета на трансграничную передачу ПД как основание, делающее невозможным исполнение той или иной сделки, совершение того или иного юридически значимого действия.

7. Пересмотреть с позиций риска запрета передачи ПД политику страхования профессиональной ответственности либо политику формирования специальных фондов, минимизирующих негативные последствия наложения подобного запрета.

читайте также