Для того чтобы персонализировать сайт и предоставить вам максимальную пользу, мы используем файлы cookie. Среди прочего, они используются для анализа поведения пользователей, чтобы выяснить, как мы можем улучшить работу сайта для вас. Пользуясь сайтом, вы соглашаетесь с их использованием. Более подробную информацию вы можете найти в нашей Политике конфиденциальности.



Срочная информация: Новые правила трансграничной передачи данных

PrintMailRate-it

14 июля 2022 года Федеральным законом №266 (далее-новая редакция Закона) были приняты массивные изменения в Федеральный закон о персональных данных 27 июля 2006 г. N 152-ФЗ (дале- 152-ФЗ). В частности, изменения коснулись порядка трансграничной передачи персональных данных. Нововведения в этом отношении вступают в силу 1 марта 2023 года.


Так, с 1 марта 2023 года вводятся обязательный  уведомительный порядок при трансграничной передаче данных оператором.  Указанный уведомительный  порядок является дополнительным и не освобождает оператора персональных данных от подачи уведомления о начале обработки персональных данных в порядке предусмотренном ст. 22 152-ФЗ


До подачи уведомления  о трансграничной передачи данных оператор обязан получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, следующие сведения:

  1. сведения о принимаемых органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
  2. информацию о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся органы власти иностранного государства, иностранные физические лица, иностранные юридические лица, которым планируется трансграничная передача персональных данных (в случае, если предполагается осуществление трансграничной передачи персональных данных органам власти иностранного государства, иностранным физическим лицам, иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных);
  3. сведения об органах власти иностранного государства, иностранных физических лицах, иностранных юридических лицах, которым планируется трансграничная передача персональных данных (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

Указанные сведения и информация могут быть дополнительно запрошены Роскомнадзором у оператора для принятия решения о запрещении или ограничении трансграничной передачи данных. Срок предоставления таких сведений и информации составляет 10 рабочих дней и может быть продлен максимально на 5 рабочих дней при условии наличия мотивированного основания, предоставленного оператором.

Выбор процедуры передачи данных зависит от того,  обеспечивает ли государство куда планируется передача персональных данных адекватную защиту данных или нет. Напомним, что в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, включаются государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иностранные государства, не являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер по обеспечению конфиденциальности и безопасности персональных данных при их обработке. 

В случае, если персональные данные передаются в государство, обеспечивающее адекватную защиту персональных данных, применяется уведомительная  процедура, сразу после подачи уведомления, оператор данных имеет право начать трансграничную передачу персональных данных (п.10 ст.12 новой редакции Закона). Следует принять во внимание, что Роскомнадзор может  ограничить или запретить передачу данных по результатам рассмотрения уведомления. 

При передаче персональных данных в страны не обеспечивающие адекватной защиты прав субъектов персональных данных, применяется разрешительная процедура. Установлен запрет на передачу персональных данных до момента истечения срока рассмотрения уведомления.

Срок рассмотрения уведомления о намерении осуществлять передачу данных составляет 10  рабочих дней.  По результатам рассмотрения уведомления принимается решение о «запрещении или об ограничении трансграничной передачи персональных данных в целях защиты конституционного строя, нравственности, здоровья, прав и законных интересов граждан».  В случае, если такое решение будет принято, то оператор обязан обеспечить уничтожение органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных. 
Отметим, что операторы, уже осуществляющие трансграничную передачу персональных данных на дату вступления в силу Закона, обязаны не позднее 1 марта 2023 г. направить в РКН уведомление об осуществлении трансграничной передачи персональных данных.
В настоящее время порядок применения новых норм законодательства вызывает много вопросов   поскольку подробных разъяснений о нововведениях со стороны уполномоченных органов не поступало.

В частности, остаются открытыми следующие вопросы:

  • как будет оформлено решение о разрешении трансграничной передачи персональных данных, или отсутствие ответа с запрещением или ограничением будет уже считаться разрешением на трансграничную передачу персональных данных? 
  • В какой форме должны подаваться оператором сведения о принимаемых органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, мерах по защите передаваемых персональных данных и об условиях прекращения их обработки? 
  • Как корреспондирует предоставление сведений с контактными данными, телефонами, адресами физических лиц которым планируется трансграничная передача с нормативными правовыми актами той страны в которую планируется передача персональных данных, не возникает ли коллизии в указанном случае?
  • Как часто должны передаваться сведения о трансграничной передаче персональных данных, идет ли речь о совокупности данных, объединенных единой целью (проектом или информацией о сотрудниках, передаваемых в материнскую компанию) или все-таки имеется в виду каждый факт трансграничной передачи данных? 

Необходимость подачи таких уведомлений, а также возможность получения запрета или ограничения на трансграничную передачу данных безусловно создаст дополнительные административные барьеры для бизнеса. Значимость данных издержек напрямую зависит от качества подзаконных нормативных актов, автоматизации процессов обработки уведомлений и прозрачности процедур в целом.

Контактное лицо

Contact Person Picture

к.ю.н. Tatiana Vukolova

Юрист

Ассоциированный партнёр

+7 495 9335 120
+7 495 9335 121

Отправить запрос

Профиль

 РОССИЙСКИЙ ИНФОРМАЦИОННЫЙ ОБЗОР

Deutschland Weltweit Search Menu