14.07.2022 Федеральным законом № 266-ФЗ внесены существенные изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных») в части трансграничной передачи персональных данных, которые вступят в силу уже 01.03.2023.
Дополнительные требования будут действовать в отношении операторов персональных данных.
Кто считается оператором персональных данных?
В соответствии с пунктом 2 статьи 3 Закона о персональных данных оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Например, организация является оператором персональных данных в отношении своих сотрудников и иных физлиц, чьи данные получает.
Что относится к персональным данным и признается их трансграничной передачей?
Напомним, что согласно пункту 1 статьи 3 Закона о персональных данных под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (например, Ф.И.О., гражданство, ИНН, пол и др.).
В свою очередь, трансграничной передачей персональных данных признается передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (пункт 11 статьи 3 Закона о персональных данных).
Несколько примеров трансграничной передачи данных:
Пример 1. Работники направляются в командировку за границу (например, в головную компанию). Работодатель (российская компания) направляет в головную компанию Ф.И.О. работников, номера телефонов, должности и адреса электронной почты для организации встреч на месте.
Пример 2. Для приема соискателей на отдельные должности или для внутреннего перевода необходимо согласование учредителей (участников, акционеров), которые являются иностранными лицами, и для этого им за рубеж направляются персональные данные соискателей/работников.
Что изменится в 2023 году?
С 01.03.2023 оператор до начала трансграничной передачи персональных данных должен будет уведомить Роскомнадзор о своем намерении осуществлять трансграничную передачу персональных данных. Указанное уведомление будет направляться отдельно от уведомления о намерении осуществлять обработку персональных данных, предусмотренного статьей 22 Закона о персональных данных.
При этом обращаем Ваше внимание, что операторы, которые осуществляли трансграничную передачу персональных данных до 01.09.2022 и продолжают осуществлять такую передачу после 01.09.2022, обязаны не позднее 01.03.2023 направить в Роскомнадзор уведомления об осуществлении трансграничной передачи персональных данных.
Уведомление о намерении осуществлять трансграничную передачу персональных данных направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом оператора. Требования к содержанию уведомления предусмотрены частью 4 статьи 12 Закона о персональных данных (в редакции Федерального закона от 14.07.2022 № 266-ФЗ).
Что обязательно нужно сделать до подачи уведомления в Роскомнадзор?
Необходимо получить от иностранных лиц, которым планируется передача персональных данных (органы власти иностранного государства, иностранные физические или юридические лица), следующие сведения:
Почему важно получить вышеуказанные сведения и информацию до направления уведомления в Роскомнадзор?
Они могут быть запрошены Роскомнадзором в целях оценки достоверности сведений, содержащихся непосредственно в уведомлении. В таком случае оператор будет обязан предоставить запрашиваемые данные в Роскомнадзор в течение 10 рабочих дней с даты получения запроса.
Может ли Роскомнадзор запретить или ограничить трансграничную передачу персональных данных?
Да, Роскомнадзор может запретить или ограничить трансграничную передачу персональных данных в целях:
В таком случае оператор будет обязан обеспечить уничтожение иностранными лицами ранее переданных им персональных данных.
Какая ответственность грозит лицам, не направившим или несвоевременно направившим уведомление в Роскомнадзор?
Согласно статье 19.7 Кодекса Российской Федерации об административных правонарушениях непредставление или несвоевременное представление в Роскомнадзор уведомления может повлечь за собой предупреждение или наложение административного штрафа как на должностное, так и на юридическое лицо.
Наши услуги: