14.07.2022 Федеральным законом № 266-ФЗ внесены существенные изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных») в части трансграничной передачи персональных данных, которые вступят в силу уже 01.03.2023.
Дополнительные требования будут действовать в отношении операторов персональных данных.
Кто считается оператором персональных данных?
В соответствии с пунктом 2 статьи 3 Закона о персональных данных оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Например, организация является оператором персональных данных в отношении своих сотрудников и иных физлиц, чьи данные получает.
Что относится к персональным данным и признается их трансграничной передачей?
Напомним, что согласно пункту 1 статьи 3 Закона о персональных данных под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (например, Ф.И.О., гражданство, ИНН, пол и др.).
В свою очередь, трансграничной передачей персональных данных признается передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (пункт 11 статьи 3 Закона о персональных данных).
Несколько примеров трансграничной передачи данных:
Пример 1. Работники направляются в командировку за границу (например, в головную компанию). Работодатель (российская компания) направляет в головную компанию Ф.И.О. работников, номера телефонов, должности и адреса электронной почты для организации встреч на месте.
Пример 2. Для приема соискателей на отдельные должности или для внутреннего перевода необходимо согласование учредителей (участников, акционеров), которые являются иностранными лицами, и для этого им за рубеж направляются персональные данные соискателей/работников.
Что изменится в 2023 году?
С 01.03.2023 оператор до начала трансграничной передачи персональных данных должен будет уведомить Роскомнадзор о своем намерении осуществлять трансграничную передачу персональных данных. Указанное уведомление будет направляться отдельно от уведомления о намерении осуществлять обработку персональных данных, предусмотренного статьей 22 Закона о персональных данных.
При этом обращаем Ваше внимание, что операторы, которые осуществляли трансграничную передачу персональных данных до 01.09.2022 и продолжают осуществлять такую передачу после 01.09.2022, обязаны не позднее 01.03.2023 направить в Роскомнадзор уведомления об осуществлении трансграничной передачи персональных данных.
Уведомление о намерении осуществлять трансграничную передачу персональных данных направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом оператора. Требования к содержанию уведомления предусмотрены частью 4 статьи 12 Закона о персональных данных (в редакции Федерального закона от 14.07.2022 № 266-ФЗ).
Что обязательно нужно сделать до подачи уведомления в Роскомнадзор?
Необходимо получить от иностранных лиц, которым планируется передача персональных данных (органы власти иностранного государства, иностранные физические или юридические лица), следующие сведения:
- сведения о принимаемых иностранными лицами мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
- информацию о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся иностранные лица;
- сведения об иностранных лицах (наименование либо Ф.И.О., а также номера контактных телефонов, почтовые адреса и адреса электронной почты).
Почему важно получить вышеуказанные сведения и информацию до направления уведомления в Роскомнадзор?
Они могут быть запрошены Роскомнадзором в целях оценки достоверности сведений, содержащихся непосредственно в уведомлении. В таком случае оператор будет обязан предоставить запрашиваемые данные в Роскомнадзор в течение 10 рабочих дней с даты получения запроса.
Может ли Роскомнадзор запретить или ограничить трансграничную передачу персональных данных?
Да, Роскомнадзор может запретить или ограничить трансграничную передачу персональных данных в целях:
- защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан,
- обеспечения обороны страны и безопасности государства,
- защиты экономических и финансовых интересов Российской Федерации,
- обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене.
В таком случае оператор будет обязан обеспечить уничтожение иностранными лицами ранее переданных им персональных данных.
Какая ответственность грозит лицам, не направившим или несвоевременно направившим уведомление в Роскомнадзор?
Согласно статье 19.7 Кодекса Российской Федерации об административных правонарушениях непредставление или несвоевременное представление в Роскомнадзор уведомления может повлечь за собой предупреждение или наложение административного штрафа как на должностное, так и на юридическое лицо.
Наши услуги:
- консультирование по вопросам соблюдения законодательства в области обработки и защиты персональных данных;
- подготовка уведомлений, подлежащих направлению в Роскомнадзор;
- разработка и/или комплексный аудит локальных актов Вашей организации, регламентирующих процессы обработки и защиты персональных данных и, при необходимости, изменение этих локальных актов.
Ваши контактные лица по этой теме:
Мария Матросова, руководитель проектов OOO СВИЛАР
M:
maria.matrossowa@swilar.ru, T: + 7 495 648 69 44 (ext. 308)
Юлия Белоконь, старший менеджер проектов OOO СВИЛАР
M:
yulia.belokon@swilar.ru, T: +7 495 648 69 44 (ext. 309)