Условия

На каких условиях разрешено передавать персональные данные за границу. Закон № 152-ФЗ “О персональных данных” разделяет все иностранные государства на две категории.

  1. Страны, обеспечивающие адекватную защиту прав субъектов ПД («адекватные страны»). К ним относятся стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и прочие государства, входящие в утвержденный Роскомнадзором список (Конвенция от 28.01.81; приказ Роскомнадзора от 05.08.2022 № 128— действует с 1 марта 2023 года; приказ Роскомнадзора от 15.03.2013 № 274 — действует до 1 марта 2023 года). Например, это Грузия, Азербайджан, Турция, Казахстан, Беларусь, КНР.
  2. Страны, не обеспечивающие адекватную защиту прав субъекта ПД («неадекватные страны»). К ним относятся все государства, которых нет в перечисленных выше списках Роскомнадзора. Например, ЦАР.

До 1 марта 2023 года в «адекватные страны» можно свободно передавать ПД, при условии соблюдения Закона № 152-ФЗ. Но субъект персональных данных имеет право знать, что оператор поручает кому-то обработку его личной информации (п. 8 ч. 7 ст. 14 Закона № 152-ФЗ).

Трансграничная передача в «неадекватные страны» возможна только при выполнении одного из условий:

  • с письменного согласия субъекта ПД;
  • в случаях, предусмотренных международными договорами Российской Федерации;
  • если это необходимо по закону для обеспечения конституционного строя, обороны и безопасности страны, транспортной защиты;
  • для исполнения условий договора с субъектом ПД;
  • для защиты жизни, здоровья, интересов самого гражданина и других лиц, когда невозможно получить письменное согласие на ТППД.

Этот список закрытый. Он перечисляет все возможные случаи, когда в другую страну можно передать личную информацию гражданина без гарантии соблюдения его прав (ч. 4 ст. 12 Закона № 152-ФЗ).

С 1 марта 2023 года начинает действовать новая редакция статьи 12 про ТППД в Законе № 152-ФЗ (п. 7 ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ). Основным условием для передачи личной информации российских граждан в другую страну становится уведомление Роскомнадзора. Его нужно подать до начала осуществления такой деятельности.

На заметку:

Операторы, которые уже передают персональные данные в другие страны, и планируют продолжать это делать после вступления в силу новой редакции статьи 12, должны уведомить Роскомнадзор до 1 марта 2023 года (п. 5 ст. 6 Закона № 266-ФЗ). Это можно сделать на официальном Портале персональных данных.

Передача ПД в неадекватные юрисдикции возможна только по истечении 10 рабочих дней – срока рассмотрения уведомления Роскомнадзором. Передача в адекватные юрисдикции не ограничивается в период рассмотрения уведомления возможна сразу после подачи уведомления в Роскомнадзор.

Штрафы

Если не отправите уведомление о намерении осуществлять трансграничную передачу в Роскомнадзор, компании грозит одновременно два штрафа. Первый — за то, что не оправите само уведомление — от 3000 до 5000 руб. по статье 19.7 КоАП. Второй — за передачу персональных данных в случае, который не предусмотрен законом — от 60 000 до 100 000 руб. по части 1 статьи 13.11 КоАП.

Уведомления

Этапы по составлению и подаче уведомления об осуществлении трансграничной передачи ПД:

Шаг 1. Провести оценку соблюдения иностранным контрагентом, которому будут передаваться ПД, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке. Новая редакция статьи 12 Закона № 152-ФЗ не содержит подробной информации, как это сделать. Указаны только сведения, которые оператор должен запросить у иностранца:

  • меры по защите передаваемой личной информации российских граждан и условия прекращения ее обработки;
  • правовое регулирование в области защиты персональных данных государства-адресата, если это «неадекватная страна»;
  • информация об иностранном лице, которому передаются ПД — наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса E-mail.

Шаг 2. Заполнить форму уведомления на официальном Портале персональных данных Роскомнадзора.

Чтобы подать данные в электронном виде, потребуется подтвержденная учетная запись на Госуслугах. Для компании она должна быть привязана к этой компании. Бумажный носитель направлять не нужно.

Если оператор личный кабинет на Госуслугах не имеет, то можно данное уведомление взять на Портале Роскомнадзора и на его основании сделать свой документ. Заполненная форма распечатывается, подписывается руководителем и направляется по почте (ч. 4 ст. 12 Закона № 152-ФЗ в редакции Закона № 266-ФЗ).

Поддержка Konsu

Наши специалисты могут оказать содействие в заполнении, подаче, анализе данной формы трансграничной передачи ПД, а также осуществить в целом регистрацию в РКН. Подробнее об услугах по защите персональных данных.

Материалы по теме

152-ФЗ GDPR Защита персональных данных Персональные данные Право РКН Риски компаний Штрафы