
Трансграничная передача персональных данных: как организовать правильно и без нарушений?
Реалии современного мира подталкивают бизнес к стремительному развитию трансграничного взаимодействия. Межгосударственные связи в области торговли, логистических связок, маркетинга сделали международное «общение» бизнеса привычным делом. Это закономерно привело к тому, что возросли масштабы потоков данных, которые то и дело пересекают границы государств.
Пример: многие компании пользуются сервисами Google, к примеру, формами для опроса. Если подобные опросы собирают личные данные людей (ФИО, номер телефона, адрес электронной почты), то такая информация автоматически оказывается на иностранных серверах IT-гиганта. Это самый очевидный и простой пример трансграничной передачи сведений.
С развитием технологий и увеличением масштабов глобализации, примеров подобного обмена данными становится все больше. А значит, существенно возрастают риски для бизнеса и вероятность появления претензий от надзорных органов и крупных штрафов.
Что такое трансграничная передача сведений?
Ответ на этот вопрос дает ст. 3 закона о персданных. Там сказано, что трансграничная передача – это отправка сведений о каком-либо человеке или группе лиц на территорию другой страны, органу власти иностранного государства или иностранному физлицу/юрлицу.
Ели резюмировать, чтобы отправка сведений была признана трансграничной, должны совпасть одномоментно следующие условия:
- Происходит непосредственно передача данных.
- Сведения направляются иностранному лицу.
- Информация направляется в иное государство.
Отсутствие любого из названных выше условий свидетельствует о том, что передача сведений не подпадает под определение трансграничной. Примерами совпадения всех трех критериев (= трансграничной передачей данных) являются:
- Использование на сайте компании функционала Google Analytics, который обрабатывает cookie-файлы.
- Хранение базы клиентов/контактов на иностранных серверах.
- Передача личной информации о сотрудниках контрагентам и партнером из других стран.
Что делать, если вы осуществляете трансграничную передачу данных?
Самое главное, что необходимо сделать – это отправить соответствующее извещение в РКН. Однако до этого необходимо совершить ряд действий.
- Направьте в РКН извещение о планах совершать обработку персданных. Надзорный орган добавит организацию или ИП в реестр операторов персональных данных, после чего можно переходить к следующему шагу.
- Проверьте наличие правового основания для трансграничной передачи сведений. Подобное может осуществляться только в ситуации, когда этого требует закон или условия договорных отношений с данным субъектом.
- Установите, в какую страну будут направляться личные сведения клиентов/пользователей. Это нужно для того, чтобы понять, гарантирует ли государство меры по защите полученной информации. Список стран, которые еще называют «адекватными», определяется Роскомнадзором.
- Оцените, насколько хорошо соблюдается конфиденциальность и безопасность персданных. Необходимо собрать информацию от иностранной стороны, куда будут направляться данные. Закон не регламентирует форму сбора таких сведений, однако там нужно отразить:
- действия по обеспечению защищенности сведений, предпринимаемые иностранной стороной;
- основания и условия прекращения обработки персданных;
- контактная информация лица, которое является получателем личной информации.
- Направьте в РКН извещение о планах проводить трансграничную передачу данных. Это можно сделать несколькими способами:
- через Госуслуги. Потребуется пройти аутентификацию в этой системе и сформировать извещение о планах осуществлять передачу сведений иностранному лицу. Образец подобного извещения есть на сайте РКН. Чтобы уведомить надзорный орган в электронном формате через Госуслуги, у вас должна быть подтвержденная учетная запись. Если же вы направляете извещение от лица компании, то «учетка» необходимо привязать на Госуслугах к организации.
- в случае невозможности отправки уведомления в электронном формате, вы можете его напечатать и отправить в РКН по почте либо нарочно.
Обратите внимание! Если страна, куда вы планируете направлять данные, относится к категории «неадекватных государств», то с момента направления извещения в РКН нужно выждать срок в 10 дней, прежде чем приступать к передаче данных. В случае же с «адекватными странами» такого требования нет.
Трансграничная передача данных – это реальность, с которой сталкивается подавляющее большинство российских компаний. Передавать информацию о людях в иное государство можно, однако необходимо соблюсти ряд законодательных требований. Неисполнение установленных обязанностей способно привести к крупным штрафам в размере до 5 миллионов рублей.
Чтобы этого не произошло, оставляйте заявку на нашем сайте. Мы поможем вам организовать систему работы с персональными данными так, чтобы ваша компания или ИП не допускали никаких нарушений действующего законодательства.
Наш менеджер вас проконсультирует