Трансграничная передача персональных данных: как организовать правильно и без нарушений?

Реалии современного мира подталкивают бизнес к стремительному развитию трансграничного взаимодействия. Межгосударственные связи в области торговли, логистических связок, маркетинга сделали международное «общение» бизнеса привычным делом. Это закономерно привело к тому, что возросли масштабы потоков данных, которые то и дело пересекают границы государств.

Пример: многие компании пользуются сервисами Google, к примеру, формами для опроса. Если подобные опросы собирают личные данные людей (ФИО, номер телефона, адрес электронной почты), то такая информация автоматически оказывается на иностранных серверах IT-гиганта. Это самый очевидный и простой пример трансграничной передачи сведений.

С развитием технологий и увеличением масштабов глобализации, примеров подобного обмена данными становится все больше. А значит, существенно возрастают риски для бизнеса и вероятность появления претензий от надзорных органов и крупных штрафов.

Что такое трансграничная передача сведений?

Ответ на этот вопрос дает ст. 3 закона о персданных. Там сказано, что трансграничная передача – это отправка сведений о каком-либо человеке или группе лиц на территорию другой страны, органу власти иностранного государства или иностранному физлицу/юрлицу.

Ели резюмировать, чтобы отправка сведений была признана трансграничной, должны совпасть одномоментно следующие условия:

• Происходит непосредственно передача данных.
• Сведения направляются иностранному лицу.
• Информация направляется в иное государство.

Отсутствие любого из названных выше условий свидетельствует о том, что передача сведений не подпадает под определение трансграничной. Примерами совпадения всех трех критериев (= трансграничной передачей данных) являются:

• Использование на сайте компании функционала Google Analytics, который обрабатывает cookie-файлы.
• Хранение базы клиентов/контактов на иностранных серверах.
• Передача личной информации о сотрудниках контрагентам и партнером из других стран.

Скачать чек-лист по соблюдению законодательства о персональных данных

Заполните форму, вышлем материалы вам на e-mail:

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Что делать, если вы осуществляете трансграничную передачу данных?

Самое главное, что необходимо сделать – это отправить соответствующее извещение в РКН. Однако до этого необходимо совершить ряд действий.

• Направьте в РКН извещение о планах совершать обработку персданных. Надзорный орган добавит организацию или ИП в реестр операторов персональных данных, после чего можно переходить к следующему шагу.
• Проверьте наличие правового основания для трансграничной передачи сведений. Подобное может осуществляться только в ситуации, когда этого требует закон или условия договорных отношений с данным субъектом.
• Установите, в какую страну будут направляться личные сведения клиентов/пользователей. Это нужно для того, чтобы понять, гарантирует ли государство меры по защите полученной информации. Список стран, которые еще называют «адекватными», определяется Роскомнадзором.
• Оцените, насколько хорошо соблюдается конфиденциальность и безопасность персданных. Необходимо собрать информацию от иностранной стороны, куда будут направляться данные. Закон не регламентирует форму сбора таких сведений, однако там нужно отразить:
  • действия по обеспечению защищенности сведений, предпринимаемые иностранной стороной;
  • основания и условия прекращения обработки персданных;
  • контактная информация лица, которое является получателем личной информации.
• Направьте в РКН извещение о планах проводить трансграничную передачу данных. Это можно сделать несколькими способами:
  • через Госуслуги. Потребуется пройти аутентификацию в этой системе и сформировать извещение о планах осуществлять передачу сведений иностранному лицу. Образец подобного извещения есть на сайте РКН. Чтобы уведомить надзорный орган в электронном формате через Госуслуги, у вас должна быть подтвержденная учетная запись. Если же вы направляете извещение от лица компании, то «учетка» необходимо привязать на Госуслугах к организации.
  • в случае невозможности отправки уведомления в электронном формате, вы можете его напечатать и отправить в РКН по почте либо нарочно.

Обратите внимание! Если страна, куда вы планируете направлять данные, относится к категории «неадекватных государств», то с момента направления извещения в РКН нужно выждать срок в 10 дней, прежде чем приступать к передаче данных. В случае же с «адекватными странами» такого требования нет.

Трансграничная передача данных – это реальность, с которой сталкивается подавляющее большинство российских компаний. Передавать информацию о людях в иное государство можно, однако необходимо соблюсти ряд законодательных требований. Неисполнение установленных обязанностей способно привести к крупным штрафам в размере до 5 миллионов рублей.

Чтобы этого не произошло, оставляйте заявку на нашем сайте. Мы поможем вам организовать систему работы с персональными данными так, чтобы ваша компания или ИП не допускали никаких нарушений действующего законодательства.