Рейтинг@Mail.ru
Новости:
594

Что нужно знать организации о трансграничной передаче персональных данных

Размер шрифта:

Проблема утечки личных данных остро стоит в нашей стране. Законодатель устанавливает правила работы с конфиденциальной информацией не только внутри государства, но и за ее пределами. Расскажу, как действовать организациям, которым потребовалось произвести трансграничную передачу персональных данных.

Навигация

Коротко о главном: 5 пунктов

  1. Трансграничная передача — это когда персональные данные отправляют за границу.
  2. Не во все страны можно пересылать такие сведения, есть специальный список разрешённых государств.
  3. Перед отправкой нужно узнать, как в другой стране защищают личную информацию, и сообщить об этом Роскомнадзору.
  4. Если нарушить правила, организацию могут оштрафовать или даже наказать строже — до уголовной ответственности.
  5. В некоторых случаях Роскомнадзор разрешает пересылку данных без долгого ожидания, особенно если это важно для спасения человека.

Что такое трансграничная передача персональных данных

Это отправление персональных данных (ПД) руководству иностранного государства или иностранному физическому/юридическому лицу (ст. 3 ФЗ-152 от 27.07.2006).

Не в каждую страну разрешено сообщать личные сведения о человеке. Есть перечень стран, в которые разрешено (приказ № 128 от 05.08.2022). Это:

  • стороны Конвенции Совета Европы о защите граждан при автоматической обработке ПД (принята 28.01.1981, г. Страсбург). Например, Аргентинская Республика, Венгрия, Княжество Монако, Королевство Швеция, Мексиканские Соединенные Штаты, Федеративная Республика Германия, Швейцарская Конфедерация и др.;
  • не стороны Конвенции, но законы этих государств по вопросам секретности и безопасности персональных данных соответствуют ей (они включены в перечень, который утвержден Приказом № 128 от 05.08.2022). Например, государство Катар, Канада, Китайская Народная Республика, Королевство Таиланд, Республика Беларусь, Федеративная Республика Бразилия и др.

Как осуществляется трансграничная передача

До того как предоставить информацию личного характера о человеке, оператор (лицо, которое обрабатывает сведения о нем) должен:

  1. Истребовать от властей иностранной территории, иностранных граждан или компаний данные о:
    • средствах, которые они реализуют на практике для защиты получаемых персональных данных и порядке завершения их обработки;
    • нормах права, которые регулируют вопросы в области персональных данных (если это страны не стороны Конвенции и не отнесены к тем, чьи законы соответствуют ей);
    • тех, кто запрашивает ПД (наименование или ФИО, средства связи (номера телефонов, почтовые адреса и электронная почта)).
  2. Известить Роскомнадзор о планах произвести трансграничную передачу персональных данных.
ВАЖНО!
Средства (способы) передачи данных через национальные границы различны. После получения они обрабатываются автоматически (т.е. с помощью автоматизированных средств хранятся, изменяются, распространяются, уничтожаются и т.д.) (ст. 2, 12 конвенции от 28.01.1981).

Как составить и подать уведомление в РКН о трансграничной передаче персональных данных

Бланк уведомления в Роскомнадзор о необходимости произвести трансграничную передачу данных о человеке нормами права не установлен. Однако в нем требуют прописать:

  • наименование или ФИО оператора, адрес нахождения;
  • данные уведомления (дату, номер) в Роскомнадзор о намерении производить работу с ПД. Такой документ направляют перед тем, как начать в целом мероприятия по обработке персональной информации о человеке (ст. 22 № 152-ФЗ от 27.07.2006);
  • данные лица (наименование, ФИО, номер телефона, почтовый, электронный адреса), которому поручено работать со сведениями о гражданине;
  • повод и цель передачи данных за границу, их перечень;
  • категорию владельца данных;
  • названия государств, куда направят данные;
  • дату, когда оператором оценена возможность соблюдения иностранными властями, гражданами или юрлицами, которым планируют направить личные данные, конфиденциальности таких сведений и обеспечения их безопасности при обработке.
Узнайте, как организована защита персональных данных

Предлагаю образец уведомления о намерении осуществлять трансграничную передачу персональной информации:

Уведомление в Роскомнадзор

Образец уведомления в Роскомнадзор о намерении осуществлять трансграничную передачу персональных данных

Скачать бланк уведомления в Роскомнадзор о намерении осуществлять трансграничную передачу персональных данных

Роскомнадзор вправе запретить или ограничить трансграничную передачу сведений. Но оператор, направив в РКН извещение, не дожидаясь возможного запрета/ограничения, может:

  • направить сведения в чужое государство, которое выступает стороной Конвенции, или страну, законы которой по вопросам секретности и безопасности персональных данных соответствуют ей;
  • для защиты жизни/здоровья, иных принципиально важных интересов субъекта частных данных передать информацию на иностранную территорию, которая является не стороной конвенции и не входит в перечень. В иных случаях направлять сведения запрещено до истечения 10 рабочих дней с момента подачи извещения в Роскомнадзор.
ВАЖНО!
Основания для запрета/ограничения выдачи идентифицирующих личность данных: защита основ конституционного строя РФ, нравственности, здоровья, прав/интересов физлиц, в целях безопасности страны, ее целостности, учет финансовых интересов и др.

Посредством Госуслуг подать извещение в Роскомнадзор о трансграничной передаче можно в электронном виде.

Информация от Роскомнадзора об уведомлении

Информация от Роскомнадзора о порядке подачи уведомления о намерении осуществлять трансграничную передачу персональных данных

Читайте также: как уведомить Роскомнадзор об обработке персональных данных

Госорганы, ОМУ не уведомляют Роскомнадзор о трансграничной передаче при исполнении своих обязанностей в рамках международных соглашений и требований законов РФ в сфере, например, международных морских/воздушных перевозок, дипломатических/консульских сношений, противодействия преступности и др. Все случаи перечислены в постановлении № 2526 от 29.12.2022.

Что грозит за нарушение правил трансграничной передачи

Несоблюдение трансграничных правил означает нарушение закона в области персональных данных. За это существует ответственность.

Административная

Отдельного состава правонарушения за нарушение правил направления данных в другую страну пока нет. Но, например, за неуведомление Роскомнадзора о готовности произвести трансграничную передачу конфиденциальных данных, накажут по ст. 19.7 КоАП РФ (непредоставление сведений). Штраф на юрлицо составит до 5000 руб.

Есть риск привлечения по ч. 1, 2 ст. 13.11 КоАП РФ за работу с ПД в случаях, не указанных в законе, или без получения согласия на это у субъекта данных.

ВАЖНО!
С 30.05.2025 штрафы за нарушения значительно увеличат (например, для юрлиц с 300 000 до 500 000 руб., ФЗ-420 от 30.11.2024).

Уголовная

За незаконную передачу конфиденциальной информации могут привлечь по ст. 272.1 УК РФ. Статья введена в действие 11.12.2024 (ФЗ-421 от 30.11.2024). Возможная ответственность — лишение свободы от 1 до 5 лет.

Гражданско-правовая

Если при незаконной работе с персональными данными человеку причинен моральный вред, то он подлежит выплате виновной стороной. Также возмещают убытки (ст. 15, 151 ГК РФ).

Дисциплинарная

За разглашение (в том числе путем незаконной трансграничной передачи) работнику грозит ответственность вплоть до увольнения (пп. «в» п. 6 ч. 1 ст. 81, ст. 90, 192 ТК РФ).

Надо знать: какие штрафы грозят за распространение персональных данных
Правовые документы

"Конвенция о защите физических лиц при автоматизированной обработке персональных данных"

Приказ Роскомнадзора от 05.08.2022 N 128

Федеральный закон от 30.11.2024 N 421-ФЗ

Федеральный закон от 30.11.2024 N 420-ФЗ

Федеральный закон от 27.07.2006 N 152-ФЗ

Статья 15 ГК РФ. Возмещение убытков

Статья 151 ГК РФ. Компенсация морального вреда

Статья 13.11 КОАП РФ. Нарушение законодательства Российской Федерации в области персональных данных

Статья 19.7 КОАП РФ. Непредставление сведений (информации)

Статья 192 ТК РФ. Дисциплинарные взыскания

Статья 81 ТК РФ. Расторжение трудового договора по инициативе работодателя

Статья 90 ТК РФ. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

Оставить комментарий Распечатать
Князева Жанна Юрист

Практикующий юрист с 2006 года. Работала в сфере банкротства, корпоративного права, пищевого производства. С 2018 г. ведущий юрисконсульт ресурсоснабжающей организации.

Комментарии
  • 2025-05-07 13:53:58
    Перед тем как осуществить трансграничную передачу персональных данных, от их владельца нужно запросить на это согласие. Разрешение оформляют в письменном виде. Оно должно быть конкретным, предметным, информированным, сознательным и однозначным. Без такого согласия передача личных сведений о человеке незаконна.
Что-то непонятно? Спрашивайте!
Персональные данные: ответы по темам
1 вопрос
30 апреля 2025
Как составить согласие на обработку персональных данных, чтобы оно соответствовало требованиям ФНС по раскрытию налоговой тайны?

Обсуждаем, что включить в согласие на обработку персональных данных, чтобы оно соответствовало требованиям ФНС по раскрытию налоговой тайны.
1 вопрос
1750
Вам может быть интересно:
Ошибка на сайте

Продолжая работу с ppt.ru, вы подтверждаете использование сайтом сооkiеѕ вашего браузера. Обработка данных осуществляется в соответствии с Политикой обработки персональных данных.

Понятно