Трансграничная передача персональных данных: порядок действий работодателя

Далеко не все работодатели знают, как проводить трансграничную передачу персональных данных. В каких случаях передача персданных будет трансграничной, как и когда нужно уведомлять о передаче данных Роскомнадзор, как провести самостоятельную оценку норм законодательства иностранного государства и не оказаться в ситуации, когда данные уже отправлены, но Роскомнадзор прислал запрет - расскажем подробнее в статье.

Содержание статьи:

Что подпадает под понятие «трансграничная передача персональных данных»

Трансграничная передача персональных данных – это передача персданных субъекта на территорию иностранного государства (п. 11 ст. 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных)).

В целом звучит понятно, но на практике возникают вопросы, какая передача персданных работника будет относиться к категории «трансграничных» и когда необходимо уведомлять Роскомнадзор.

Например, работодатель отправляет документы с информацией о его работниках-гражданах Российской Федерации на территорию иностранного государства в адрес иностранного контрагента (организация или физическое лицо. Такая передача персональных данных будет считаться трансграничной. Ситуация, когда работодатель использует зарубежные сервисы (хостинг) для обработки и хранения персональных данных своих работников-граждан РФ – это тоже трансграничная передача.

А вот если организация отправляет персданные работника на территорию иностранного государства, но получателем укажет российского гражданина, который находится за границей, то такая передача персданных трансграничной считаться не будет, так как персональные данные не попадают в руки иностранного лица.

На сегодняшний день законодательство РФ не предусматривает отдельного специального федерального закона, который бы регулировал исключительно трансграничную передачу персональных данных, поэтому работодатель должен руководствоваться общими правилами:

  • обработку персданных нужно проводить в соответствии с актуальным законодательством РФ;
  • обработку персданных нужно ограничивать достижением определенных законных целей;
  • переданные в обработку персданные не должны быть избыточными по отношению к определенным целям обработки.

ВАЖНО

Согласие работника на передачу его персданных работодатель должен получить в письменном виде. В противном случае передача персданных будет считаться нарушением - за исключением ситуаций, когда, например, необходимо защитить жизнь, здоровье и интересы самого работника.

Утвержденной формы согласия работника на передачу персональных данных нет, поэтому работодатель вправе разработать форму самостоятельно. В согласии должны быть указания, что оно выдается именно на трансграничную передачу персональных данных, и цели такой передачи.


РЕКОМЕНДАЦИЯ

Укажите в согласии перечень стран, в которые будут переданы персональные данные.

Трансграничная передача персональных данных бывает двух видов:

  1. в иностранные государства, которые являются сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и те иностранные государства, которые указанную Конвенцию не подписали, но включены в специальный перечень, утвержденный Приказом Роскомнадзора от 05.08.2022 г. № 128;
  2. в прочие иностранные государства при соблюдении определенных условий (например, если есть международный договор и нужны персданные гражданина России, чтобы защитить его жизнь, здоровье и важные интересы, даже если не удалось взять с него согласие на трансграничную передачу персональных данных (полный закрытый перечень условий содержится в ст. 12 Закона о персональных данных)).

Перечень иностранных государств, указанный в пункте 1, изложен в Приказе Роскомнадзора от 05.08.2022 г. № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных», который насчитывает 89 стран, обеспечивающих адекватную защиту прав субъектов персданных.

ВАЖНО

Любое иностранное государство, куда работодатель собирается передавать персданные, может считать, что оно достаточно обеспечивает охрану персональных данных на своей территории. Однако эта уверенность не может быть поводом для принятия решений российским работодателем. Он обязан руководствоваться исключительно положениями и взглядами российских регуляторов, в частности, Роскомнадзора.

Имея список из 89 иностранных государств, любой работодатель имеет право передавать персданные своих работников, но с обязательным уведомлением Роскомнадзора.

Если же работодатель хочет произвести трансграничную передачу персональных данных в страну, которая не занесена Роскомнадзором в список «благонадежных», необходимо получить от Роскомнадзора ответ и действовать в соответствии с ним.

Есть сомнения в корректности процедуры трансграничной передачи данных? Уточните у персонального консультанта по трудовому праву или закажите экспертный аудит персональных данных.

Порядок трансграничной передачи персональных данных

По общим правилам алгоритм трансграничной передачи персональных данных работника выглядит следующим образом:

Шаг № 1. Подготовить определенный перечень информации, объем которой у каждого работодателя может быть разным и варьируется в зависимости от ответов на следующие вопросы:

  1. Какие персданные будут передаваться;
  2. Цель передачи персданных на территорию иностранного государства;
  3. Страна, в которую передаются персданные.

Шаг № 2. Проверить, подавал ли работодатель ранее уведомление в Роскомнадзор об обработке персональных данных. Эти сведения (уведомление, его дата и номер) нужны для последующей подачи уведомления о трансграничной передаче. Если подобное уведомление не подавалось – его обязательно нужно подать в соответствии со ст. 22 Закона о персональных данных.

Шаг № 3. Запросить у стороны (госорган, юридическое или физическое лицо), в адрес которой планируется трансграничная передача персданных, информацию о мерах по защите персональных данных, а именно:

  1. сведения об органах власти иностранного государства, иностранных физических лицах, иностранных юридических лицах, которым планируется передать персданные (наименование либо ФИО, номер телефона, адрес электронной почты и адрес для корреспонденции);
  2. сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
  3. информацию о правовом регулировании в области персональных данных иностранного государства (для стран, которых нет в списке Роскомнадзора).

РЕКОМЕНДАЦИЯ

Чтобы исполнить требования законодательства по пункту 2, рекомендуем составить внутренний документ – акт оценки условий трансграничной передачи персональных данных (утвержденная форма отсутствует). Акт позволит оценить, насколько требования иностранного законодательства и те меры, которые принимает иностранный получатель персданных, соответствуют требованиям российского законодательства.

Акт пригодится в ситуации, если Роскомнадзор запретит передавать персданные уже после их фактической трансграничной передачи на территорию иностранного государства (подробнее об этом ниже).

Шаг № 4. Подать уведомление в Роскомнадзор о предстоящей трансграничной передаче персданных. Отдельной формы уведомления, утвержденной Роскомнадзором, нет, но есть требования, изложенные в ч. 4 ст. 12 Закона о персональных данных.

Уведомление направляется на бумажном носителе или в электронной форме и должно содержать следующие сведения:

  1. наименование (фамилия, имя, отчество), адрес работодателя;
  2. дата и номер уведомления о намерении осуществлять обработку персданных, ранее направленного работодателем;
  3. наименование (фамилия, имя, отчество) лица, ответственного за организацию обработки персданных, номера контактных телефонов, почтовые адреса и адреса электронной почты;
  4. правовое основание, цель трансграничной передачи персданных и дальнейшей обработки переданных персданных;
  5. категории и перечень передаваемых персданных;
  6. категории субъектов (работников), данные которых передаются;
  7. перечень иностранных государств, в которые планируется трансграничная передача персданных;
  8. дата, когда работодатель оценил степень обеспечения конфиденциальности и безопасности передачи персданных при их обработке органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персданных.

Шаг № 5. На последнем шаге все зависит от того, в какую страну планируется передача персональных данных и что ответит Роскомнадзор.

Вариант № 1. Иностранное государство, в которое планируется передача персональных данных, осуществляет адекватную защиту прав субъектов персональных данных

После подачи уведомления в Роскомнадзор можно сразу передавать персданные в соответствии с информацией, отраженной в уведомлении, не дожидаясь ответа ведомства.

ВАЖНО

Роскомнадзор может запретить или ограничить трансграничную передачу персданных даже в случае, если данные направлялись в благонадежное государство.

Получив такой запрет, работодатель должен обеспечить уничтожение персданных органом власти иностранного государства, иностранным физлицом или иностранным юрлицом, - даже если они их уже получили (ч. ч. 7–9, 12–14 ст. 12 Закона о персональных данных).

Рекомендуем дождаться положительного ответа РКН и потом передавать персданные за пределы территории РФ. Другой вариант – направить в РКН акт оценки условий трансграничной передачи персданных, о котором мы писали выше. Акт сигнализирует Роскомнадзору, что работодатель оценил риски до начала передачи персданных на территорию иностранного государства.

Вариант № 2. Иностранное государство, в которое планируется передача персональных данных, НЕ осуществляет адекватную защиту прав субъектов персональных данных

После подачи уведомления в Роскомнадзор необходимо дождаться ответа в течение 10 рабочих дней. В таком случае совершать трансграничную передачу персональных данных можно только при условии, если ответ ведомства не будет содержать запрет, ограничение или дополнительный запрос.

Если:

  • РКН запрещает трансграничную передачу персданных – передавать данные нельзя;
  • РКН наложил ограничение – передавать данные можно, но строго в соответствии с указанными в ответе ограничениями;
  • РКН прислал «дополнительный запрос» запрещено передавать персданные в иностранное государство до получения нового ответа от РКН с учетом пояснений работодателя в рамках дополнительного запроса.
ВАЖНО

Информацию о статусе рассмотрения уведомления работодатель может отслеживать на официальном сайте Роскомнадзора.

Выводы

  • Передача персданных, в том числе работника, будет трансграничной исключительно при одновременном соблюдении нескольких условий: 1. данные передаются на территорию иностранного государства и непосредственно органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
  • Перед передачей персданных работника необходимо получить его письменное согласие, иначе такая передача будет считаться нарушением.
  • Важно, на территорию какого иностранного государства передаются персданные. Есть 2 категории государств: те, которые обеспечивают адекватную защиту прав субъектов персданных и те, которые не обеспечивают адекватную защиту.
  • С иностранными государствами, которые обеспечивают адекватную защиту персданных, дела по трансграничной передаче обстоят проще: уведомили Роскомнадзор – передали данные. Если же страна, согласно законодательству РФ, не обеспечивает адекватную защиту персданных – передавать их можно только получения положительного ответа Роскомнадзора на уведомление.

ЗАКАЖИТЕ АУДИТ ПЕРСОНАЛЬНЫХ ДАННЫХ!
Вне зависимости от того, занимается ли компания трансграничной передачей персональных данных или нет, Роскомнадзор проверяет, проводит ли компания аудит и внутренний контроль соответствия обработки персданных согласно ФЗ № 152. Чтобы подготовиться к проверке и доказать, что компания выполняет требования закона, нужно выявить потенциальные риски. В этом поможет аудит персональных данных
Поделиться материалом
Скопировать ссылку