Трансграничная передача персональных данных в 2023 году

С 1 марта 2023 года вступили в силу новые правила относительно трансграничной передачи персональных данных на территорию иностранных государств.

Трансграничная передача — это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу

Теперь в соответствии с частью 3 статьи 12 Федерального закона № 152-ФЗ «О персональных данных» трансграничная передача персональных данных на территорию иностранного государства может осуществляться только после специального отдельного уведомления Роскомнадзора о намерении осуществлять такую трансграничную передачу. После подачи такого уведомления Роскомнадзор имеет право запретить или ограничить передачу оператором персональных данных за рубеж.

Уведомление об осуществлении трансграничной передачи персональных данных составляется в соответствии с требованиями части 4 статьи 12 Федерального закона № 152-ФЗ «О персональных данных» и направляется в электронной форме или на бумажном носителе. Уведомление об осуществлении трансграничной передачи персональных данных направляется отдельно от основного уведомления о об обработке персональных данных, предусмотренного статьей 22 Федерального закона № 152-ФЗ «О персональных данных».

Специалисты нашей компании могут помочь вам в приведении процессов трансграничной передачи персональных данных в соответствие требованиям законодательства.

Уведомление о намерении осуществлять трансграничную передачу персональных данных

Варианты направления уведомления о трансграничной передаче ПДн:

1) На портале персональных данных Роскомнадзора представлена форма для подачи уведомления в электронной форме: https://pd.rkn.gov.ru/cross-border-transmission/form2/.

2) Уведомление на бумажном носителе составляется и направляется в территориальный орган Роскомнадзора по месту регистрации Оператора.

При подаче уведомления в электронной форме у заявителя должна быть подтвержденная учетная запись на портале Госуслуг. В случае подачи уведомления за организацию, учетная запись должна быть привязана к организации-заявителю на портале Госуслуг. Привязку учетной записи к организации может осуществить лицо, имеющее право действовать от имени юридического лица без доверенности (директор).

При этом, согласно новым требованиям, оператор до начала осуществления трансграничной передачи персональных данных обязан провести оценку иностранного лица (органа власти иностранного государства, иностранного физического или юридического лица), которому планируется трансграничная передача персональных данных, то есть получить от иностранного лица следующую информацию:

1) сведения о принимаемых иностранным лицом мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;

2) сведения об иностранном лице:

• наименование либо фамилия, имя и отчество;
• номера контактных телефонов, почтовые адреса и адреса электронной почты.

3) информацию о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находится иностарнное лицо.

Информацию согласно пункту 3 запрашивать не требуется, если иностранное лицо находится под юрисдикцией иностранного государства с «адекватной» защитой персональных данных (список таких стран представлен ниже)

В целях оценки достоверности сведений, содержащихся в уведомлении, Роскомнадзор имеет право запросить у оператора сведения, предусмотренные разделом 1 настоящих рекомендаций. Оператор обязан предоставить указанные сведения в Роскомнадзор в течение в течение 10 рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес Роскомнадзора мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Трансграничная передача персональных данных может быть запрещена или ограничена Роскомнадзором по результатам рассмотрения уведомления оператора в течение 10 рабочих дней с даты поступления указанного уведомления.

После направления уведомления Оператор вправе осуществлять трансграничную передачу персональных данных на территории стран с «адекватной» защитой персональных данных до принятия решения Роскомнадзора (то есть осуществлять трансграничную передачу можно стразу после подачи уведомления). В противном случае необходимо дождаться решения Роскомнадзора (подождать 10 рабочих дней).

В случае принятия Роскомнадзором отрицательного решения, оператор обязан обеспечить уничтожение иностранным лицом ранее переданных ему персональных данных.

Список стран с «адекватной» защитой персональных данных

Государства, являющиеся сторонами Конвенции Совета Европы о защите персональных данных:

1. Австрийская Республика
2. Аргентинская Республика
3. Босния и Герцеговина
4. Буркина-Фасо
5. Великое Герцогство Люксембург
6. Венгрия
7. Восточная Республика Уругвай
8. Греческая Республика
9. Грузия
10. Ирландия
11. Итальянская Республика
12. Княжество Андорра
13. Княжество Лихтенштейн
14. Княжество Монако
15. Королевство Бельгия
16. Королевство Дания
17. Королевство Испания
18. Королевство Марокко
19. Королевство Нидерландов
20. Королевство Норвегия
21. Королевство Швеция
22. Латвийская Республика
23. Литовская Республика
24. Мексиканские Соединенные Штаты
25. Португальская Республика
26. Республика Азербайджан
27. Республика Албания
28. Республика Армения
29. Республика Болгария
30. Республика Исландия
31. Республика Кабо-Верде
32. Республика Кипр
33. Республика Маврикий
34. Республика Мальта
35. Республика Молдова
36. Республика Польша
37. Республика Сан-Марино
38. Республика Северная Македония
39. Республика Сенегал
40. Республика Сербия
41. Республика Словения
42. Республика Хорватия
43. Румыния
44. Словацкая Республика
45. Соединенное Королевство Великобритании и Северной Ирландии
46. Тунисская Республика
47. Турецкая Республика
48. Украина
49. Федеративная Республика Германия
50. Финляндская Республика
51. Французская Республика
52. Черногория
53. Чешская Республика
54. Швейцарская Конфедерация
55. Эстонская Республика

Государства, не являющиеся сторонами Конвенции Совета Европы, но обеспечивающие «адекватную» защиту ПДн:

1. Австралия — Австралийский союз
2. Габонская Республика
3. Государство Израиль
4. Государство Катар
5. Канада
6. Киргизская Республика
7. Китайская Народная Республика
8. Королевство Таиланд
9. Малайзия
10. Монголия
11. Народная Республика Бангладеш
12. Новая Зеландия
13. Республика Ангола
14. Республика Беларусь
15. Республика Бенин
16. Республика Замбия
17. Республика Индия
18. Республика Казахстан
19. Республика Коста-Рика
20. Республика Корея
21. Республика Кот-Д’Ивуар
22. Республика Мали
23. Республика Нигер
24. Республика Перу
25. Республика Сингапур
26. Республика Таджикистан
27. Республика Узбекистан
28. Республика Чад
29. Социалистическая Республика Вьетнам
30. Тоголезская Республика
31. Федеративная Республика Бразилия
32. Федеративная Республика Нигерия
33. Южно-Африканская Республика

Статья актуализирована с учетом изменений 152-ФЗ «О персональных данных», вступивших в силу 01.03.2023