С 1 марта 2023 г. вступят в силу новые правила трансграничной передачи персональных данных — ч. 8,9, 12, 13 ст. 12 Федерального закона «О персональных данных» (далее — Закон о ПД). Правительство приняло два постановления (от 10.01.2023 № 6 и от 16.01.2023 № 24), которыми утверждены правила принятия решения о запрещении или об ограничении трансграничной передачи ПД и о запрещении или об ограничении трансграничной передачи ПД в целях защиты нравственности, здоровья, прав и законных интересов граждан. Данные правила также вступят в силу 1 марта. Эксперты рассказали, в чем между ними разница и что необходимо учесть бизнесу после их вступления в силу с 01.03.2023.
Постановление Правительства РФ от 10.01.2023 № 6 «Об утверждении Правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных уполномоченным органом по защите прав субъектов персональных данных и информирования операторов о принятом решении».Постановление Правительства РФ от 16.01.2023 № 24 «Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».
Постановление № 24 устанавливает порядок и сроки рассмотрения уведомления оператора, в том числе основания для его приостановления и продления, направления Роскомнадзором оператору запросов о предоставлении недостающих сведений и (или) пояснений при несоответствии сведений в уведомлении данным в государственных информационных ресурсах, а также о предоставлении дополнительных сведений, в частности, если планируется трансграничная передача различных ПД.
Вполне вероятно под рассматриваемый запрет с 01.03.2023 может попасть использование операторами в своей деятельности ряда иностранных мессенджеров и социальных сетей.
В случае если содержание и объем ПД или категории субъектов ПД не соответствуют цели трансграничной передачи, Роскомнадзор примет решение об ограничении трансграничной передачи ПД.
При устранении причин, повлекших запрещение или ограничение трансграничной передачи ПД, оператор вправе повторно подать уведомление не ранее чем через 10 рабочих дней после первоначального принятия Роскомнадзором соответствующего решения.
Обращаем внимание, что операторы, которые осуществляют трансграничную передачу ПД с 01.09.2022,обязаны подать в Роскомнадзор уведомление об осуществлении трансграничной передачи до 01.03.2023. На Портале персональных данных Роскомнадзора (https://pd.rkn.gov.ru/cross-border-transmission/form/)реализована возможность заполнения и подачи такого уведомления.
В отличие от уведомления о намерении осуществить трансграничную передачу (подается с 01.03.2023) в отношении уведомления об осуществлении трансграничной передачи (подается до 01.03.2023) законом не установлена возможность принятия Роскомнадзором решения о запрещении/ограничении трансграничной передачи по результатам рассмотрения уведомления (письмо Роскомнадзора от 09.11.2022 № 08ВМ-98928«О результатах рассмотрения письма»).
Поэтому рекомендуется провести аудит бизнес-процессов в компании, выявить все случаи возможной трансграничной передачи ПД, в частности при коммуникации с иностранными контрагентами, в случае использования зарубежного программного обеспечения и облачных сервисов. В зависимости от конкретных обстоятельств подача уведомления о трансграничной передаче ПД до 01.03.2023 может уменьшить риск запрета/ограничения трансграничной передачи персональных данных, которые могут затормозить или полностью заблокировать какие-то процессы в компании и повлечь убытки.
Запрещение/ограничение трансграничной передачи ПД в определенную юрисдикцию может повлечь серьезные последствия для бизнеса, так как может привести к невозможности реализации компаниями процессов в различных областях.
Пока неясно, будут ли публиковаться решения Роскомнадзора о запрещении/ограничении трансграничной передачи ПД в отношении определенных юрисдикций и смогут ли операторы, которые своевременно не направили уведомление об обработке ПД и не были включены в реестр операторов, узнать об установленном запрете/ограничении, а также будут ли для них установлены повышенные санкции в случае нарушений.
Авторы: Елена Агаева, Елена Квартникова