Трансграничная передача персональных данных: вызовы и перспективы

Юрист ООО «СИБИРСКАЯ ЮРИДИЧЕСКАЯ КОМПАНИЯ» Екатерина Шимко

— В условиях современного глобализированного мира трансграничная передача персональных данных стала неотъемлемой частью бизнес-процессов многих компаний. Однако, несмотря на очевидные преимущества — улучшение взаимодействия с клиентами и оптимизация операционных процессов — этот процесс сопряжен с множеством вызовов и рисков.

Один из основных вызовов трансграничной передачи персональных данных — необходимость соблюдения национальных и международных законодательных требований, что требует тщательной юридической оценки и мониторинга со стороны операторов персональных данных.

Например, в Европейском Союзе действует Общий регламент по защите личных данных (GDPR), который устанавливает строгие правила передачи персональных данных за пределы ЕС. В России действует Федеральный закон «О персональных данных», который также предъявляет высокие требования к защите данных при их трансграничной передаче.

Трансграничная передача персональных данных (ТППД) подразумевает процесс, в ходе которого личная информация физического лица перемещается за пределы страны, то есть на территорию иностранного государства, при этом не имеет значения, куда именно направляются эти данные — в государственные органы, иностранным фирмам или к физическим лицам.

Операторы персональных данных, которые осуществляют передачу личной информации граждан за пределы Российской Федерации, обязаны уведомить Роскомнадзор о данном намерении ДО самого факта передачи персданных, так как нарушение этого требования может повлечь значительные штрафы.

На практике трансграничная передача происходит в ряде случаев, включая:

— организацию поездок или обучение сотрудников за границей РФ: формирование туристических маршрутов, покупка авиабилетов у международных компаний и бронирование гостиничного проживания за рубежом;

— отправку документов с персональной информацией по электронной почте адресатам, находящимся за пределами страны, например, иностранным деловым партнерам;

— использование зарубежных платформ для почтовых рассылок и хранения данных о пользователях;

— другие обстоятельства, требующие передачи персональных данных за границу.

Работодатели также действуют в роли операторов трансграничной передачи, когда они сотрудничают с иностранными организациями или направляют сотрудников в командировки за пределами России.

С 1 марта 2023 г., в соответствии с положениями статьи 12 закона № 152-ФЗ, все организации обязаны информировать Роскомнадзор о трансграничной передаче персональных данных в любую страну. Согласно Федеральному закону от 14 июля 2022 г. № 266-ФЗ, операторы, которые ранее осуществляли данную передачу и продолжают ее, обязаны были уведомить Роскомнадзор о трансграничной передаче данных не позднее 1 марта 2023 г.

Стоит отметить, что обновленная форма уведомления обязательна только для тех операторов, которые не предоставили информацию до 1 марта 2023 г. Если у организации не происходило изменений и ранее уведомление уже было направлено в Роскомнадзор, подавать новое уведомление не требуется. Однако, если в процесс трансграничной передачи были внесены изменения, новое уведомление становится обязательным.

Перед подачей уведомления в Роскомнадзор и до начала передачи данных за пределы России операторы персональных данных должны получить письменное согласие работника на трансграничную передачу его персональной информации. Кроме того, оператору предстоит собрать определенные данные, предусмотренные Законом о персональных данных, от властей иностранного государства, а также от иностранных физических или юридических лиц, получающих передаваемые данные. Вместе с тем, оператору необходимо запросить у иностранного государства, принимающего данные, информацию о принимаемых мерах для обеспечения безопасности передаваемой информации.Начало формы

При нарушении норм законодательства, касающегося трансграничной передачи и обработки персональных данных, компания рискует столкнуться с административными санкциями. В частности, за непредоставление информации о произошедшей утечке, повлекшей нарушение прав субъектов персональных данных, могут быть наложены следующие штрафы:

— для должностных лиц государственных или муниципальных органов, а также некоммерческих организаций — от 400 тыс. до 800 тыс. руб.;

— для индивидуальных предпринимателей и юридических лиц — от миллиона до 3 млн руб.

Также предусмотрены штрафы за неуведомление о намерениях по обработке личной информации:

— для должностных лиц — от 30 до 50 тыс. руб.;

— для индивидуальных предпринимателей и компаний — от 100 до 300 тыс. руб.

Аналогичные штрафы применяются к тем, кто не уведомил Роскомнадзор в установленные сроки. Эти изменения закреплены в Федеральном законе от 30 ноября 2024 г. № 420-ФЗ.

Начало формы

На основании изложенного можно сделать вывод, что успешное управление трансграничной передачей персональных данных требует не только качественной юридической экспертизы, но и осведомленности о требованиях законодательства. Организациям целесообразно инвестировать в обучение сотрудников, разрабатывать эффективные процедуры обработки данных и применять технологии для обеспечения защиты информации.

Соблюдение норм по трансграничной передаче персональных данных не только защищает права отдельных граждан, но и способствует повышению конкурентоспособности компаний на международной арене, позволяя им уверенно и безопасно развивать свой бизнес в условиях глобализации.