Передавая персональные данные трансгранично в страны, которые не оказывают адекватную защиту, например, при командировании работника, при направлении его на обучение, передавая данные в головную компанию и т.д. с 01.03.2023 года можно получить от Роскомндазора:
- запрет передачи,
- ограничения,
- дополнительный запрос на предоставление дополнительных сведений.
Есть вещи, на которые
компания никак не может повлиять, например, если принимаемой стороной является организация, деятельность которой запрещена на территории РФ на основании вступившего в законную силу решения суда или включена в перечень иностранных и международных неправительственных организаций, деятельность которых признана нежелательной на территории РФ. Но есть вещи, на которые компания может влиять, чтобы не получить такого отказа или запрета.
На что можно повлиять, чтобы не получить запрета или ограничения в трансграничной передаче? 1. Четко прописывать цели передачи персональных данных, сопоставляя с ними категории субъектов и передаваемых сведений (п.23 и п.26 Постановления Правительства РФ от 16.01.2023 N 24),
2. Заранее запрашивать и помогать (при необходимости) оформлять информацию от принимаемой стороны по принятию мер по защите передаваемых персональных данных.
Вот с этим последним и могут возникнуть основные проблемы. Что должна предоставить принимаемая сторона (ст. 12 п.5 ФЗ-№152)?
- сведения о принимаемой стороне – наименование, номера контактных телефонов, почтовые адреса и адреса электронной почты,
- информация о правовом регулировании в области персональных данных иностранного государства,
- сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки.
ОБРАТИТЕ ВНИМАНИЕ: что указанные сведения надо получить от принимаемой стороны ДО ТОГО как будет отправлено уведомление в Роскомнадзор о планируемой передаче персональных данных трансгранично.
А уведомление в Роскомнадзор надо отправить
ДО ТОГО как будете передавать данные трансгранично.
Поэтому, если у вас стоит задача оперативно передать данные трансгранично, надо к этому готовиться
СЕЙЧАС. Кстати, отправляя уведомление в Роскомнадзор надо будет указать реквизиты уведомления об обработке персональных данных которые организация подавала. А если до сих пор не подала?
Алгоритм по последовательности:
1. Проверить подавалось ли уведомление об обработке ПД в Роскомнадзор,
2. Определить к какой категории относится страна куда передаются (будут передаваться) данные трансгранично,
3. Запросить заранее у страны перечень необходимых сведений (у стран оказывающих адекватную защиту 2 пункта, у других 3 пункта по ст. 12 ФЗ№152),
4. Отправить уведомление в Роскомнадзор о планируемой передаче данных трансгранично.