С 1 марта вступают в силу сразу два постановления Правительства РФ о трансграничной передаче персональных данных. Что эти нововведения означают для НКО, рассказывают юрист благотворительного фонда «Нужна помощь» Константин Воробьев и юрист АСИ Оксана Гордиенко.
Что изменилось?
Трансграничная передача персональных данных (ПД) – это передача персональных данных гражданина РФ находящимся за рубежом органам власти иностранных государств, иностранным компаниям или иностранным гражданам.
Константин Воробьев
юрист благотворительного фонда «Нужна помощь»
Примером трансграничной передачи ПД могут быть самые обычные рабочие ситуации: бронирование номеров для сотрудников в зарубежных гостиницах, использование иностранных сервисов рассылок, платформ для хранения персональных данных, предоставление данных иностранным фондам-грантодателям или партнерам.
Если же сотрудник организации находится за рубежом и работает с такими данными, то это трансграничной передачей не считается.
Согласно двум принятым постановлениям, которые уточняют изменения в ФЗ «О персональных данных», с 1 сентября 2022 года операторы персональных данных, которые осуществляют трансграничную передачу таких данных, обязаны не позднее 1 марта 2023 года направить в Роскомнадзор уведомление об осуществлении ими трансграничной передачи персональных данных.
После рассмотрения такого заявления Роскомнадзор сможет принимать решение о запрете или ограничении трансграничной передачи ПД в целях защиты нравственности, здоровья, прав и законных интересов граждан.
Сервисы, серверы и другие тонкости
Роскомнадзор может наложить запрет в нескольких случаях, например, если иностранное юридическое лицо, которому планируется трансграничная передача ПД, является организацией, деятельность которой запрещена на территории Российской Федерации или является нежелательной. На иностранных агентов это не распространяется, отмечает Константин Воробьев:
“Это, скорее, применение общих правил о недопустимости сотрудничества российских граждан и компаний с экстремистскими и нежелательными организациями. Поэтому, помимо административной и уголовной ответственности, важно было закрепить это и в части персональных данных, — говорит эксперт. — Однако Роскомнадзор имеет большие возможности по запрету и ограничению трансграничной передачи данных, например, если решит, что такая передача не совместима с целями сбора персональных данных, содержание или объем данных, планируемых к трансграничной передаче, не соответствует цели трансграничной передачи персональных данных. Также решение может быть принято для обеспечения обороны страны, безопасности государства — по заявлению иных органов власти». К ним относятся ФСБ России, Минобороны России, МИД России и другие органы, уполномоченные правительством или президентом.
У НКО или компании, которой запретили или ограничили трансграничную передачу ПД, есть возможность устранить причину такого решения Роскомнадзора и повторно подать уведомление в ведомство.
При этом юристы проекта «Правовая команда» считают, что у организаций могут возникнуть сложности из-за размытости самого законодательного определения трансграничной передачи ПД: формально использование подавляющего большинства ресурсов или сервисов и приложений может быть признано трансграничной передачей ПД, исходя из того, что серверы могут быть размещены за пределами Российской Федерации.
Например, если НКО использует сервис для e-mail рассылок, сотрудники организации могут даже не подозревать, что серверы компании, которой принадлежит сервис, расположены вне России.
Оксана Гордиенко
юрист Агентства социальной информации
Да, НКО может и не знать, что серверы партнеров располагаются в Грузии или еще где-то. Думаю, что в таком случае надо заранее выяснить, через какие ресурсы потенциального или существующего партнера будут передаваться или уже передаются персональные данные, и принимать соответствующие меры.
Надо запрашивать у партнеров информацию об их серверах и о том, где и как они хранят персональные данные. Незнание точно не освободит от ответственности.
Константин Воробьев предполагает, что в первую очередь речь идет о том, какие иностранные сервисы, приложения и программы использует НКО и на каких основаниях и условиях передают иностранным компаниям персональные данные. «Думаю, что с российскими сервисами проблем быть не должно. Как правило, взаимодействие происходит с российскими юридическими лицами, а данные от пользователей из России ответственно размещаются на отечественных серверах».
Что это значит для НКО
«Формально изменения практически не отразятся на деятельности НКО, поскольку не нужно уведомлять Роскомнадзор по каждому факту осуществления трансграничной передачи персональных данных или о каждом новом контрагенте. Уведомление можно заполнить один раз, отразив все цели, основания передачи данных, их состав, категории субъектов, а также перечень стран, на территорию которых передаются персональные данные», — объясняет Воробьев.
Но глобально поправки могут привести к более осознанному подходу к обработке персональных данных. НКО придется контролировать, не передаются ли данные за рубеж, а если так — не нарушаются ли при этом требования действующего законодательства, уведомлен ли Роскомнадзор. Тем самым в рамках текущей работы НКО постепенно могут появиться внутренние стандарты при выборе сервисов, взаимодействии с иностранными контрагентами, отмечает юрист.
Нововведения могут отразиться на работе благотворительных фондов в практике сбора средств и отправки на лечение в другие страны подопечных с различными заболеваниями, поскольку в таких случаях фонды и больницы собирают большое количество персональных данных пациентов.
«Возможны запреты. Но, на мой взгляд, в таких случаях ничего критичного не произойдет. Ведь гражданин вправе направить свои данные в иностранный фонд самостоятельно, например, электронным письмом, а это к трансграничной передаче не относится», — считает Константин Воробьев.
В схожих ситуациях некоммерческим организациям тоже придется быть более гибкими. К примеру, если НКО проводит исследование с зарубежным институтом и делится с ним данными о российских респондентах, передача этих данных может быть запрещена. «Значит, НКО может найти альтернативное решение — в рамках исследования обработать эти сведения самостоятельно, привлечь для этой работы другую российскую организацию либо передать обезличенные данные зарубежному институту», — говорит эксперт.
Как подготовиться к нововведениям
«Если НКО еще не подавала уведомление о намерении осуществлять обработку персональных данных, надо обязательно подать его в Роскомнадзор до 1 марта и войти в реестр операторов ПД,— напоминает Оксана Гордиенко. — А после этой даты нужно направить отдельное уведомление о намерении осуществлять трансграничную передачу данных (если она действительно осуществляется) с соблюдением требований установленных ст.12 152-ФЗ».
В случае, если НКО пока еще не получила статус оператора ПД, но при этом осуществляет трансграничную передачу ПД, ответственность не будет усиливаться: за несоблюдение законодательства о персональных данных по ст. 19.7 КоАП РФ предусматривается предупреждение или наложение штрафов на руководителя — от 300 до 500 рублей, на юридических лиц — от 3 тыс. до 5 тыс. рублей.
Константин Воробьев советует НКО не паниковать: «Сперва надо провести полноценный аудит процессов обработки персональных данных, а при необходимости привлечь специалистов по этим вопросам. Для удобства рекомендуют составлять реестр процессов сбора и обработки персональных данных. После чего оценить, в каких случаях важно продолжать трансграничную передачу персональных данных или найти иное решение для этого и уже на основании проведенного анализа проверить документы организации по персональным данным, а также уведомить Роскомнадзор».
Что еще стоит сделать. Советует юрист АСИ Оксана Гордиенко:
- Привести локальные акты в соответствие с изменениями законодательства.
- Утвердить форму акта об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных.
- Выяснить, передает ли НКО (сама или через партнеров) персональные данные заграницу. От этого зависит, осуществляет ли НКО трансграничную передачу ПД или нет.
- НКО должна оценить вред, который может возникнуть, если будут нарушены правила обработки персданных (п. 5 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ).
- Опубликовать политику в отношении обработки персональных данных, включая сведения о реализуемых требованиях к защите персональных данных для неограниченного круга лиц и доступа (ст. 18.1 152-ФЗ) на своем сайте. Политику при необходимости надо обновить.
Источник: АСИ