Трансграничная передача персональных данных

Автор статьи: Анастасия Васильева

Давайте разберемся, что это за штука и почему с ней стоит связываться, только если очень-очень надо и иначе никак.

Но для начала лирическое отступление. Быстро вспомним, что такое персональные данные. По закону это любая информация, которая прямо или косвенно относится к определенному человеку. Имя, возраст, номер телефона, фотография, паспортные данные. Это всё понятные и привычные штуки, правда? Но Роскомнадзор (контролирующий орган, который проводит проверки и наказывает за нарушение закона о персональных данных) считает, что к персональным относятся и менее очевидные данные. Например, ip устройств, с которых идет трафик, cookie или данные, которые собирают сервисы аналитики типа Яндекс.Метрика и Google Analytics.

Обработка персональных данных – тема серьезная. Здесь много разных требований и большие штрафы за их нарушение. Одни из самых больших – за нарушение правил трансграничной передачи персональных данных.

Трансграничная передача персональных данных – это передача персональных данных за границу органу власти иностранного государства, иностранной компании или иностранному физическому лицу. Здесь важны оба критерия – кому передаем и куда. То есть если у вас российский работник уехал на выставку в Европу и получает там данные ваших нижегородских клиентов, то это не трансграничная передача.

А вот эти ситуации трансграничной передачей будут:

• вы отправляете данные работника, который уехал на европейскую выставку, организатору для регистрации;

• вы храните персональные данные клиентов на зарубежном сервере;

• вы используете иностранную CRM для ведения клиентской базы;

• вы подключили к сайту Google Analytics или форму Google Forms, в которой участники опроса оставляют данные о себе.

Соответственно, как только вы понимаете, что у вас намечается трансграничная передача персональных данных, нужно обязательно сделать несколько вещей. Причем не важно, кто вы – большая сталелитейная компания или маленький самозанятый кондитер:

1. Убедиться в том, что у вас есть основание для трансграничной передачи данных. Согласие субъекта, договор с ним, например.

2. Оценить, в какую страну вы будете передавать данные, потому что все они делятся на страны, которые обеспечивают адекватную защиту персональных данных (Италия и Китай, например), и на те, которые не обеспечивают (США, например, не обеспечивает).

3. Запросить у получателя данных определенную информацию. Контакты, меры по защите персональных данных и некоторую другую. В зависимости от «адекватности» страны перечень данных, которые вы должны запросить, отличается.

4. Уведомить Роскомнадзор о намерении осуществлять трансграничную передачу персональных данных. Для этого вы должны заполнить специальную форму. В некоторых случаях Роскомнадзор по итогам рассмотрения уведомления может запретить трансграничную передачу персональных данных.

Что если этого не сделать?

Есть риски привлечения к административной ответственности.

Часть 1 ст. 14.1 КоАП РФ устанавливает ответственность за обработку персональных данных в случаях, не предусмотренных законодательством. Штраф для граждан до 6 тысяч рублей, для ИП – до 20 тысяч. Для юридических лиц – до 100 тысяч. За повторное нарушение – до 12, 100 и 300 тысяч соответственно.

Это еще сравнительно ничего. Потому что использование зарубежных сервисов, которые непосредственно получают данные ваших клиентов и сохраняют их на своих серверах вне РФ, может быть квалифицировано по части 8 и 9 ст. 14.1 КоАП РФ – невыполнение оператором, собирающим данные через сеть «Интернет», обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (в переводе на русский язык – нарушение требования о локализации базы данных на территории РФ). Там цифры штрафов впечатляют гораздо больше. Граждане при условии повторности нарушения могут получить штраф до 100 тысяч рублей, ИП – до 800 тысяч, а компании – до 18 миллионов (это не опечатка, правда штраф до 18 миллионов).

В качестве вишенки на торте – совсем скоро трансграничная передача персональных данных без уведомления Роскомнадзора превратится в официальный повод для внеплановой проверки со стороны Роскомнадзора по всем вопросам обработки вами персональных данных. Представляете, да, что могут накопать по всем фронтам?

Что делать, чтобы всего это избежать?

Ответ один и он очень простой.

Не связываться с трансграничной передачей персональных данных, если без нее невозможно обойтись. В первую очередь – использовать российские аналоги привычных иностранных сервисов и CRM.