Трансграничка персональных данных после 1 марта. Инструкция по применению

Дата: 29.11.2022. Автор: Михаил Емельянников. Категории: Блоги экспертов по информационной безопасности
Трансграничка персональных данных после 1 марта. Инструкция по применению

Думаю, что абсолютно все, кто хоть немного в теме, знают, что с 1 марта 2023 года радикально меняется схема трансграничной передачи персональных данных. От уведомительной системы передачи мы переходим к разрешительной, причем разрешение фактически должно быть получено (ему равноценно отсутствие запрета или ограничений, что в любом случае предполагает уведомление Роскомнадзора) для каждого государства, в которое данные планируется передавать. Тем не менее у наших заказчиков и коллег предстоящая реформа по-прежнему вызывает много вопросов. Постараюсь в посте коротко ответить на наиболее частые.

Отвечать буду, как завещала в научно-практическом комментарии к закону незабвенная Антонина Аркадьевна Приезжева: исходя из буквального толкования, применяемого в правоприменительной практике «по умолчанию».

Первый (и постоянный, и самый частый) вопрос – а что такое трансграничная передача персональных данных? Пункт 11 статьи 3 отвечает на него просто и однозначно: передача на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Что, любая передача? И электронное письмо тоже? Да, любая и мылом тоже. Как только ваш коллега где-нибудь в условной Кракожии получит письмо с вашими ФИО, должностью, номером телефона и адресом электронной почты, худшее уже случилось. Есть персональные данные, иностранное государство, иностранные лица: физическое – получатель письма и юридическое — его работодатель, которому принадлежит почтовый сервер. Все признаки трансграничной передачи в полном наличии. Ссылки на то, что письмо отправил работник, и это деяние не регулируется 152-ФЗ, исходя их пункта 1 части 2 статьи 1 закона, несостоятельны – переписка служебная, ведется в рамках должностных обязанностей, оператор в отношении всех данных в ней – работодатель, и под личные и семейные цели письмо никак не подпадает.

И все остальное – использование зарубежных облаков, ИСПДн за границей, как корпоративных, так и используемых только российским оператором (многие по-прежнему, но, я думаю, уже ненадолго, любят больше Salesforce, Taleoили, например, WorkDay), и бронирование гостиницы в booking.com для работника или работником, и покупка билетов на самолет для загранкомандировки – все это трансграничная передача. Как бы грустно это ни звучало.

Что же дальше? А дальше – строго по тексту новой редакции статьи 12 закона.      

Систематизируем все цели трансграничной передачи, заодно оцениваем, точно ли нам эти цели нужны или дешевле, проще и перспективнее, в том числе с точки зрения перспектив попадания в ту или иную группу тяжести, от чего-то отказаться вообще.

Составляем для каждой цели перечни передаваемых трансгранично персональных данных и оцениваем, точно ли все эти данные так необходимы для заявленной цели, а также какие у нас есть правовые основания передачи третьему лицу. Поклонники GDPR вспоминают, что так уважаемый в Евросоюзе законный интерес в России контроль и надзор убеждает не сильно, и скорее всего в большинстве случаев для каждого субъекта надо будет иметь согласие на передачу третьему лицу (смотрим прошлогоднее Информационное письмо Банка России и Роскомнадзора и еще раз перечитываем статью 88 ТК РФ).

Выявляем всех получателей персональных данных за рубежом: владельцев зарубежных систем, вычислительных мощностей, контрагентов, с которыми ведется переписка, в том числе входящих в международную группу компаний, фиксируем (или получаем, если не было раньше) их контакты, а также сведения о мерах по защите передаваемых персональных данных и об условиях прекращения их обработки. В какой форме, каком объеме и как – похоже, проблема российского оператора.

Определяем адекватность государства, в юрисдикции которого находится каждый получатель, для неадекватных, которым не посчастливилось попасть в Перечень, утвержденный приказом Роскомнадзора от 05.08.2022 № 128, – разбираемся с правовым регулированием обработки персональных данных (не стройте иллюзий: не пытаемся разобраться, а именно разбираемся, а вот как, для меня пока это тайна великая, особенно для обычного, рядового оператора, без мощного подразделения инхаус-юристов и учитывая цены на анализ зарубежного законодательства в юридических компаниях). Очень рекомендую завести специальную форму для фиксации всех этих данных, иначе потом могут возникнуть большие трудности. И не забываем, что уведомление о текущей трансграничной передаче надо направить в Роскомнадзор до 1 марта 2023 года. К этому же времени придется решить для себя все те проблемы, о которых я конспективно упомянул. Что времени еще много, только кажется. Мы с заказчиками пробуем.

О новой трансграничной передаче (в новую страну) уведомляем Роскомнадзор. В адекватные страны, не дожидаясь ответа надзора, данные отправляем, в отношении получателей в неадекватных, типа Штатов – ждем, не получим ли мы требования о запрете или ограничении передачи, и лишь, если их не будет – пишем свои «ненужные» письма. И никак иначе.

Все, что я написал выше, государственным и муниципальным органам знать не обязательно, для них будет отдельное постановление правительства. И, если их работники потратили время на чтение поста, трата была напрасной.

Остались нюансы. Поскольку среди наших клиентов много кредитных и прочих финансовых организаций, нюансы объясню на их примере. В соответствии с частью 5 статьи 5 закона «О национальной платежной системе» перевод денежных средств осуществляется в срок не более трех рабочих дней, начиная со дня списания денежных средств с банковского счета плательщика или со дня предоставления плательщиком наличных денежных средств. Роскомнадзору же на рассмотрение намерения осуществлять трансграничную передачу и подготовку ответа оператору дается 10 рабочих дней, при этом если Роскомнадзор захочет (а он имеет право) запросить дополнительную информацию о получателе и правовом регулировании его национальным законом, указанную выше, но не включаемую в уведомление, рассмотрение прекращается на срок получения этой информации от оператора – до 15 рабочих дней.  

А теперь вполне реальный сценарий. Клиент просит оправить его деньги получателю в государство, которое в уведомлении банка ранее не указывалось. Государство с адекватной защитой прав субъекта – банк деньги отправляет. Не обеспечивающее адекватной защиты – ждет и не отправляет. Какой закон банку в данной ситуации лучше нарушить – о персональных данных или о национальной платежной системе? А нарушить придется. 

И возвращаемся к первому сценарию. Государство с адекватной защитой. Но по причинам, указанным в частях 8 и 12 статьи 12, Роскомнадзор сообщает банку о запрете передачи. А деньги уже ушли. Теперь, в соответствии с частью 14 банк обязан обеспечить уничтожение иностранным банком-получателем ранее переданных ему персональных данных субъекта-отправителя. Вы прочитали все правильно. И да, это не смешно.

И что делать? Не знаю. Точнее – знаю. Исключить переводы денежных средств из-под регулирования статьей 12 152-ФЗ. Но это уже другая история. И не про мои рецепты.


Источник — блог Емельянникова Михаила «Рецепты безопасности от Емельянникова».

Об авторе Михаил Емельянников

Экcперт в области информационной безопасности и безопасности бизнеса. Управляющий партнер Консалтингового агентства "Емельянников, Попова и партнеры"
Читать все записи автора Михаил Емельянников

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *