В России зафиксированы первые случаи отказа компаниям в трансграничной передаче персональных данных, сообщили РБК два источника на рынке и подтвердил представитель Роскомнадзора.
Новый порядок передачи персональных данных за рубеж начал действовать с 1 марта: для передачи таких данных россиян в любую страну компании должны уведомлять Роскомнадзор. Также они должны убедиться, что иностранный партнер сможет соблюдать конфиденциальность переданной информации и обеспечить ее защиту при обработке. Исключение — если речь идет о странах, подписавших Конвенцию Совета Европы, а также включенных в перечень Роскомнадзора. Если в течение десяти дней после получения уведомления ведомство не вынесет решение о запрете, данные могут быть переданы.
По словам представителя РКН, с 1 марта текущего года подано 589 уведомлений о трансграничной передаче, и по итогам рассмотрения семи из них ведомство запретило или ограничило передачу. При этом он не уточнил, кого касались эти решения, лишь отметил, что речь идет о финансовых и логистических компаниях:
«Трансграничная передача персональных данных — это вид операций с повышенным риском для оператора и субъекта персональных данных. После такой передачи в большинстве случаев оператор теряет контроль над дальнейшей обработкой данных, а пользователь, чьи данные оказались не в российской юрисдикции, оказывается ограничен в действиях по защите своих прав».
Решения о запрете и ограничении были вынесены из-за несоответствия цели трансграничной передачи персональных данных тем целям, которые указывались при их сборе, а также их объему и содержанию. «В частности, компании планировали передавать за рубеж личные данные соискателей, а также потенциальных клиентов для проверки их платежеспособности», — пояснил представитель ведомства.
О направленных до 1 марта уведомлениях не сообщается. Как напоминает Privacy Expert, Роскомнадзор только по недружественным странам ожидал 2500 уведомлений (совокупно до 1 марта и после).
Управляющий партнер юридической компании Enterprise Legal Solutions Юрий Федюкин отметил, что речь может идти не только о банках, но и о финансовых и страховых компаниях.
Гендиректор «INFOLine-Аналитики» Михаил Бурмистров напомнил, что в России продолжают работать многие международные компании, которые работают с использованием ресурсов центрального офиса за рубежом. Но такая практика в ближайшее время должна прекратиться.
По словам одного из собеседников на рынке, компании, получившие запрет на трансграничную передачу персональных данных, могут попробовать оспорить решение на переговорах с Роскомнадзором. «Если компромисс не удастся найти, вскоре могут последовать судебные иски», — прогнозирует он.
Когда новый порядок передачи персональных данных только обсуждался, о связанных с ним рисках заявляли представители авиакомпаний, маркетплейсов и интернет-магазинов. Эксперт сервиса «Контур.Фокус» Антон Яковлев отметил, что помимо указанных компаний участниками трансграничной передачи персональных данных россиян могут быть зарубежные видеосервисы и соцсети, благотворительные фонды, медицинские организации и проч.
В целом бизнес не всегда понимает, каким образом соблюдать новые правила трансграничной передачи персональных данных, констатировал СЕО Privacy Advocates, соучредитель сообщества профессионалов в области приватности RPPA.ru Алексей Мунтян.
Кроме того, перед началом передачи данных российской компании необходимо запросить и получить информацию о мерах защиты у получателя персональных данных в другой стране, что само по себе является трансграничной передачей. Также иностранное юрлицо может отказать российской компании в предоставлении сведений о защите данных — условный зарубежный отель просто проигнорирует просьбу.
The main news of the week in the field of law.
On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.