Первые запреты на трансграничную передачу данных россиян

В России зафиксированы первые случаи отказа компаниям в трансграничной передаче персональных данных, сообщили РБК два источника на рынке и подтвердил представитель Роскомнадзора.

Новый порядок передачи персональных данных за рубеж начал действовать с 1 марта: для передачи таких данных россиян в любую страну компании должны уведомлять Роскомнадзор. Также они должны убедиться, что иностранный партнер сможет соблюдать конфиденциальность переданной информации и обеспечить ее защиту при обработке. Исключение — если речь идет о странах, подписавших Конвенцию Совета Европы, а также включенных в перечень Роскомнадзора. Если в течение десяти дней после получения уведомления ведомство не вынесет решение о запрете, данные могут быть переданы.

По словам представителя РКН, с 1 марта текущего года подано 589 уведомлений о трансграничной передаче, и по итогам рассмотрения семи из них ведомство запретило или ограничило передачу. При этом он не уточнил, кого касались эти решения, лишь отметил, что речь идет о финансовых и логистических компаниях:

«Трансграничная передача персональных данных — это вид операций с повышенным риском для оператора и субъекта персональных данных. После такой передачи в большинстве случаев оператор теряет контроль над дальнейшей обработкой данных, а пользователь, чьи данные оказались не в российской юрисдикции, оказывается ограничен в действиях по защите своих прав».

Решения о запрете и ограничении были вынесены из-за несоответствия цели трансграничной передачи персональных данных тем целям, которые указывались при их сборе, а также их объему и содержанию. «В частности, компании планировали передавать за рубеж личные данные соискателей, а также потенциальных клиентов для проверки их платежеспособности», — пояснил представитель ведомства.

О направленных до 1 марта уведомлениях не сообщается. Как напоминает Privacy Expert, Роскомнадзор только по недружественным странам ожидал 2500 уведомлений (совокупно до 1 марта и после).

Управляющий партнер юридической компании Enterprise Legal Solutions Юрий Федюкин отметил, что речь может идти не только о банках, но и о финансовых и страховых компаниях.

Гендиректор «INFOLine-Аналитики» Михаил Бурмистров напомнил, что в России продолжают работать многие международные компании, которые работают с использованием ресурсов центрального офиса за рубежом. Но такая практика в ближайшее время должна прекратиться.

По словам одного из собеседников на рынке, компании, получившие запрет на трансграничную передачу персональных данных, могут попробовать оспорить решение на переговорах с Роскомнадзором. «Если компромисс не удастся найти, вскоре могут последовать судебные иски», — прогнозирует он.

Когда новый порядок передачи персональных данных только обсуждался, о связанных с ним рисках заявляли представители авиакомпаний, маркетплейсов и интернет-магазинов. Эксперт сервиса «Контур.Фокус» Антон Яковлев отметил, что помимо указанных компаний участниками трансграничной передачи персональных данных россиян могут быть зарубежные видеосервисы и соцсети, благотворительные фонды, медицинские организации и проч.

В целом бизнес не всегда понимает, каким образом соблюдать новые правила трансграничной передачи персональных данных, констатировал СЕО Privacy Advocates, соучредитель сообщества профессионалов в области приватности RPPA.ru Алексей Мунтян.

Кроме того, перед началом передачи данных российской компании необходимо запросить и получить информацию о мерах защиты у получателя персональных данных в другой стране, что само по себе является трансграничной передачей. Также иностранное юрлицо может отказать российской компании в предоставлении сведений о защите данных — условный зарубежный отель просто проигнорирует просьбу.