Трудности трансграничного перевода
Как избежать ошибок при переходе на новые правила передачи персданных за рубеж
С 1 марта вступают в силу новые правила трансграничной передачи персональных данных (ПД), которые изменят бизнес-процессы почти всех российских организаций. Эксперты призывают не откладывать подготовку перехода на новый формат, скорректировать все операции, в том числе рутинные, и донести до сотрудников актуальные требования. О том, чего категорически нельзя делать в этой ситуации и каковы наиболее типичные заблуждения операторов ПД, – в материале RSpectr.
НЕ БУДЬ СТРАУСОМ
В законе закреплен принцип экстерриториальности требований в отношении обработки данных наших граждан. Это означает, что требования закона распространяются на обработку персональных данных российских граждан, даже если такая обработка происходит за пределами РФ, прокомментировал RSpectr заместитель главы Роскомнадзора Милош Вагнер.
Он подчеркнул, что
операторы при построении отношений со своими партнерами за рубежом должны апеллировать к этой норме и требовать от них гарантий, что данные будут под защитой, а граждане России не поражены в правах
Милош Вагнер, Роскомнадзор:
– В сегодняшних условиях передача такой чувствительной информации как ПД в третьи страны, становится все более и более рискованной деятельностью. В одностороннем порядке российского оператора могут отключить от зарубежного сервиса, заблокировать доступ к данным или вовсе раскрыть ПД третьим лицам.
Новые правила передачи ПД на территорию иностранных государств сложны и порой противоречивы, отмечают эксперты. Управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников рассказал, что оператор, планирующий осуществить трансграничную передачу, до направления уведомления об этом регулятору должен получить сведения о получателе ПД за рубежом, мерах, которые тот принимает для обеспечения их безопасности, и условиях прекращения обработки этой информации. Но для этого надо отправить электронное письмо с персональными данными сотрудника российского оператора.
В сложившейся ситуации, прокомментировал Михаил Емельянников RSpectr,
самая опасная позиция оператора ПД – прятать голову в песок, делая вид, что ничего не изменилось
Михаил Емельянников, «Емельянников, Попова и партнеры»:
– Если в ранее направленном уведомлении об обработке ПД было указано, что оператор осуществляет трансграничную передачу, и перечислены государства, в которые данные передаются, было бы большой ошибкой проигнорировать требования 266-ФЗ и не уведомить до 1 марта уполномоченный орган о текущем состоянии дел с трансграничной передачей, даже если она уже не осуществляется.
Это грозит штрафом по ст.19.7 КоАП РФ или обеспечит повышенное внимание Роскомнадзора к деятельности такого оператора, добавил он.
Соучредитель Russian Privacy Professionals Association (RPPA) Алексей Мунтян полагает, что в трансграничной передаче нельзя использовать старые методики, а также не принимать во внимание факторы, которые могут привести к ее запрету, ограничению или задержке. Кроме того, подчеркнул он в беседе с RSpectr,
операторам сейчас нужно применять риск-ориентированный подход, а не слепо опираться на букву закона
Консультант по вопросам персональных данных Александр Партин призвал операторов ПД проанализировать внутренние процессы и занять определенную правовую позицию там, где есть неясность в законе. Это не устранит всех рисков, но снизит общую тревожность.
При этом не стоит внедрять новый порядок работы сразу, отметил он в беседе с RSpectr. «Лучше начать с вопроса о том, насколько вообще нужна трансграничная передача в конкретном случае и перевешивает ли она затраты на изменение процессов и соблюдение новых требований», – рекомендует эксперт.
НЕ ДЕЛАЙ ТАК
Эксперты перечислили наиболее часто повторяющиеся заблуждения операторов ПД при переходе на новый порядок трансграничной передачи. По мнению Михаила Емельянникова,
самой распространенной ошибкой операторов ПД является трансграничная передача без наличия правовых оснований для ее осуществления
В абсолютном большинстве случаев таким основанием является согласие субъекта, которого у оператора зачастую нет.
Михаил Емельянников, «Емельянников, Попова и партнеры»:
– Например, когда-то компания решила перенести свою CRM-систему для управления взаимоотношениями с клиентами в зарубежное облако. Эта система может содержать личную информацию сотен тысяч и даже миллионов субъектов ПД. Естественно, получить у всех них согласие на эту операцию практически невозможно. Но бизнес требует, данные переносятся, а потом происходит проверка, и обосновать свершившуюся передачу нечем.
В итоге фиксируется нарушение, квалифицируемое по ч.1 ст.13.11 КоАП РФ.
Также характерной ошибкой операторов является несоответствие состава передаваемых за границу ПД заявленным целям передачи. «Очень часто их бывает значительно больше, чем требуется для достижения цели, будь то кадровое администрирование персонала международной компании (информация о воинском учете) или предоставление доступа к информационному ресурсу, находящемуся за рубежом (должность, номер телефона или паспортные данные)», – обратил внимание Михаил Емельянников.
Алексей Мунтян подчеркивает:
не стоит заблуждаться в том, что трансграничная передача ПД до и после 1 марта между собой существенно различаются с точки зрения рисков
Алексей Мунтян, RPPA:
– Сейчас активно продвигается идея о том, что если подать уведомление о трансграничной передаче данных до 1 марта 2023 года, то далее в отношении этого уведомления и этих случаев передачи данных за рубеж у Роскомнадзора не возникнет никаких вопросов.
Но, предупредил эксперт, ведомству ничто не помешает озадачить оператора запросами или даже запретить ему трансграничную передачу. Роскомнадзор имеет такое право в рамках п.4 ч.3 ст.23 152-ФЗ.
Алексей Мунтян указывает, что
перед отправкой уведомления о трансграничной передаче операторы не проверяют общее уведомление, которое могло быть подано ранее, или забывают оформить его согласно новым требованиям вместе или перед уведомлением о трансграничной передаче
«Уведомление о трансграничной передаче и общее уведомление должны быть синхронизированы и гармонизированы с точки зрения формулировок целей обработки ПД, категории передаваемых либо обрабатываемых данных», – пояснил он.
Кроме того, операторы не разделяют трансграничную передачу, связанную с поручением обработки персданных зарубежному лицу, и трансграничную передачу, не связанную с таковым поручением. Это важно, потому что перечень мер по информационной безопасности, который нужно уточнить у зарубежного обработчика или получателя, будет гораздо больше, чем при передаче за рубеж данных без поручения их обработки, подчеркнул эксперт. Если компания планирует передавать ПД зарубежному обработчику, то его меры технической и организационной защиты ПД должны как минимум соответствовать ст.19 152-ФЗ.
Еще одной типичной ошибкой операторов за последнее время стала
ориентация на так называемые страны адекватной или доверенной юрисдикции (члены Конвенции по защите прав физических лиц при автоматизированной обработке данных) и «неадекватные» страны с точки зрения статьи 12 закона «О персональных данных»
Кроме этого, нужно выделять дружественные и недружественные страны и понимать, что не все адекватные страны являются для РФ дружественными. С учетом геополитических факторов надзорные органы могут посчитать, что трансграничная передача в доверенные страны, не являющиеся дружественными, может представлять риски для прав и законных интересов субъектов ПД, пояснил Алексей Мунтян.
Компании грешат запросом у зарубежных организаций слишком большого объема информации о мерах по защите ПД. Чем меньше операторы будут задавать партнерам вопросов и чем больше они будут относиться к сути требований закона, тем проще будет всем участникам процесса.
Еще одна ошибка операторов – использование только опросных листов для получения информации о мерах по сохранению конфиденциальности ПД у зарубежных получателей. Эксперт считает, что
можно проводить устный опрос иностранных партнеров в формате телефонной и видео-конференц-связи и фиксировать ответы. Кроме того, можно ознакомиться с принятой у них политикой конфиденциальности (privacy policy)
Многие организации приравнивают конкретного потенциального получателя ПД из России к общей оценке допустимости трансграничной передачи данных.
Алексей Мунтян, RPPA:
– Операторы попадают в ловушку в момент подачи уведомления – проводят общую оценку всех существующих получателей, ставят дату и указывают ее в уведомлении. Дата является обязательным реквизитом уведомления трансграничной передачи. В дальнейшем состав получателей ПД может измениться, и им придется каждый раз ее обновлять.
Естественно, ни компании, ни Роскомнадзор не будут рады такому механистическому подходу к исполнению закона.
ДАТЬ НАСТОЯТЬСЯ
Юрист Comply Мария Пономарева обратила внимание на особенности использования иностранного ПО, в том числе сервиса Google Analytics. В РФ применение метрических программ или интернет-счетчиков от зарубежных производителей на сайтах и в мобильных приложениях является трансграничной передачей, пояснила она RSpectr.
Эксперт призвала операторов ПД оценить имеющиеся несоответствия требования 152-ФЗ в новой редакции. «Без этого не получится разработать оптимальный подход к факту и срокам подачи уведомления о трансграничной передаче данных и перестройке бизнес-процессов», – подчеркнула эксперт.
Сейчас компании спешат и хотят точечно внедрить отдельные нововведения. Но
изменение правил трансграничной передачи данных – это надстройка на уже прочном фундаменте базового соответствия компании требованиям 152-ФЗ
В целом оценка российским оператором соблюдения иностранными партнерами конфиденциальности ПД и обеспечения безопасности при их обработке подразумевает привлечение юристов-международников и специалистов по защите персданных. Не в каждой компании есть такие сотрудники, а привлечение сторонних организаций может оказаться дорогой услугой, отметил в беседе с RSpectr менеджер аудиторско-консалтинговой группы Kept (бывшая KPMG в России) Роман Мартинсон.
В любом случае новые требования должны «настояться», обрасти практикой и комментариями регулятора, полагают эксперты.
Тимур Халудоров
