Межгосударственная передача информации полезна при деловых поездках сотрудников за рубеж, к примеру, на обучение или рабочие командировки.
Передача личной информации через границы контролируется российскими законами, в том числе Федеральным законом № 152-ФЗ от 27 июля 2006 года.
Пункт 11 статьи 3 определяет трансграничную передачу как отправку персональных данных за границы России, к получателям которых относятся иностранецкие граждане, организации или госорганы.
Передача данных через границы осуществляется по такому алгоритму:
Шаг 1. Обеспечение локального хранения данных
Для передачи данных через границу необходимо убедиться в том, что персональные данные организации и ее работников хранятся только на российских серверах. В случае если базы данных находятся за пределами России, требуется их перемещение на отечественные серверы. Также организация должна проверить свою документацию на соответствие действующему законодательству по обработке персональных данных, включая политику обработки персональных данных.
Шаг 2. Получение информации о получателе
Организация требует информации о лице, которому направляются данные.
- от организации — название и месторасположение,
- Сведения о гражданине другой страны — имя, фамилия, отчество, контакты.
- При необходимости подтверждения статуса государства по защите персональных данных, если оно не участник Конвенции Совета Европы №108 от 28 января 1981 года и не указано в списке приказа Роскомнадзора от 5 августа 2022 года №128, потребуется запросить информацию о действующих правовых нормах в этой стране. Для некоторых стран-участниц Конвенции Совета Европы №108 от 28 января 1981 года (или указанных в приказе Роскомнадзора №128 от 5 августа 2022 года) предварительного одобрения Роскомнадзора не нужно.
Шаг 3. Представление сведений в Роскомнадзор
Информация, полученная от получателя, передаётся в Роскомнадзор.
Шаг 4. Получить письменное согласие сотрудника
Закон требует письменного согласия работника на передачу его персональных данных за границу. Форма согласия не закреплена законом, но должна соответствовать общим требованиям пункта 1 части 1 статьи 6, пункта 4 статьи 9 федерального закона № 152-ФЗ и статьи 88 Трудового кодекса РФ.
Составляется в письменном или электронном формате и содержит исчерпывающие сведения.
- Ф. И. О. того, кому предоставят информацию.
- Цель передачи данных;
- Направление информации.
- Срок действия согласия;
- Личная подпись владельца данных.
Шаг 5. Отправить уведомление в Роскомнадзор
При отправке информации через границу оператор обязан предупредить Роскомнадзор.
Что включить в уведомление:
- Название и адрес оператора;
- Дата и номер первого уведомления о задействовании обработки персональных сведений.
- Информация о руководителе, отвечающем за обработку персональных данных.
- Юридические основания и задачи обмена информацией.
- Категории и перечень передаваемых данных;
- Страна-получатель данных.
- Дата определения уровня безопасности хранения данных за границей.
Достаточно одного уведомления; последующие уведомления не нужны.
Уведомление можно отправить как на бумаге, так и через портал Роскомнадзора с использованием учетной записи на Госуслугах. Впервые обращающаяся по вопросу трансграничной передачи данных организация должна внести компанию в реестр операторов обработки персональных данных, подав соответствующее уведомление. Только после внесения в реестр возможно осуществлять трансграничные передачи.
Шаг 6. Работа с запросами Роскомнадзора.
Рассмотрев уведомление, Роскомнадзор может потребовать дополнительную информацию или пояснения. Организация должна предоставить ответы в течение десяти рабочих дней.
Рассмотрение уведомлений происходит согласно постановлению правительства РФ №24 от 16 января 2023 года. Статус можно отслеживать онлайн на официальном сайте ведомства в разделе «Трансграничная передача» и опции «Проверка состояния уведомления».
Автор. Е. Грицак