Трансграничная передача персональных данных: масштабные изменения с марта 2023 г.

При передаче персональных данных иностранному гражданину или организации на территорию иностранного государства — трансграничной передаче персональных данных — нужно соблюдать особые правила.

С 1 марта 2023 года к таким специальным правилам относятся:

1. Уведомление Роскомнадзора о намерении осуществлять трансграничную передачу персональных данных.

Обратите внимание: уведомить о трансграничной передаче можно будет только после подачи уведомления об обработке персональных данных.

Формы уведомления о трансграничной передаче пока нет, но перечень основных сведений, которые должно содержать уведомление, уже известен.

По итогам рассмотрения уведомления Роскомнадзор может принять решение о запрещении или ограничении трансграничной передачи.

2. Работа со странами в зависимости от обеспечения ими защиты персональных данных

Закон о персональных данных различает:

• страны, которые обеспечивают адекватную защиту прав субъектов персональных данных (страны-члены Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и страны по перечню Роскомнадзора);
• страны, которые не обеспечивают адекватную защиту прав субъектов персональных данных.

При передаче персональных данных в страны, не обеспечивающие адекватную защиту, Вам нужно будет дождаться положительного решения Роскомнадзора по уведомлению о трансграничной передаче и только потом начать такую передачу.

При передаче персональных данных в страны, обеспечивающие адекватную защиту, начать передачу можно сразу после подачи уведомления.

3. Получение информации от иностранного оператора ПД

Перед подачей уведомления нужно получить от иностранного оператора информацию о:

• контактах иностранного оператора;
• мерах по защите персональных данных и условиях прекращения их обработки у иностранного оператора;
• правовом регулировании в области персональных данных иностранного государства, на территорию которого передаются персональные данные (для стран, не обеспечивающих адекватную защиту).

Роскомнадзор может запросить эти данные для проверки, их нужно будет предоставить в течение 10 рабочих дней.

Готовиться к получению этой информации лучше уже сейчас. Возможно, что для сбора такой информации (например, о правовом регулировании) придется привлечь иностранных консультантов и потребуется продолжительное время.