Обработка информации при трансграничной передаче данных

Используете Google Analytics, Telegram или другой зарубежный сервис для аутентификации пользователя? Может при разработке своего продукта использовали модули иностранного ПО? Или размещаете это ПО на иностранном сервере? Обрабатываете данные пользователей? Тогда эта статья для вас.

Содержание:

Автор статьи:

Используете Google Analytics, Telegram или другой зарубежный сервис для аутентификации пользователя? Может при разработке своего продукта использовали модули иностранного ПО? Или размещаете это ПО на иностранном сервере? Обрабатываете данные пользователей? Тогда эта статья для вас.

В российской экономике ввиду новых правовых требований снижается роль зарубежных сервисов. Особенно это касается той части рынка, где клиентами, заказчиками являются государственные органы, различные бюджетные учреждения и им подобные. А также сюда относится ряд коммерческих организаций, например те, кто является субъектом критической информационной инфраструктуры (о том, кто к ним относится писали здесь), или те, кто создает программные продукты для таких организаций.

Законодательство и правоприменительная практика в области персональных данных (далее ПД) и обработки информации также не стоит на месте. Все больше требований появляется к условиям хранения и передачи информации через зарубежные информационные системы. Увеличиваются штрафные санкции. После вступления в силу последних поправок в законодательство о защите ПД за неправомерную трансграничную передачу ПД можно получить штраф до 18 млн. рублей. Это не может не беспокоить, поскольку до сих пор очень много компаний используют зарубежные сервисы в своей работе. Особенно это касается малого и среднего бизнеса.

В этой статье мы расскажем вам, как минимизировать риски нарушения в области трансграничной передачи ПД, а также о комплексе мер, которые можно предпринять с юридической и технической точки зрения, чтобы обезопасить себя при следующей проверке или профилактическом визите Роскомнадзора.

До 2025 года нарушения в области защиты ПД были не так страшны с юридической и экономической точки зрения, поскольку штрафы были слишком незначительны. Сейчас же слепое игнорирование изменений может привести к довольно существенным убыткам, как например это уже происходило в Европейском Союзе с такими компаниями как Google, Amazon, British Airways и другими.

Персональные данные – это разновидность информации. В парадигме российского законодательства информация – это сведения (сообщения, данные) независимо от формы их представления. ПД – это тоже информация, но, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Получается, что при соблюдении требований к ПД стоит также учитывать положения Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Между информацией и персональными данными есть много схожего в обеспечения их защиты, в том числе как раз таки положения, направленные на регулирование иностранных информационных систем. В части ПД это касается вопроса локализации баз данных информационной системы иностранного сервиса.

В правовом поле существует также специализированная информация конфиденциального характера. Она приобретает ограничительный характер распространения в силу закона либо договоренностей между субъектами рынка. К такой информации, например, относятся различные тайны: коммерческая, банковская, профессиональная, служебная, государственная и т.д.

Персональные данные и тайны могут быть тесно взаимосвязаны между собой. Не всегда можно отделить ПД от информации тайны, как и наоборот. И это влияет на составление корректного согласия на обработку ПД, включая согласия на трансграничную передачу. В новых реалиях некорректно заполненное уведомление о намерении обрабатывать ПД может привлечь совершенно ненужное внимание регулятора. Однако опытный специалист поможет убить трех зайцев одним выстрелом:

Конфиденциальность данных является одним из требований, предъявляемых к ИТ-компаниям, как законодательством, так и контрагентами.

Конфиденциальность по своей сути является неким режимом неразглашения информации. Федеральный закон «О персональных данных» (далее ФЗ №152) устанавливает требования к операторам (лицам, которые обрабатывают персональные данные):

Что из этого следует? Это нам говорит о том, что любые операции (действия), которые можно производить с персональными данными, осуществимы только в случае, если на то было получено согласие.

На практике одна цель обработки ПД требует одного согласия. Поэтому в зависимости от цели трансграничная передача может быть предусмотрена в одном согласии или оформляться вообще отдельно и только в тех случаях, где ИТ-компании это реально необходимо.

Конфиденциальность достигается различными способами: организационными, правовыми (юридическими), техническими.

Для разработчиков, да и для небольших компаний, где не всегда есть юрист в штате или специалист по ИБ, чаще всего конфиденциальность достигается именно техническим путем. Однако с точки зрения ФЗ №152 таких мер может быть недостаточно, чтобы удовлетворить защитника прав субъектов ПД – Роскомнадзор.

Статья 18.1 ФЗ №152 имеет очень хитрую формулировку, касающуюся принимаемых оператором мер:

Может показаться, что это фактически полная свобода в выборе средств и мер защиты. Но это не так. Сама статья 18.1 и статья 19 ФЗ №152 называют ряд мер, которые необходимо принять оператору для обеспечения своих обязанностей по ФЗ №152 и обеспечения мер безопасности обработки ПД. Также конкретные требования перечисляются в отдельных нормативных актах (Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; Постановление Правительства РФ от 01.11.2012 № 1119). И действительно, уже исходя из этих требований, у оператора есть свобода выбора. То есть по большей части речь идет о выборе некого набора средств защиты информации (организационных, технических и т.д.), а не о том, что защищать или какие меры можно не предпринимать.

Почему это все важно для трансграничной передачи? Трансграничная передача данных (да и любая передача) это всегда две, а то и три стороны с юридической точки зрения. На самом деле сторон может быть больше, но мы разберем на примере самой простой конструкции.

С точки зрения отечественного законодательства трансграничная передача ПД возможна с теми государствами, которые обеспечивают адекватную защиту прав субъектов ПД, а также с теми, кто ее не обеспечивает. То же самое касаетс��, например стран Европейского союза (глава V GDPR). Что вообще такое «адекватная защита»? Можно подумать, что речь идет о каких-то абстрактных формальных критериях, и отчасти это действительно так. Роскомнадзор не проверяет офис зарубежной организации на предмет незакрытых дверей в их дата центр. Этим занимается регулятор той страны, куда осуществляется передача. У Роскомнадзора есть список государств, которым «он доверяет» передачу ПД, потому что законодательство этих стран позволяет защищать персональные данные. К государствам, которых нет в списке, есть дополнительные требования в части трансграничной передачи, но о них дальше.

Таким образом, обеспечение мер по защите ПД это не только галочка для контролирующего органа, но и галочка для вашего партнера за рубежом.

Итак, передача персональных данных это активное действие. Возникает вопрос, а будет ли передача как таковой, если это произошло всего один раз? Например, по сделке о продаже базы данных клиентов. К сожалению, это не тот случай, где один раз, не… нарушитель закона. Такие случаи также будут считаться передачей персональных данных.

Одно дело – передача персональных данных внутри территории страны, и совсем другое, когда такая передача происходит на сервера другой страны. Для трансграничной передачи ПД предусмотрены самостоятельные правила, установленные статьей 12 ФЗ №152.

Только после совершения этих действий компания сможет легитимно заниматься обработкой и передачей ПД в зарубежные страны.

Чтобы проверить себя на наличие рисков трансграничной передачи ПД сделайте следующие простые шаги:

1. Откройте в браузере на сайте раздел cookie (можно открыть (1) как через поисковую строку, нажав на специальную иконку перед адресом сайта, (2) так и нажав на F12 ⇒ перейдя во вкладку Application ⇒ открыв Cookie). Если там есть google.com, youtube.com или другие подобные – значит трансграничная передача по мнению регулятора осуществляется.

2. Уточните у своей команды, на каком сервере размещен сайт, его функционал. Если по whois покажет, что у домена иностранный регистратор, то вы можете попасть в зону риска.

3. Если у вас несколько онлайн ресурсов, то стоит проверить их все.

4. Уточните у своих разработчиков, используются ли какие-то API или DNS-сервера иностранного происхождения в работе ПО при обработке персональных данных.

5. Кроме внешних источников проверьте и внутренние. Самый банальный способ - проверьте, работают ли на компьютерах сотрудников программы, собирающие данные и передающие их в облако, как например это было с OneDrive. Безусловно это то, что регулятор не увидит на поверхности, но такой факт может оказаться крайне неприятным, если речь идет о работе с другими компаниями.

6. Проверьте, используете ли вы в своей работе Google диск или аналогичные облачные хранилища. И если да, то храните ли вы там персональные данные своих сотрудников, контрагентов и т.д. То же самое касается облачных вычислений, например Amazon, Azure и других.

7. Откройте ЕГРЮЛ и проверьте, не присутствует ли среди учредителей иностранное физическое или юридическое лицо. А также не забывайте про международные сделки (например, контакты и должность представителя/данные корпоративной отчетности для материнской иностранной компании).

Если пройдя по этим шагам, вы нашли что-то иностранное, куда передаются или могут передаваться персональные данные, вероятно вы осуществляете трансграничную передачу и попадаете под требования ФЗ №152.

Осуществление трансграничной передачи должно отражаться:

– в политике конф��денциальности (обработки ПД) на сайте;

– в положении об обработке ПД внутри организации;

– в согласии на обработку персональных данных.

Обновлять документы и статус трансграничной передачи стоит тогда, когда вы перестаете ее осуществлять или наоборот, когда намереваетесь.

Как мы уже отмечали в начале статьи – регулирование в области данных усиливается, а штрафы повышаются. Так, с учетом изменений в 152-ФЗ требования по локализации скорректированы – хранение ПД россиян за рубежом с 1 июля 2025 года не допускается. Использование иностранного сервиса может рассматриваться как нарушение этого требования (с учетом рисков штрафа от 6 млн. до 18 млн. рублей по КоАП РФ).

Чтобы не подвергнуться санкциям со стороны Роскомнадзора, всегда будьте в курсе работы в компании с ПД, обеспечения уровня их защищенности и особенно обратите внимание на трансграничную передачу данных. Ведь даже маленькая оплошность может стоить довольно серьезных репутационных рисков.

Если у вас остались вопросы, или вы бы хотели избежать рисков получения многомиллионных штрафов из-за несоблюдения законодательства в области защиты ПД и в целом минимизировать внимание контрольных органов к своей организации, можете обратиться к нам: +7 (969) 790-00-90, написать в телеграм @aglrequest или по электронной почте info@ag-legal.ru. Или задать их в комментариях под статьей.

Подписывайтесь на наш канал, где мы разбираем и другие актуальные для IT юридические вопросы.