Постановление правительства № 6 "Об утверждении Правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных уполномоченным органом по защите прав субъектов персональных данных и информирования операторов о принятом решении" размещено на официальном портале. Данный нормативно-правовой акт (НПА) подготовлен во исполнение новых требований законодательства по защите персональных данных, и его проект был подготовлен еще в сентябре 2022 года. НПА вступает в силу 1 марта.
Операторы персональных данных (ПДн) должны были начать уведомлять Роскомнадзор о трансграничной передаче еще с 1 сентября 2022. Формы для подачи соответствующих уведомлений уже выложены на сайте ведомства. При этом оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача ПДн, обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления трансграничной передачи. Также Роскомнадзор может принять решение о запрещении или об ограничении трансграничной передачи ПДн на основании поступивших представлений от федеральных органов исполнительной власти.
"Основное зерно в нем в том, что в очередной раз расширяются полномочия Роскомнадзора, а вернее - появляются новые. В принципе контроль трансграничной передачи данных тема не новая, достаточно вспомнить требования об их хранении строго на российских серверах. Однако теперь этот контроль ужесточается: и информационно (необходимо уведомлять), и административно (Роскомнадзор будет следить), - считает, юрист, экономист, член Комитета Торгово-промышленной Палаты РФ по предпринимательству в сфере медиакоммуникаций Павел Катков. - Насколько документ проработан станет понятно, когда его начнут применять на практике. Если будут споры, в том числе те, что дойдут до суда, они и прольют свет на нестыковки - если они есть".
По мнению руководителя направления Big Data "Рексофт" Сергея Назаренко, документ вносит больше ясности в саму процедуру, устанавливает сроки и правила введения данных ограничений и регламентирует взаимодействие непосредственно с оператором ПДн. Для полноценной оценки НПА надо обладать юридическими знаниями о правоприменительной практике по случаям ограничения передачи ПДн и рассматривать весь набор законов и процедур о работе с ПДн в комплексе.
Руководитель направлений "Комплаенс" и "Аудит" управления информационной безопасности ГК Softline Илья Тихонов напоминает, что организации обязаны обосновывать регулятору необходимость передачи персональных данных за границу. При этом трансграничная передача на территорию государств, где не обеспечивается адекватная защита прав субъектов персональных данных, может быть ограничена или запрещена, что может принести серьезные убытки бизнесу или даже привести к его остановке.
Руководитель направления Центра компетенций по информационной безопасности "Т1" Интеграции Валерий Степанов обращает внимание на то, что документе не указаны критерии, на основании которых представители Роскомнадзора будут принимать решения об ограничении или запрете трансграничной передачи данных. Также в документе прописано, что оператор обязан убедиться в достаточном уровне защищенности прав субъекта, однако не указан инструментарий, позволяющий выполнить это предписание. Но при этом постановление №6 не вносит сильные изменения, а скорее конкретизирует порядок действий и назначает ответственных на каждом этапе процесса.
Как показало исследование, проведенное интегратором КРОК накануне вступления в силу первой порции нововведений, предусмотренных в измененном законодательстве о защите персональных данных, лишь 4% российских компаний полностью готовы к соблюдению новых требований. Директор по безопасности "МойОфис" Александр Буравцов, комментируя результаты, полученные специалистами КРОК, обратил внимание на то, что новый порядок трансграничной передачи, наряду с серьезным пересмотром многих привычных регламентов обработки ПДн и появления новых, создает большой фронт работ для ИТ и ИБ в компаниях. Помимо уведомления Роскомнадзора и сбора данных о зарубежных контрагентов, необходимо будет провести аудит внутренних документов по данному направлению, учесть и применять новые требования к сбору персональных данных. Это все потребует серьезных трудозатрат.
Яков Шпунт