Бизнес предложено проверить на передачу информации за рубеж без ведома Роскомнадзора.
Минцифры предлагает сделать поводом для внеплановых проверок бизнеса со стороны Роскомнадзора не согласованную с последним трансграничную передачу персональных данных, а также финансовой информации.
Новые требования могут распространиться на всех операторов персональных данных, которые более двух раз в год нарушили порядок такой передачи сведений. Крупные компании уже наладили этот процесс и не видят для себя рисков. Однако сейчас официальных операторов данных более 922 тыс., и малые участники рынка не всегда уведомляют регулятора о передаче, говорят эксперты.
Проект приказа Минцифры, опубликован на портале 1 октября. Он вносит изменения в процесс трансграничной (передача за рубеж) передачи персональных данных компаниями.
В проекте сказано о «двух и более случаях» несогласованной передачи данных в течение года. В пояснительной записке к проекту уточняется, что речь идет о передаче персональных данных, платежных документов, данных о денежных переводах в рамках безналичных расчетов и информации о вкладах россиян.
В Минцифры сказали, что документ направлен на предотвращение возможных нарушений прав граждан, а «срабатывание риска» у компании не говорит о нарушении, «но может послужить поводом для дополнительной проверки». В целом трансграничная передача данных должна проводиться компаниями с согласия самих граждан и при уведомлении Роскомнадзора. «Поводом для проверки могут также стать обращения граждан.
Там также отметили, что есть категория сведений, которые в принципе нельзя передавать по иностранным информсистемам: например, сведения госкомпаний или данные, которые обрабатываются в ряде случаев при оказании услуг кредитными организациями.
В мобильном операторе T2 (ранее Tele2) говорят, что «нововведение кардинально не повлияет на процедуры в компании», так как там передача осуществляется в соответствии с законодательством. В «МегаФоне» ответили, что такую передачу не проводят. В МТС и «Вымпелкоме» отказались от комментариев.
Любой банк при совершении трансграничного платежа будет передавать персональные данные, как этого требует законодательство и платежные правила, говорит независимый эксперт по финансовым рынкам и ранее вице-президент Ассоциации банков России Алексей Войлуков. Однако «сегодня банки не должны согласовывать ни с кем из регуляторов передачу персональных данных клиентов за рубеж».
Несмотря на то что правила трансграничной передачи данных действуют с 1 марта 2023 года, их отдельные положения требуют дополнительных разъяснений Роскомнадзора, считают в Ассоциации больших данных (объединяет «Сбер», «Ростелеком», «Яндекс» и другие крупные IT-компании). Так, сейчас для операторов данных проблемой является предоставление регулятору сведений о том, как они защищаются «иностранными получателями», объясняют в АБД.
Эту информацию может предоставить только «принимающая сторона», и она необходима для корректного уведомления Роскомнадзора.
«В рамках внеплановой проверки Роскомнадзор может запрашивать большой объем информации касательно соблюдения законодательства о данных, а при невыполнении требований — выдавать обязательные предписания и инициировать последующие штрафы». Если норма будет принята, это коснется многих компаний, так как до сих пор большинство из них так или иначе использует иностранные сервисы (например, Google Analytics) и «далеко не все компании уведомляют Роскомнадзор о трансграничной передаче, особенно заблаговременно».
