Comply. | Комплаенс-бутик

Privacy-мнение от Comply

Как обещали в прошлом мнении, обсуждаем, а надо ли подавать уведомление о трансграничной передаче персональных данных (ТГП)?

Аргументы «за» очевидны. Чтобы исключить риски (1) штрафа за неуведомление и, что может быть более существенно для бизнеса, (2) запрета на осуществление ТГП. Склонить в сторону подачи уведомления также могут два вспомогательных аргумента. Контрагент может (3) требовать продемонстрировать ему такое уведомление, например, если сам он подавать его не намерен или просто privacy-тревожен и требователен к подрядчикам. Наконец, (4) получение запрета на осуществление ТГП от РКН – невероятная редкость. По информации РКН только один запрет на каждые 250 уведомлений об осуществлении ТГП. Мы с такими запретами не сталкивались, хотя регулярно уведомляем о ТГП в совсем уж непатриотичные юрисдикции.

Но все мы знаем как надо, но не всегда так как надо – правильно. Оттого интересно разобраться с аргументами «против» уведомления РКН о ТГП:

1️⃣ Скромность штрафа за неуведомление о ТГП – 5 тысяч руб. (ст. 19.7 КоАП). Да, конечно, в случае обнаружения нарушения РКН подать уведомление таки придется. Еще скромнее вероятность выявления нарушения и применение штрафа, если ТГП в ваших бизнес-процессах неочевидна, например, нет зарубежных ИТ-сервисов, нет зарубежных HQ.

2️⃣ Сомнительна пока возможность назначения штрафа 100 тысяч руб. (ч. 1 ст. 13.11 КоАП). Для передачи в «адекватные» страны такое кажется уж совсем фантастическим, а вот для «неадекватных» стран теоретическая возможность имеется, хотя практики и нет. Пока нет.

3️⃣ Чтобы подать уведомление придется еще провести оценку соблюдения конфиденциальности получателем ПД. Обычно это не особо трудозатратно, НО не всегда возможно из РФ с учетом понятных обстоятельств.

4️⃣ Если компания давно и непрерывно передает ПД за границу, то при подаче уведомления о ТГП компания не только расписывается в нарушении законодательства. Ведь остановить бизнес- процесс и передачу ПД зарубежным коллегам вряд ли получится на те 10 дней, пока РКН раздумывает о возможности такой ТГП.

5️⃣ Непрогнозируемость решений о запрете ТГП. По сути РКН в любой момент может запретить ТГП в адрес любой страны, любого контрагента или для любой цели. При этом, если вы признались, что осуществляете ТГП (подав уведомление), то проигнорировать подобный запрет будет сложнее, если бы вы молча «трансграничили».

6️⃣ И, конечно же, понятные переживания, что подача уведомления в РКН повлечет его нежелательное внимание к компании. Такой страх живет, ведь обратное так и не доказано.

❗️ Решение, как всегда, следует принимать исходя из специфики конкретного кейса. Даже если вы решите не уведомлять о ТГП, полезно будет подготовить уведомление и провести оценку конфиденциальности по ч. 5 ст. 12. Если же вы приняли решение уведомить РКН, то при формировании уведомления полезно будет обобщать информацию о потоках ПД, смягчать формулировки, избегать очевидной токсичности и избыточности для РКН, а также обеспечить консистентность такого уведомления с уже содержащейся в реестре операторов информацией.

И отдельных рассуждений заслуживает, а о каких именно передачах за рубеж надо уведомлять РКН? А если передает обработчик по поручению сам своему суб-обработчику, а если ваш работник сам заказывает билеты и гостиницу в ОАЭ, а вы только компенсируете расходы, а если это однократная передача ПД?

Но это обсудим в другой раз 🙂

#мнение

Please open Telegram to view this post

VIEW IN TELEGRAM

www.group-telegram.com/us/comply_ru.com/364

1.3K viewsedited  Aug 1, 2024 at 07:03

Privacy-мнение от Comply

Как обещали в прошлом мнении, обсуждаем, а надо ли подавать уведомление о трансграничной передаче персональных данных (ТГП)?

Аргументы «за» очевидны. Чтобы исключить риски (1) штрафа за неуведомление и, что может быть более существенно для бизнеса, (2) запрета на осуществление ТГП. Склонить в сторону подачи уведомления также могут два вспомогательных аргумента. Контрагент может (3) требовать продемонстрировать ему такое уведомление, например, если сам он подавать его не намерен или просто privacy-тревожен и требователен к подрядчикам. Наконец, (4) получение запрета на осуществление ТГП от РКН – невероятная редкость. По информации РКН только один запрет на каждые 250 уведомлений об осуществлении ТГП. Мы с такими запретами не сталкивались, хотя регулярно уведомляем о ТГП в совсем уж непатриотичные юрисдикции.

Но все мы знаем как надо, но не всегда так как надо – правильно. Оттого интересно разобраться с аргументами «против» уведомления РКН о ТГП:

1️⃣ Скромность штрафа за неуведомление о ТГП – 5 тысяч руб. (ст. 19.7 КоАП). Да, конечно, в случае обнаружения нарушения РКН подать уведомление таки придется. Еще скромнее вероятность выявления нарушения и применение штрафа, если ТГП в ваших бизнес-процессах неочевидна, например, нет зарубежных ИТ-сервисов, нет зарубежных HQ.

2️⃣ Сомнительна пока возможность назначения штрафа 100 тысяч руб. (ч. 1 ст. 13.11 КоАП). Для передачи в «адекватные» страны такое кажется уж совсем фантастическим, а вот для «неадекватных» стран теоретическая возможность имеется, хотя практики и нет. Пока нет.

3️⃣ Чтобы подать уведомление придется еще провести оценку соблюдения конфиденциальности получателем ПД. Обычно это не особо трудозатратно, НО не всегда возможно из РФ с учетом понятных обстоятельств.

4️⃣ Если компания давно и непрерывно передает ПД за границу, то при подаче уведомления о ТГП компания не только расписывается в нарушении законодательства. Ведь остановить бизнес- процесс и передачу ПД зарубежным коллегам вряд ли получится на те 10 дней, пока РКН раздумывает о возможности такой ТГП.

5️⃣ Непрогнозируемость решений о запрете ТГП. По сути РКН в любой момент может запретить ТГП в адрес любой страны, любого контрагента или для любой цели. При этом, если вы признались, что осуществляете ТГП (подав уведомление), то проигнорировать подобный запрет будет сложнее, если бы вы молча «трансграничили».

6️⃣ И, конечно же, понятные переживания, что подача уведомления в РКН повлечет его нежелательное внимание к компании. Такой страх живет, ведь обратное так и не доказано.

❗️ Решение, как всегда, следует принимать исходя из специфики конкретного кейса. Даже если вы решите не уведомлять о ТГП, полезно будет подготовить уведомление и провести оценку конфиденциальности по ч. 5 ст. 12. Если же вы приняли решение уведомить РКН, то при формировании уведомления полезно будет обобщать информацию о потоках ПД, смягчать формулировки, избегать очевидной токсичности и избыточности для РКН, а также обеспечить консистентность такого уведомления с уже содержащейся в реестре операторов информацией.

И отдельных рассуждений заслуживает, а о каких именно передачах за рубеж надо уведомлять РКН? А если передает обработчик по поручению сам своему суб-обработчику, а если ваш работник сам заказывает билеты и гостиницу в ОАЭ, а вы только компенсируете расходы, а если это однократная передача ПД?

Но это обсудим в другой раз 🙂

#мнение