⚠️ Трансграничная передача данных: правила снова меняются. Готов ли ваш бизнес?
Госдума приняла в первом чтении законопроект (№ 951518-8), который серьезно меняет правила игры для всех, кто передает персональные данные за границу. Если вы думали, что и так в этой сфере всё сложно, то делайте глубокий вдох. Документом предлагается ужесточить критерии, по которым определяется степень надежности защиты персональных данных при трансграничной передаче.
➡️ КАК БЫЛО?
Чтобы передать данные в другую страну, нужно было убедиться, что она обеспечивает «адекватную защиту», к таким относятся государства:
- являющиеся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных;
- не являющиеся стороной данной Конвенции, но установили у себя нормы права по обеспечению конфиденциальности и безопасности персональных данных, соответствующие этой конвенции.
По умолчанию «адекватными» считались страны, ратифицировавшие Конвенцию Совета Европы №108. Это десятки государств, включая почти всю Европу.
⬆️ КАК СТАНЕТ?
Теперь одной ратификации Конвенции будет недостаточно. Новый закон вводит дополнительный, субъективный критерий: государство должно не просто иметь законы, но и принимать «реальные, эффективные меры» по защите данных.
Кто будет решать, какие меры «эффективные»?
Правильно, Правительство РФ и Роскомнадзор.
Список «адекватных» стран, утвержденный Роскомнадзором, будет пересмотрен и, вероятнее всего, существенно сократится. Страны, которые формально соответствуют Конвенции, но считаются «недружественными», могут легко из этого списка исключиться.
🛗 КОГО ЭТО КОСНЕТСЯ?
Если ваша компания:
• Использует зарубежные облачные сервисы (CRM, таск-трекеры, аналитика), чьи серверы находятся не в РФ.
• Является частью международной группы компаний и передает данные сотрудников или клиентов в головной офис.
• Работает с иностранными подрядчиками (маркетинговые агентства, разработчики, техподдержка) и делится с ними базами клиентов.
• Привлекает иностранных сотрудников и передает их данные в зарубежные кадровые или миграционные службы.
📌 ГЛАВНЫЙ РИСК
Если страна, куда вы передаете данные, будет исключена из «белого списка», процесс превратится из уведомительного в разрешительный. Вам придется запрашивать у Роскомнадзора специальное разрешение на каждую такую передачу, доказывая ее необходимость и безопасность. А это - время, бюрократия и высокий риск отказа.
✅ ЧТО ДЕЛАТЬ ПРЯМО СЕЙЧАС?
Не ждем, пока закон примут окончательно. Начинаем готовиться:
1. Проведите аудит данных. Сделайте карту потоков данных. Вы должны четко знать: какие данные, куда, кому и на каком основании вы передаете за пределы РФ.
2. Оцените контрагентов. Проверьте, в каких странах находятся ваши зарубежные партнеры и их серверы. Составьте список тех, кто в «зоне риска».
3. Пересмотрите договоры. Убедитесь, что в договорах с иностранными партнерами есть разделы об обработке и защите ПДн, соответствующие требованиям 152-ФЗ.
4. Ищите альтернативы. Если ключевой сервис находится в стране, которая может быть исключена из списка, — самое время начать поиск аналогов с локализацией в РФ или в странах из «адекватного» перечня.
Законодательство в сфере персданных продолжает ужесточаться. Игнорировать это - значит подставлять бизнес под огромные штрафы и риск блокировки.
Если не хотите разбираться в этих процессах самостоятельно, вы можете заказать у нас аудит процессов по персональным данным или консультацию.
Госдума приняла в первом чтении законопроект (№ 951518-8), который серьезно меняет правила игры для всех, кто передает персональные данные за границу. Если вы думали, что и так в этой сфере всё сложно, то делайте глубокий вдох. Документом предлагается ужесточить критерии, по которым определяется степень надежности защиты персональных данных при трансграничной передаче.
➡️ КАК БЫЛО?
Чтобы передать данные в другую страну, нужно было убедиться, что она обеспечивает «адекватную защиту», к таким относятся государства:
- являющиеся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных;
- не являющиеся стороной данной Конвенции, но установили у себя нормы права по обеспечению конфиденциальности и безопасности персональных данных, соответствующие этой конвенции.
По умолчанию «адекватными» считались страны, ратифицировавшие Конвенцию Совета Европы №108. Это десятки государств, включая почти всю Европу.
⬆️ КАК СТАНЕТ?
Теперь одной ратификации Конвенции будет недостаточно. Новый закон вводит дополнительный, субъективный критерий: государство должно не просто иметь законы, но и принимать «реальные, эффективные меры» по защите данных.
Кто будет решать, какие меры «эффективные»?
Правильно, Правительство РФ и Роскомнадзор.
Список «адекватных» стран, утвержденный Роскомнадзором, будет пересмотрен и, вероятнее всего, существенно сократится. Страны, которые формально соответствуют Конвенции, но считаются «недружественными», могут легко из этого списка исключиться.
🛗 КОГО ЭТО КОСНЕТСЯ?
Если ваша компания:
• Использует зарубежные облачные сервисы (CRM, таск-трекеры, аналитика), чьи серверы находятся не в РФ.
• Является частью международной группы компаний и передает данные сотрудников или клиентов в головной офис.
• Работает с иностранными подрядчиками (маркетинговые агентства, разработчики, техподдержка) и делится с ними базами клиентов.
• Привлекает иностранных сотрудников и передает их данные в зарубежные кадровые или миграционные службы.
📌 ГЛАВНЫЙ РИСК
Если страна, куда вы передаете данные, будет исключена из «белого списка», процесс превратится из уведомительного в разрешительный. Вам придется запрашивать у Роскомнадзора специальное разрешение на каждую такую передачу, доказывая ее необходимость и безопасность. А это - время, бюрократия и высокий риск отказа.
✅ ЧТО ДЕЛАТЬ ПРЯМО СЕЙЧАС?
Не ждем, пока закон примут окончательно. Начинаем готовиться:
1. Проведите аудит данных. Сделайте карту потоков данных. Вы должны четко знать: какие данные, куда, кому и на каком основании вы передаете за пределы РФ.
2. Оцените контрагентов. Проверьте, в каких странах находятся ваши зарубежные партнеры и их серверы. Составьте список тех, кто в «зоне риска».
3. Пересмотрите договоры. Убедитесь, что в договорах с иностранными партнерами есть разделы об обработке и защите ПДн, соответствующие требованиям 152-ФЗ.
4. Ищите альтернативы. Если ключевой сервис находится в стране, которая может быть исключена из списка, — самое время начать поиск аналогов с локализацией в РФ или в странах из «адекватного» перечня.
Законодательство в сфере персданных продолжает ужесточаться. Игнорировать это - значит подставлять бизнес под огромные штрафы и риск блокировки.
Если не хотите разбираться в этих процессах самостоятельно, вы можете заказать у нас аудит процессов по персональным данным или консультацию.