⚠️ Трансграничная передача данных: правила снова меняются.

⚠️ Трансграничная передача данных: правила снова меняются. Готов ли ваш бизнес?

Госдума приняла в первом чтении законопроект (№ 951518-8), который серьезно меняет правила игры для всех, кто передает персональные данные за границу. Если вы думали, что и так в этой сфере всё сложно, то делайте глубокий вдох. Документом предлагается ужесточить критерии, по которым определяется степень надежности защиты персональных данных при трансграничной передаче.

➡️ КАК БЫЛО?

Чтобы передать данные в другую страну, нужно было убедиться, что она обеспечивает «адекватную защиту», к таким относятся государства:

- являющиеся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных;

- не являющиеся стороной данной Конвенции, но установили у себя нормы права по обеспечению конфиденциальности и безопасности персональных данных, соответствующие этой конвенции.

По умолчанию «адекватными» считались страны, ратифицировавшие Конвенцию Совета Европы №108. Это десятки государств, включая почти всю Европу.

⬆️ КАК СТАНЕТ?

Теперь одной ратификации Конвенции будет недостаточно. Новый закон вводит дополнительный, субъективный критерий: государство должно не просто иметь законы, но и принимать «реальные, эффективные меры» по защите данных.

Кто будет решать, какие меры «эффективные»?

Правильно, Правительство РФ и Роскомнадзор.

Список «адекватных» стран, утвержденный Роскомнадзором, будет пересмотрен и, вероятнее всего, существенно сократится. Страны, которые формально соответствуют Конвенции, но считаются «недружественными», могут легко из этого списка исключиться.

🛗 КОГО ЭТО КОСНЕТСЯ?

Если ваша компания:

• Использует зарубежные облачные сервисы (CRM, таск-трекеры, аналитика), чьи серверы находятся не в РФ.

• Является частью международной группы компаний и передает данные сотрудников или клиентов в головной офис.

• Работает с иностранными подрядчиками (маркетинговые агентства, разработчики, техподдержка) и делится с ними базами клиентов.

• Привлекает иностранных сотрудников и передает их данные в зарубежные кадровые или миграционные службы.

📌 ГЛАВНЫЙ РИСК

Если страна, куда вы передаете данные, будет исключена из «белого списка», процесс превратится из уведомительного в разрешительный. Вам придется запрашивать у Роскомнадзора специальное разрешение на каждую такую передачу, доказывая ее необходимость и безопасность. А это - время, бюрократия и высокий риск отказа.

✅ ЧТО ДЕЛАТЬ ПРЯМО СЕЙЧАС?

Не ждем, пока закон примут окончательно. Начинаем готовиться:

1. Проведите аудит данных. Сделайте карту потоков данных. Вы должны четко знать: какие данные, куда, кому и на каком основании вы передаете за пределы РФ.

2. Оцените контрагентов. Проверьте, в каких странах находятся ваши зарубежные партнеры и их серверы. Составьте список тех, кто в «зоне риска».

3. Пересмотрите договоры. Убедитесь, что в договорах с иностранными партнерами есть разделы об обработке и защите ПДн, соответствующие требованиям 152-ФЗ.

4. Ищите альтернативы. Если ключевой сервис находится в стране, которая может быть исключена из списка, — самое время начать поиск аналогов с локализацией в РФ или в странах из «адекватного» перечня.

Законодательство в сфере персданных продолжает ужесточаться. Игнорировать это - значит подставлять бизнес под огромные штрафы и риск блокировки.

Если не хотите разбираться в этих процессах самостоятельно, вы можете заказать у нас аудит процессов по персональным данным или консультацию.