В России зафиксированы первые случаи отказа компаниям в трансграничной передаче персональных данных, сообщили РБК два источника на рынке и подтвердил представитель Роскомнадзора.
Новый порядок передачи персональных данных за рубеж начал действовать с 1 марта: для передачи таких данных россиян в любую страну компании должны уведомлять Роскомнадзор. Также они должны убедиться, что иностранный партнер сможет соблюдать конфиденциальность переданной информации и обеспечить ее защиту при обработке. Исключение — если речь идет о странах, подписавших Конвенцию Совета Европы, а также включенных в перечень Роскомнадзора. Если в течение десяти дней после получения уведомления ведомство не вынесет решение о запрете, данные могут быть переданы.
Как сообщил представитель Роскомнадзора, всего с марта поступило 589 таких уведомлений от российских операторов персональных данных, по итогам рассмотрения семи из них ведомство запретило или ограничило передачу. Он не уточнил, кого касались эти решения, лишь отметил, что речь идет о финансовых и логистических компаниях: «Трансграничная передача персональных данных — это вид операций с повышенным риском для оператора и субъекта персональных данных. После такой передачи в большинстве случаев оператор теряет контроль над дальнейшей обработкой данных, а пользователь, чьи данные оказались не в российской юрисдикции, оказывается ограничен в действиях по защите своих прав». Решения о запрете и ограничении были вынесены из-за несоответствия цели трансграничной передачи персональных данных тем целям, которые указывались при их сборе, а также их объему и содержанию. «В частности, компании планировали передавать за рубеж личные данные соискателей, а также потенциальных клиентов для проверки их платежеспособности», — пояснил представитель ведомства.
РБК направил запрос крупнейшим банкам и брокерам, а также компаниям в сфере логистики.
Управляющий партнер юридической компании Enterprise Legal Solutions Юрий Федюкин отметил, что речь может идти не только о банках, но и о финансовых и страховых компаниях. «Речь идет в первую очередь об обмене банками и страховыми компаниями данными о клиентах и заявителях в рамках процедур комплаенса и проверки контрагентов, — предположил он. — То есть работающие в России организации могут направлять информацию о заявителях и клиентах в зарубежные и обратно при оценке платежеспособности, рисков, в том числе санкционных, а также наличия непогашенной задолженности и нарушений, которые могли быть допущены ранее». Также при рассмотрении заявок на заключение договоров страхования или кредитования от крупных клиентов обмен данными может происходить между зарубежными компаниями и их «дочками» в России. Наконец, это может быть обмен данными в рамках маркетинговых кампаний. «Процедуры комплаенса, проверки контрагентов и проверки платежеспособности широко распространены и до недавних пор не встречали существенных препятствий. Однако с ужесточением законодательства несоответствие целей сбора персональных данных, судя по всему, все чаще становится причиной для наложения запрета», — предположил Федюкин.
Гендиректор «INFOLine-Аналитики» Михаил Бурмистров напомнил, что в России продолжают работать многие международные компании, которые работают с использованием ресурсов центрального офиса за рубежом. Но такая практика в ближайшее время должна прекратиться. «Речь идет о полной локализации хранения данных либо об иных способах решения проблемы, потому что трансграничная передача данных больше осуществляться не будет. Компании просто-напросто могли не успеть сформировать инфраструктуру для хранения персональных данных на территории России», — отметил эксперт.
По словам одного из собеседников на рынке, компании, получившие запрет на трансграничную передачу персональных данных, могут попробовать оспорить решение на переговорах с Роскомнадзором. «Если компромисс не удастся найти, вскоре могут последовать судебные иски», — прогнозирует он.
Когда новый порядок передачи персональных данных только обсуждался, о связанных с ним рисках заявляли представители авиакомпаний, маркетплейсов и интернет-магазинов. Эксперт сервиса «Контур.Фокус» Антон Яковлев отметил, что помимо указанных компаний участниками трансграничной передачи персональных данных россиян могут быть зарубежные видеосервисы и соцсети, благотворительные фонды, медицинские организации и проч.
В целом бизнес не всегда понимает, каким образом соблюдать новые правила трансграничной передачи персональных данных, констатировал СЕО Privacy Advocates, соучредитель сообщества профессионалов в области приватности RPPA.ru Алексей Мунтян. Действующее законодательство выделяет как доверенные или недоверенные страны (не обеспечивающие соблюдение прав субъектов персональных данных), так и дружественные или недружественные. «Перечень доверенных и недоверенных стран часто не совпадает с понятиями дружественных и недружественных. Например, страна может быть доверенной, но недружественной — это, например, Великобритания, Швейцария, Южная Корея и т.д. И к передаче персональных данных в такие страны могут возникнуть вопросы», — объяснил Мунтян.
Кроме того, перед началом передачи данных российской компании необходимо запросить и получить информацию о мерах защиты у получателя персональных данных в другой стране, что само по себе является трансграничной передачей. Также иностранное юрлицо может отказать российской компании в предоставлении сведений о защите данных — условный зарубежный отель просто проигнорирует просьбу.
Среди других проблем Мунтян назвал сроки проведения оценки возможности трансграничной передачи данных при уведомлении Роскомнадзора: если получателей тысячи, для каждого невозможно выставить дату; а что касается обеспечения уничтожения данных при запрете на трансграничную передачу — непонятно, как добиться этого от иностранных структур.
Директор фонда «Подари жизнь» Екатерина Шергова сообщила, что фонд не получал отказов от Роскомнадзора в трансграничной передаче данных, так как сейчас ей не пользуется. О случаях отказов другим организациям ей неизвестно. «Сейчас наши специалисты не видят потенциальных проблем с этой процедурой, но у разных фондов может быть другой опыт: каждый собирает и обрабатывает персональные данные по внутренней процедуре», — пояснила Шергова.
Юрист фонда «Нужна помощь» Константин Воробьев отметил, что для Роскомнадзора формально не имеет значения, какая именно иностранная компания получает доступ к данным: в заявлении нужно указать лишь цели их передачи, основания и перечень государств, куда запланирована передача данных. «Роскомнадзор в первую очередь смотрит на цели и страны, а уже потом может запросить иную информацию, если страны ненадежные», — пояснил Воробьев, но признал, что требование в некоторых случаях обязательно предварительно выяснять у контрагентов информацию о правовом регулировании в области персональных данных может стать проблемой: «При использовании иностранных сервисов, платежных систем, почтовых рассылок или иных электронных продуктов крупных компаний получить подробный и обстоятельный ответ будет затруднительно. У организации не останется выбора, кроме как переходить на иные сервисы или готовиться к возможным претензиям Роскомнадзора».
Екатерина Ясакова, Дарья Чебакова, Евгения Чернышова, Мария Бородаевская, Анастасия Серова, Маргарита Мордовина