В России официально более 922 тыс. операторов данных. По мнению Минцифры, бизнес обязан уведомлять Роскомнадзор о каждом факте передачи данных за рубеж. Сделать это не всегда реально.
Минцифры предлагает сделать поводом для внеплановых проверок бизнеса трансграничную передачу персональных данных, а также финансовой информации без ведома Роскомнадзора, пишет «Коммерсант». Соответствующее распоряжение содержится в приказе Минцифры от 1 октября.
В документе сказано, что передача личных данных, а также информации о финансовых переводах или вкладах россиян без уведомления Роскомнадзора станет поводом для проведения внеплановой проверки компании регулятором. В качестве канала передачи информации указаны зарубежные IT-системы. Как пишет издание, сейчас официальных операторов данных более 922 тыс., и малые участники рынка не всегда уведомляют регулятора о передаче информации за рубеж.
В Минцифры рассказали, что нововведение направлено на предотвращение возможных нарушений прав граждан:
В целом трансграничная передача данных должна проводиться компаниями с согласия самих граждан и при уведомлении Роскомнадзора. Поводом для проверки могут также стать обращения граждан, — добавили в Минцифры.
В ведомстве также напомнили, что есть категория сведений, которые в принципе нельзя передавать по иностранным информсистемам: например сведения госкомпаний или данные, которые обрабатываются в ряде случаев при оказании услуг кредитными организациями.
Крупные операторы данных, такие как операторы связи, говорят, что работают строго в соответствии с законодательством. В T2 (ранее Tele2) говорят, что «нововведение кардинально не повлияет на процедуры в компании», так как там передача осуществляется в соответствии с законодательством. В «МегаФоне» ответили, что такую передачу не проводят.
Независимый эксперт по финансовым рынкам и ранее вице-президент Ассоциации банков России Алексей Войлуков отметил, что после нововведения все банки при совершении трансграничного платежа должны будут передавать персональные данные, как этого требует законодательство и платежные правила:
Сегодня банки не должны согласовывать ни с кем из регуляторов передачу персональных данных клиентов за рубеж. Введение такого согласования бессмысленно, поскольку каждую секунду банк может проводить тысячи платежей и утверждать каждый из них просто нереально, — говорит он.
В Ассоциации больших данных (объединяет «Сбер», «Ростелеком», «Яндекс» и другие крупные IT-компании) говорят, что в принципе правила трансграничной передачи данных действуют с 1 марта 2023 г., но их отдельные положения требуют дополнительных разъяснений Роскомнадзора: например сейчас для операторов данных проблемой является предоставление регулятору сведений о том, как они защищаются «иностранными получателями».
Партнер юрфирмы Comply Сергей Сайганов полагает, что, если норма будет принята, это коснется многих компаний:
До сих пор большинство из них так или иначе использует иностранные сервисы (например, Google Analytics) и далеко не все компании уведомляют Роскомнадзор о трансграничной передаче, особенно заблаговременно, — говорит Сайганов.
Напомним, что в 2023 г. Госдума приняла в первом чтении два законопроекта об усилении административной и уголовной ответственности за утечку персональных данных. Размер оборотных штрафов может достигать 0,5 млрд руб., рассказывал DK.RU. А за кражу и обработку похищенных персональных данных будет грозить до десяти лет лишения свободы.
Ранее DK.RU также рассказывал, что Роскомнадзор выявил крупнейшую утечку данных в 2023 г.: за один раз более 510 млн записей о россиянах утекли в интернет. Отметим, в 2022 г. в сеть утекли 600 млн записей, было зафиксировано свыше 140 утечек.