Минцифры предлагает сделать поводом для внеплановых проверок бизнеса со стороны Роскомнадзора не согласованную с последним трансграничную передачу персональных данных, а также финансовой информации. Новые требования могут распространиться на всех операторов персональных данных, которые более двух раз в год нарушили порядок такой передачи сведений. Крупные компании уже наладили этот процесс и не видят для себя рисков. Однако сейчас официальных операторов данных более 922 тыс., и малые участники рынка не всегда уведомляют регулятора о передаче, говорят эксперты.
“Ъ” ознакомился с проектом приказа Минцифры, опубликованным на портале regulation.gov.ru 1 октября. Он вносит изменения в процесс трансграничной (передача за рубеж) передачи персональных данных компаниями. Согласно проекту, такая передача личных данных, а также информации о финансовых переводах или вкладах россиян без уведомления Роскомнадзора становится поводом для проведения внеплановой проверки компании регулятором. В качестве канала передачи информации указаны зарубежные IT-системы, требования распространяются на всех операторов персональных данных (банки, операторы связи, IT и т. д., сейчас это более 922 тыс. компаний).
В проекте сказано о «двух и более случаях» несогласованной передачи данных в течение года. В пояснительной записке к проекту уточняется, что речь идет о передаче персональных данных, платежных документов, данных о денежных переводах в рамках безналичных расчетов и информации о вкладах россиян.
Внеплановые проверки Роскомнадзора по вопросам хранения и передачи данных — это выездное мероприятие, в рамках которого сотрудники ведомства могут проверить как документы, на основании которых компания обрабатывает данные, так и технические системы их обработки (например, системы хранения данных).
В Минцифры сказали “Ъ”, что документ направлен на предотвращение возможных нарушений прав граждан, а «срабатывание риска» у компании не говорит о нарушении, «но может послужить поводом для дополнительной проверки». В целом трансграничная передача данных должна проводиться компаниями с согласия самих граждан и при уведомлении Роскомнадзора. «Поводом для проверки могут также стать обращения граждан»,— напоминают в Минцифры. Там также отметили, что есть категория сведений, которые в принципе нельзя передавать по иностранным информсистемам: например, сведения госкомпаний или данные, которые обрабатываются в ряде случаев при оказании услуг кредитными организациями. В Роскомнадзоре не ответили “Ъ”.
В мобильном операторе T2 (ранее Tele2) говорят, что «нововведение кардинально не повлияет на процедуры в компании», так как там передача осуществляется в соответствии с законодательством. В «МегаФоне» ответили, что такую передачу не проводят. В МТС и «Вымпелкоме» отказались от комментариев.
Любой банк при совершении трансграничного платежа будет передавать персональные данные, как этого требует законодательство и платежные правила, говорит независимый эксперт по финансовым рынкам и ранее вице-президент Ассоциации банков России Алексей Войлуков. Однако «сегодня банки не должны согласовывать ни с кем из регуляторов передачу персональных данных клиентов за рубеж».
Введение такого согласования бессмысленно, считает Алексей Войлуков, поскольку каждую секунду банк может проводить тысячи платежей, и утверждать каждый из них просто нереально.
Опрошенные “Ъ” банки не прокомментировали инициативу Минцифры.
Несмотря на то что правила трансграничной передачи данных действуют с 1 марта 2023 года, их отдельные положения требуют дополнительных разъяснений Роскомнадзора, считают в Ассоциации больших данных (объединяет «Сбер», «Ростелеком», «Яндекс» и другие крупные IT-компании). Так, сейчас для операторов данных проблемой является предоставление регулятору сведений о том, как они защищаются «иностранными получателями», объясняют в АБД. Эту информацию может предоставить только «принимающая сторона», и она необходима для корректного уведомления Роскомнадзора.
«В рамках внеплановой проверки Роскомнадзор может запрашивать большой объем информации касательно соблюдения законодательства о данных, а при невыполнении требований — выдавать обязательные предписания и инициировать последующие штрафы»,— говорит партнер юрфирмы Comply Сергей Сайганов. Если норма будет принята, это коснется многих компаний, так как до сих пор большинство из них так или иначе использует иностранные сервисы (например, Google Analytics) и «далеко не все компании уведомляют Роскомнадзор о трансграничной передаче, особенно заблаговременно», отмечает господин Сайганов.