РКН получает контроль над списком «безопасных» стран для трансграничной передачи ПДн
Госдума приняла поправки в ст. 12 152-ФЗ: кто теперь решает, куда можно передавать данные
8 июля Государственная Дума приняла в третьем чтении законопроект № 951518-8. Поправки убирают из закона ориентир на участие государства в Конвенции № 108 Совета Европы. Раньше это членство было формальным основанием считать юрисдикцию «безопасной» для передачи персональных данных. Теперь не является.
Вместо этого РКН будет самостоятельно формировать перечень государств с «адекватной» защитой — на основе анализа их законодательства и правоприменительной практики. Именно этот список станет главным ориентиром при трансграничной передаче данных.
Что это меняет на практике:
— Если страна не попала в перечень РКН, передавать туда данные можно только с уведомлением ведомства — и не раньше чем через 10 рабочих дней после его подачи. В этот срок РКН вправе запросить дополнительные документы и вовсе запретить передачу.
— Компании, которые используют зарубежные IT-сервисы, облачную инфраструктуру, иностранных подрядчиков или передают данные внутри международной группы — в зоне риска. То, что страна подрядчика раньше считалась «нормальной» по Конвенции, теперь не даёт никаких гарантий.
Что делать сейчас: проверить, в какие юрисдикции уходят данные ваших клиентов и сотрудников, и отслеживать обновления перечня РКН. Если уведомление о трансграничной передаче ещё не подано — лучше не откладывать: 10-дневное окно может сдвинуть сроки проекта.
Такие риски могут быть и на вашем сайте
Запустите экспресс-проверку сайта и получите первые найденные проблемы по формам, cookies, согласиям и документам.
Проверить сайт