Передача персональных данных транспортной компании

Подготовлена редакция документа с изменениями, не вступившими в силу

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

(см. текст в предыдущей редакции)

не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

(см. текст в предыдущей редакции)

осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

(см. текст в предыдущей редакции)

разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

(см. текст в предыдущей редакции)

Ст. 88 ТК РФ: официальный текст

Скачать ст. 88 ТК РФ

Что относится к персональным данным?

Представление о персональных данных человека и основные правила работы с ними содержатся в законе РФ «О персональных данных» от 27.07.2006 № 152-ФЗ. Любые сведения, относящиеся к конкретному лицу, являются его персональными данными, на получение и использование которых необходимо получить согласие этого лица.

Чаще всего персональные данные оказываются нужны работодателю, и обычно при трудоустройстве берутся у работника сведения, подтверждаемые:

• паспортом или иным удостоверением личности;

Можно ли хранить копию паспорта в личном деле работника? Ответ на этот вопрос есть в КонсультантПлюс. Получите пробный демо-доступ к системе К+ и  бесплатно переходите в материал.

• трудовой книжкой;
• свидетельством ПФР;
• документами об обучении;
• документами воинского учета;
• дополнительными справками, удостоверяющими какие-либо необходимые для трудоустройства обстоятельства.

Получивший персональную информацию работодатель не только собирает и обрабатывает ее в пределах своего подразделения (службы персонала), но и передает в другие подразделения (бухгалтерию, юридическую службу), а также третьим лицам (ПФР, ФСС, ИФНС, банкам, органам внутренних дел, судам).

Какие требования содержатся в ст. 88 ТК РФ?

Ст. 88 ТК РФ, констатируя необходимость передачи персональных данных третьим лицам, устанавливает правила, с соблюдением которых она должна осуществляться работодателем:

• такая передача возможна при наличии письменного согласия работника, если только ситуация не требует такой информации в связи с угрозой его жизни или здоровью или если иное не предусмотрено законодательно;
• запрещается сбор информации о состоянии здоровья работника, за исключением той, которая необходима для оценки пригодности работника к выполнению его должностных обязанностей;
• доступ к персональным сведениям о человеке может иметь ограниченное число сотрудников работодателя, при этом каждый из них должен использовать только те сведения, которые ему необходимы для работы;
• правила обмена информацией между подразделениями работодателя следует закрепить во внутреннем нормативном акте, ознакомив с ними всех работников под расписку;

О составлении такого документа читайте в статье «Положение о персональных данных работников — образец-2022».

• при всех процедурах, связанных с персональной информацией, должен соблюдаться режим максимальной конфиденциальности, независимо от того, на каком этапе это происходит: при сборе данных, передаче подразделениям работодателя или третьим лицам;
• представителям работников персональная информация предоставляется в минимально необходимом для обозначенных целей объеме;
• передав сведения третьему лицу, работодатель обязан предупредить его об ограниченном применении этих сведений (только в тех целях, для которых они переданы) и проконтролировать соблюдение этого условия.

ВНИМАНИЕ! Согласие на обработку сведений, разрешенных для распространения, нужно оформлять отдельно от других подобных документов.

Как и когда оформить согласие работника на работу с его данными?

Подавляющее большинство действий, осуществляемых работодателем с персональными сведениями о человеке, требует наличия письменного согласия работника (п. 1 ст. 9 закона РФ от 27.07.2006 № 152-ФЗ). Такое согласие обычно берут уже в момент оформления на работу, учитывая, что сбор персональных данных начинается непосредственно с момента трудоустройства. Оно считается добровольным и допускает возможность отзыва его работником.

Наш тест: персональные данные — работаем без штрафа

Время прохождения около 5 мин.


Пройти тест

Установленной формы у этого документа нет, но есть перечень обязательной информации, установленной Роскомнадзором в приказе от 24.02.2021 № 18 (действует с 01.09.2021). Согласие должно содержать следующую информацию:

• Ф. И. О. субъекта персональных данных;
• контактную информацию субъекта: номер телефона, адрес электронной почты или почтовый адрес;
• сведения об операторе персданных;
  Для оператора — организации это наименование, адрес, указанный в ЕГРЮЛ, ИНН, ОГРН (если он известен субъекту персональных данных), для физлица — Ф. И. О., место жительства или место пребывания, для ИП — Ф. И. О., ИНН, ОГРН.
• сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными;
• цели обработки персданных;
• категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:

• персональные данные (Ф. И. О.), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);
• специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
• биометрические персональные данные;

Что нужно знать о биометрических персональных данных, см. здесь.

• категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов;
• условия, при которых полученные персональные данные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных;
• срок действия согласия.

Полный перечень сведений о работниках, являющихся персональными данными, вы найдете в КонсультантПлюс. Это важно знать, поскольку к персональной информации относятся не только сведения о работнике, но и его фото например. Есть и другие интересные моменты. А ведь за нарушения в работе с персональными данными установлены довольно существенные штрафы. Получите бесплатный доступ к системе К+ и переходите в Путеводитель. Это убережет вас от ошибок и позволит избежать ответственности.

Скачать бланк и образец согласия на обработку персональных данных с 01.09.2021 можно бесплатно, кликнув по картинке ниже:

Согласие на обработку персональных данных

Скачать

Когда работник является несовершеннолетним, соответствующее согласие оформляется лицом, имеющим право на законное представление его интересов (родителем, опекуном, усыновителем). Обязательная для этого документа информация при этом пополняется сведениями о законном представителе несовершеннолетнего (Ф.И.О., данные паспорта) и пояснениями о том, как эти 2 лица взаимосвязаны.

Подробнее об оформлении этих документов читайте в материалах:

• «Требования к содержанию согласия на обработку персональных данных с 01.09.2021»;
• «Согласие на обработку персональных данных несовершеннолетнего — образец».

Когда не требуется согласовывать с работником передачу данных о нем?

Существуют ситуации, когда персональные сведения о работнике передаются третьим лицам вне зависимости от того, есть его согласие на это или нет. Это делается по запросам:

• судебного пристава-исполнителя (п. 2 ст. 64 и п. 10 ст. 65 закона РФ «Об исполнительном производстве» от 02.10.2007 № 229-ФЗ, п. 2 ст. 12 и п. 2 ст. 14 закона РФ «О судебных приставах» от 21.07.1997 № 118-ФЗ);
• негосударственного пенсионного фонда (ст. 15 закона РФ «О негосударственных пенсионных фондах» от 07.05.1998 № 75-ФЗ);
• ПФР (ст. 9 и 11 закона РФ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» от 01.04.1996 № 27-ФЗ);
• полиции (п. 4 ст. 13 закона РФ «О полиции» от 07.02.2011 № 3-ФЗ);
• прокуратуры (п. 2.1 ст. 4 закона РФ «О прокуратуре Российской Федерации» от 17.01.1992 № 2202-1);
• банка России (п. 3 ст. 32 закона РФ от 27.06.2011 № 161-ФЗ «О национальной платежной системе»);
• государственных органов, отвечающих за профилактику коррупции (ст. 4 закона РФ «О контроле за соответствием расходов лиц, замещающих государственные должности, и иных лиц их доходам» от 03.12.2012 № 230-ФЗ).

На какие сведения медицинского характера запрет не распространяется?

Несмотря на прямой запрет о сборе сведений медицинского характера, ст. 88 ТК РФ делает оговорку в отношении тех данных, которые значимы с точки зрения отбора кандидатов на конкретную должность или работу в определенных условиях. Это относится:

• к педагогам (ст. 331 ТК РФ);
• работникам служб авиационной безопасности (подп. 2 п. 4 ст. 52 Воздушного кодекса Российской Федерации от 19.03.1997 № 60-ФЗ);
• морякам торгового флота (п. 2 ст. 55 Кодекса торгового мореплавания Российской Федерации от 30.04.1999 № 81);
• работникам объектов атомной энергетики (ст. 27 закона РФ «Об использовании атомной энергии» от 21.11.1995 № 170-ФЗ);
• персоналу объектов топливно-энергетического комплекса (подп. 2 п. 1 ст. 10 закона РФ «О безопасности объектов топливно-энергетического комплекса» от 21.07.2011 № 256-ФЗ);
• муниципальным служащим (подп. 4 п. 1 ст. 13 закона РФ «О муниципальной службе в Российской Федерации»от 02.03.2007 № 25-ФЗ);
• государственным служащим (подп. 4 п. 1 ст. 16 закона РФ «О государственной гражданской службе Российской Федерации» от 27.07.2004 № 79-ФЗ);
• лицам, направляемым на работу в местности, требующие наличия профилактических прививок (п. 2 ст. 5 закона РФ «Об иммунопрофилактике инфекционных болезней» от 17.09.1998 № 157-ФЗ);
• людям, имеющим дело с источниками повышенной опасности (ст. 6 закона РФ «О психиатрической помощи и гарантиях прав граждан при ее оказании» от 02.07.1992 № 3185-1);
• работникам прокуратуры (п. 2 ст. 40.1 закона РФ от 17.01.1992 № 2202-1);
• сотрудникам органов внутренних дел и органов по контролю за оборотом наркотиков (подп. 5 п. 1 ст. 14 и п. 4 ст. 97 закона РФ «О службе в органах внутренних дел Российской Федерации и внесении изменений в отдельные законодательные акты Российской Федерации» от 30.11.2011 № 342-ФЗ);
• лицам, связанным с обеспечением транспортной безопасности (подп. 2 п. 1 ст. 10 закона РФ «О транспортной безопасности» от 09.02.2007 № 16-ФЗ);
• лицам, имеющим дело с пищевыми продуктами (п. 2 ст. 23 закона РФ «О качестве и безопасности пищевых продуктов» от 02.01.2000 № 29-ФЗ);
• работникам ведомственной охраны (ст. 6 закона РФ «О ведомственной охране» от 14.04.1999 № 77-ФЗ);
• лицам, работающим с химическим оружием (ст. 2 закона РФ «О социальной защите граждан, занятых на работах с химическим оружием» от 07.11.2000 № 136-ФЗ).

Поскольку человек может скрыть нежелательную для него информацию о наличии медицинских противопоказаний, препятствующих трудоустройству на соответствующую работу (должность), работодателю предоставляется возможность получить такие сведения из других источников.

Распространенные вопросы

Может ли работодатель передавать персональные данные своих бывших работников новым работодателям по их запросам?

Потенциальный работодатель вправе запросить информацию о персональных данных сотрудника при соблюдении следующих условий:

• если данную информацию нельзя получить у самого работника;
• при наличии согласия работника.

Прежний работодатель вправе передать такие сведеня новому работодателю при наличии согласия сотрудника. Если  работник отозвал согласие на передачу персональных данных третьим лицам, прежний работодатель может получить штраф.

Относятся ли сведения полиграфа к персональным данным?

Законодательство не запрещает работодателям использовать детектор лжи для проверки кандидатов и действующих работников с целью получения в ходе такой проверки ответов на вопросы, касающиеся лояльности работника к работодателю, а также деловых и профессиональных качеств работника. Применять полиграф работодатель вправе только при наличии письменного согласия работника. В таком согласии должны быть указаны следующие данные:

Какие риски возможны при нарушении требований к обработке персональных данных работников организации?

При нарушении требований к обработке персональных данных сотрудника работодателя ждет:

1. административная ответственность:

• по ч. 1, 2 ст. 5.27 КоАП РФ — за несоблюдение требований к обработке персональных данных работников, которые установлены ТК РФ.
• по ст. 13.11 КоАП РФ — за нарушение требований к обработке персональных данных, которые установлены Законом о персональных данных.

       2. уголовная ответственность:

• по ч. 2 ст. 137 УК РФ — если работник, ответственный за обработку персональных данных других работников, злоупотреблял своими служебными полномочиями, собирал и распространял сведения о частной жизни работника без его согласия.

Обратите внимание на дату публикации материала: информация могла устареть из-за изменений в законодательстве или правоприменительной практике.

Особенности передачи персональных данных работников

При передаче данных сотрудников в пределах компании или третьим лицам необходимо соблюдать требования Трудового кодекса и Закона о персональных данных, иначе компания может понести финансовые потери

---

¹ Абзац 4 п. 4 Разъяснений Роскомнадзора от 14 декабря 2012 г. «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

² Абзац 9 п. 4 тех же разъяснений Роскомнадзора.

³ Абзац 2 п. 5 тех же разъяснений Роскомнадзора.

Самое значимое правовое событие этой осени: с 1 сентября 2022 года персональные данные обрабатывают по новым правилам.

Закон 266-ФЗ
(Федеральный закон от 14.07.2022 № 266-ФЗ) внес изменения в федеральный закон о персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ). Благодаря поправкам, не только обработка персональных данных с 1 сентября 2022 года происходит по новым требованиям. Также обозначены и правила, которые нужно соблюдать с 1 марта 2023 года. Они приняты в то же время, что и правки к закону о персональных данных с 1 сентября, при этом обязательны к исполнению только с 1 марта.

Таким образом, изменения в закон о персональных данных касаются всего порядка работы с ними: от особенностей согласия и уведомления Роскомнадзора до правил трансграничной передачи, прекращения обработки и исполнения новых сроков. За нарушение этих требований грозят не только крупные административные штрафы, но и уголовная ответственность (ст. 13.11, 13.12 и 19.7 КоАП РФ, ст. 137 и 272 УК РФ).

Каковы же персональные данные – изменения 2022 и как выполнить требования, которые привнесли изменения по персональным данным в работу компаний, обсудим в статье.

Персональные данные: изменения 2022

Условно все изменения персональных данных с 1 сентября 2022 (кратко – ПД, персданные) можно отнести к нескольким группам. Рассмотрим основные из них. Начнем с требований, обязательных к исполнению с 1 сентября 2022 года (по 266-ФЗ).

Обязанности оператора (работодателя)

С 1 сентября 2022 года персональные данные обрабатывают с учетом обязательных требований статьи 18.1 Закона № 152-ФЗ, которые ранее были рекомендательными. В частности, из ее текста удалено слово «могут». Поэтому теперь работодатель не просто вправе, а обязан:

• назначить ответственное лицо (структурное подразделение) за обработку ПД;

• издать и опубликовать политику по персданным;

• осуществлять внутренний контроль (аудит) ПД (способ контроля и подтверждение его проведения нужно прописать в отдельном ЛНА. Его предмет: соблюдение требований законодательства, политики, ЛНА организации по защите ПД);

Чек-лист, какие документы нужно проверить при аудите ПД, скачайте здесь.

• оценивать вред, который может быть нанесен их субъекту (способ оценки компания выбирает самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);

• выполнять другие требования статьи 18.1 Закона № 152-ФЗ.

Изменения в закон о персональных данных дополнили и сам перечень обязанностей оператора (работодателя). Например, установлено правило взаимодействия с государственной системой предотвращения атак на информационные ресурсы (ч. 12-14 ст. 19 Закона № 152-ФЗ). Также предусмотрена новая обязанность оператора (работодателя) при выявлении неправомерной или случайной передаче ПД: в течение 24 часов сообщить в Роскомнадзор и в течение 72 часов отчитаться о результатах внутреннего расследования (ч. 3.1 ст. 21, ч. 10, 11 ст. 23 Закона № 152-ФЗ).

Уведомление в Роскомнадзор

В новой редакции Закона № 152-ФЗ утратили силу положения о возможности работать с персданными без уведомления Роскомнадзора (п. 1 – 6 ч. 2 ст. 22). Теперь даже при их обработке во исполнение закона нужно в Роскомнадзор подать уведомление, чтобы попасть в реестр операторов ПД (Письмо Роскомнадзора от 19.08.2022 № 08-75348). Такое уведомление однократное. Его не нужно предоставлять по каждому работнику.

Уведомление направляют в управление ведомства в субъекте России по месту регистрации работодателя в налоговом органе (Письмо Роскомнадзора от 19.08.2022 № 08-75348, далее – Письмо № 08-75348). Сделать это можно через портал Роскомнадзора: в виде электронного уведомления, подписанного УКЭП, с помощью средств аутентификации ЕСИА, а также – на бумажном носителе. Также допустимо составить уведомление по старой форме (по Приказу Роскомнадзора от 30.05.2017 № 94). При появлении новой формы отправьте информационное письмо о внесении изменений в реестр (Письмо № 08-75348).

Ждать решения Роскомнадзора не нужно. Порядок уведомительный – обрабатывать ПД можно после получения сведений ведомством.

В Роскомнадзор подать уведомление об обработке персданных не потребуется, если (п. 8 ч. 2 ст. 22 Закона № 152-ФЗ):

• оператор обрабатывает данные без автоматизации (например, компания с численностью до 25 человек);

• ПД содержатся в информационных системах по защите безопасности государства и общественного порядка;

• ПД используют по закону о транспортной безопасности.

Содержание согласия на обработку ПД

Федеральный закон 266-ФЗ ввел дополнительные требования к содержанию согласия на обработку ПД. Теперь оно должно быть «предметным» и «однозначным». Новые требования относятся к таким условиям согласия (ч. 1 ст. 9 Закона № 152-ФЗ):

• цель обработки персональных данных;

• перечень ПД, на обработку которых дается согласие их субъекта;

• наименование или фамилия, имя, отчество и адрес лица, которое осуществляет обработку ПД по поручению оператора (если она поручена такому лицу);

• перечень действий с ПД, на совершение которых дается согласие, а также – общее описание способов обработки ПД, которые использует оператор;

• срок, в течение которого действует согласие субъекта ПД и способу его отзыва.

Если субъект ПД отказывается предоставить обязательные персданные, нужно разъяснить последствия отказа от предоставления ПД и (или) согласия на их обработку (ч. 2 ст. 18 Закона № 152-ФЗ).

Важно! Когда субъект ПД – выгодоприобретатель или поручитель, допускается обработка ПД без согласия. Обработка персданных несовершеннолетних без согласия возможна в случаях, установленных законом (ч. 3.1 ст. 4, ст. 6 Закона № 152-ФЗ).

Изменения – персональные данные 1 сентября обрабатывают по новым требованиям. Уточните алгоритм работы с персональными данными и их виды.

Требования к политике в отношении обработки ПД

Новый закон о персональных данных 2022 разъяснил требования к политике в отношении обработки ПД. Теперь в этом документе для каждой цели обработки должны быть отдельно указаны (ст. ст. 18.1, 21 Закона № 152-ФЗ):

• категории и перечень ПД;

• категории субъектов ПД;

• способы и сроки их обработки и хранения;

• порядок уничтожения ПД.

Также внесено уточнение, что размещение политики в отношении обработки ПД возможно в том числе на страницах сайта, принадлежащего оператору в информационно-телекоммуникационной сети «Интернет».

Правила прекращения обработки ПД

Установлены новые правила при обращении субъекта ПД с требованием о прекращении их обработки.

Если такое обращение поступило, оператор по общему правилу обязан в срок 10 рабочих дней прекратить их обработку (обеспечить ее прекращение). Указанный срок может быть продлен, но не более чем на пять рабочих дней: при направлении оператором в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока (ч. 5.1 ст. 21 Закона № 152-ФЗ, пп. «б», п. 13 ст. 1 Закона 266-ФЗ).

Перечень нормативных правовых актов, которые обязательны при обработке ПД, скачайте по ссылке

Совет   Разработайте отдельные акты (ЛНА): по вопросам обработки ПД (под каждую цель), по процедурам выявления и предотвращения нарушений и политику в отношении обработки ПД. Проверьте, соответствуют ли ваши ЛНА требованиям Закона 266-ФЗ.

Выясните, почему опасно использовать типовые шаблоны при работе с персданными.

Уточните общие требования по составлению ЛНА об обработке ПД.

Требования закона о персональных данных: изменения с 1 марта 2023 года

С 1 марта 2023 года вступят в силу изменения по работе с ПД, которые коснутся вопросов уведомления Роскомнадзора, работы с инцидентами в области ПД, порядка уничтожения ПД и их трансграничной передачи.

Форма уведомления Роскомнадзора и сроки подачи

Закон 266-ФЗ предусматривает новые сроки:

• исключения данных из реестра операторов, если оператор отправит уведомлении о прекращении обработки ПД: само исключение – в течение 30 дней, подача заявления о прекращении – в течение 10 рабочих дней (пп. «б» п. 14 ст. 1 Закона 266-ФЗ);

• уведомления оператором в случае изменения сведений (не позднее 15 числа, следующего за месяцем, в котором возникли изменения (пп. «д» п. 14 ст. 1 Закона 266-ФЗ).

Всего будут применяться три формы уведомлений Роскомнадзора:

• уведомление до начала обработки ПД;

• уведомление о прекращении обработки ПД (в течение 10 рабочих дней с даты прекращения обработки персданных);

• уведомление об изменении данных по обработке (до 15 числа следующего месяца)

До 1 марта 2023 года будут установлены требования к подтверждению уничтожения ПД (Проект Приказа Роскомнадзора (подготовлен 19.08.2022), пп. «г» п. 13 ст. 1 Закона 266-ФЗ).

Порядок работы с инцидентами в области ПД

Изменения с сентября 2022 – персональные данные нужно усиленно защищать и сообщать об их утечке. Информация о компьютерных инцидентах по случайной передаче ПД (а также – их предоставлении, распространении, доступе) будут передавать в специальный федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности по защите прав субъектов ПД (пп. «г» п. 15 ст. 1 Закона 266-ФЗ).

Такой орган будет вести реестр учета инцидентов в области персданных и определять порядок и условия взаимодействия с операторами (работодателем) в рамках его ведения.

Ограничения при трансграничной передаче

Определен перечень иностранных государств, которые обеспечивают адекватную защиту прав субъектов ПД. К ним относят государства – стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД. Помимо них, будут допускаться государства – не участники при условии соответствия их норм права и применяемых мер по обеспечению конфиденциальности и безопасности при обработке ПД указанной Конвенции (п. 7 ст. 1 Закона 266-ФЗ).

Важно! Страны, которые обеспечивают адекватную защиту прав субъектов ПД, уточните в «Конвенции о защите физических лиц при автоматизированной обработке персональных данных» (заключена в Страсбурге 28.01.1981) и в Приказе Роскомнадзора от 15.03.2013 № 274. Проводите проверку перед каждой передачей ПД.

При намерении передать ПД трансгранично будет нужно информировать Роскомнадзор в виде отдельного уведомления, которое первоначально должно быть подано до 1 марта 2023 года (п. 7 ст. 1 Закона 266-ФЗ).

Алгоритм действий работодателя при планируемой трансграничной передаче скачайте здесь

Право оператора на трансграничную передачу зависят от того, входит ли страна для передачи ПД в перечень Роскомнадзора. Если да, передача возможна сразу после отправки уведомления. Если нет – только по истечении 10 рабочих дней после отправки уведомления и неполучения запрета или ограничения на передачу (п. 7 ст. 1 Закона 266-ФЗ, будущие ч. 10 – 15 ст. 12 Закона № 152-ФЗ).