Для общественного обсуждения представлен проект приказа «О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Минцифры РФ от 15 ноября 2021 г. № 1187».
Согласно документу новым индикатором риска может стать «наличие у контролирующего органа информации о двух и более случаях в течение календарного года трансграничной передачи ПДн при помощи программных средств, владельцем которых является иностранное юридическое лицо или иностранное физическое лицо, функционал которых предполагает передачу ПДн, со стороны контролируемого лица, которое не уведомляло контролирующий орган о своем намерении осуществлять трансграничную передачу ПДн».

Специалист по информационной безопасности AKTIV.CОNSULTING Анастасия Калиничева обращает внимание, что поправки в Федеральный закон «О персональных данных» относительно передачи ПДн на территорию иностранных государств были приняты еще в 2022 году. И к сожалению, до сих пор не все компании знают, что использование на своих сайтах Google Analytics и других иностранных счетчиков (метрических программ), обрабатывающих ПДн посетителей веб-страниц, является одним из случаев трансграничной передачи.
Файлы cookie, при помощи которых осуществляется работа подобных средств веб-аналитики, являются ПДн. Данная позиция неоднократно подтверждалась представителями Роскомнадзора.
И если к Яндекс.Метрике подобных вопросов не возникает (базы данных находятся на территории РФ), то в случае с Google Analytics согласно законодательству оператор ПДн должен предпринять несколько действий. Среди них, как минимум, – направление в Роскомнадзор уведомления о трансграничной передаче и корректное оформление правового основания обработки.
Ознакомиться с текстом документа можно по ссылке.
Предложения и замечания по проекту принимаются до 16 октября 2024 года по адресу m.belyakova@digital.gov.ru.