Формат запроса сведений, перечисленных в ч. 5 ст. 12 Федерального закона от 27.07.2006 г. №152-ФЗ "О персональных данных" (далее – Федеральный закон №152-ФЗ), действующими нормативными правовыми актами не определен. В соответствии с ч. 6 ст. 12 Федерального закона №152-ФЗ Роскомнадзор может запросить эти сведения у оператора в целях оценки достоверности сведений, содержащихся в уведомлении о намерении оператора осуществлять трансграничную передачу персональных данных.

С учетом этого, полагаем, что запрашивать сведения необходимо в том формате, при котором, в случае необходимости, возможно будет подтвердить, что оператор действительно направлял такой запрос лицу, которому планируется трансграничная передача персональных данных, а также, что это лицо получило запрос. Электронная почта является наиболее оперативным способом взаимодействия с контрагентами. Однако для перестраховки рекомендуем также направить запрос в бумажном формате почтовой или курьерской службой.

Предполагаем, что запрос должен быть направлен оператором, то есть лицом, осуществляющим обработку персональных данных, непосредственно лицу, которому планируется трансграничная передача персональных данных.

Под иностранной стороной подразумеваются орган власти иностранного государства, иностранные физические лица, иностранные юридические лица, которым планируется трансграничная передача персональных данных. То есть в данном случае иностранной стороной является гостиница, отель или иная организация, в которую будут переданы персональные данные работников.

По форме уведомления:

• поле «Наличие в реестре операторов» предполагает отображение информации о том, включен ли работодатель в реестр операторов, осуществляющих обработку персональных данных. Сведения в этот реестр вносятся на основании уведомления о начале обработки персональных данных, которое подается в Роскомнадзор (ст. 22 Федерального закона №152-ФЗ). С 1 сентября 2022 года в реестре должны быть все работодатели.
  Согласно образцу формы, которая размещена на сайте Роскомнадзора, необходимо проставить отметку «да». В соответствии с п. 1 ч. 1 ст. 12 Федерального закона №1532-ФЗ проставляется также дата и номер уведомления о намерении осуществлять обработку персональных данных, ранее направленного оператором в соответствии со статьей 22 закона, например: «да, подано уведомление о намерении осуществлять обработку персональных данных от [дата] №___».
• в поле «ФИО лица, ответственного за организацию обработки персональных данных» указывается ФИО такого ответственного лица. Указанное лицо должно быть назначено работодателем. Как правило, назначают приказом или указывают в Положении об обработке персональных данных (ст. 22.1 Федерального закона №152-ФЗ).
• в поле «Дата окончания проведения оценки» проставляется дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке. Как мы понимаем, указывается та дата, когда у оператора уже есть сведения от иностранного лица, предусмотренные ч. 5 ст. 12 Федерального закона № 152-ФЗ.
• в поле «Правовое основание трансграничной передачи» рекомендуем добавить, что необходимость трансграничной передачи персональных данных работников обусловлена направлением их в служебную командировку в иностранное государство. В частности, трансграничная передача персональных данных обусловлена обеспечением предусмотренной ст. 167, 168 ТК РФ гарантией на возмещение работникам расходов, связанных со служебной командировкой (в том числе расходов по проезду, расходов по найму жилого помещения).
  
  Уведомление об осуществлении трансграничной передачи персональных данных можно подать в бумажном виде. В таком формате уведомление можно направить заказным письмом с описью вложения и уведомлением о вручении или курьерской службой. Главное, чтобы у работодателя остались документы, которыми можно подтвердить факт направления такого уведомления.
  
  Представляется, что проще подать уведомление в электронном виде с использованием усиленной квалифицированной электронной подписи либо при помощи средств аутентификации ЕСИА, если у оператора есть такая возможность.
  

Какая-либо практика на сегодняшний день пока не сложилась. Если до 01.03.2023 г. работодатель осуществлял трансграничную передачу данных и не направил уведомление до указанной даты (п. 5 ст. 6 Федеральный закон от 14.07.2022 г. №266-ФЗ), полагаем, возникает риск привлечения к административной ответственности работодателя, его должностных лиц по:

• ст. 19.7 КоАП РФ за непредставление сведений (влечет наложение административного штрафа на должностных лиц в размере от трехсот до пятиста рублей; на юридических лиц — от трех тысяч до пяти тысяч рублей);
• ч. 1 ст. 13.11 КоАП РФ за нарушение законодательства РФ в области персональных данных (влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от шестидесяти тысяч до ста тысяч рублей). Повторное нарушение влечет наложение административного штрафа на должностных лиц в размере от двадцати тысяч до пятидесяти тысяч рублей; на юридических лиц — от ста тысяч до трехсот тысяч рублей (ч. 1.1).