Разработка пакета документов по защите персональных данных (ПДн)

Мы разработаем и поможем внедрить юридическую документацию, связанную с работой организации как онлайн, так и внутри организации:

Документы для легитимной работы с ПДн сайта, платформы и проч., регистрацией пользователей и реализацией проекта: 

  • Пользовательское соглашение
  • Политика конфиденциальности
  • Правила работы с ПДн
  • Согласие на обработку ПДн
  • Согласие на обработку биометрических ПДн (с возможностью использования в маркетинговых целях)

Документы для легитимной работы с ПДн в организации Заказчика:

  • Положение о работе с ПДн в организации
  • Приказ о назначении лица, ответственного за организацию обработки ПДн 
  • Приказ об утверждении перечня лиц, допущенных к работе с ПДн в организации
  • Форма перечня лиц, допущенных к обработке ПДн
  • Обязательство о неразглашении ПДн лиц, допущенных к работе с ПДн
  • Приказ об утверждении мест хранения ПДн и лицах, ответственных за соблюдение конфиденциальности ПДн при их хранении
  • Правила рассмотрения обращений субъектов ПДн или их представителей
  • Форма журнала учета обращений субъектов ПДн о выполнении их законных прав
  • Приказ о назначении комиссии по уничтожению документов, содержащих ПДн
  • Форма акта уничтожения ПДн
  • Приказ об определении уровня защищенности ПДн
  • Форма акта определения уровня защищенности ПДн
  • Модель угроз безопасности в информационной системе Заказчика
  • Прочие документы по информационной безопасности (по желанию Заказчика).

Вы получаете:

Пакет документов для легитимной работы проекта, помощь в выборе правовых конструкций, который поможет исключить риски, связанные с возможным выявлением контролирующими/надзорными органами нарушений законодательства при реализации проекта, в случае споров с пользователями, подрядчиками, сотрудниками (особенно по трудовому законодательству, Закону о защите прав потребителей и Закону о персональных данных).

Разработка пакета документов по защите персональных данных (ПДн) - услуги RTM Group
Разработка пакета документов по защите персональных данных (ПДн) - от RTM Group
Узнать стоимость?

Эксперты по разработке документов по защите персональных данных

Эксперт по разработке документов по защите персональных данных Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по разработке документов по защите персональных данных Камахин Олег Владимирович

Камахин Олег Владимирович

Юрист по уголовным делам в IT сфере

Опыт: Профессиональный опыт в юридической сфере с 1993 года

Профиль >>

Все эксперты

Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных»

После введения в действие Правил проверки операторов персональных данных (Постановление Правительства Российской Федерации от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»), установивших виды и периодичность проверок Роскомнадзора, кратно увеличилось количество запросов в адрес компаний о приведении в соответствие с требованиями законодательства в области персональных данных (в первую очередь – Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных»).

Несоблюдение (нарушение) требований № 152-ФЗ по работе с персональными данными грозит привлечением к административной ответственности (КОАП РФ), уголовной ответственности (УК РФ), дисциплинарной ответственности (ТК РФ), гражданско-правовой ответственности (возмещение убытков, компенсация морального вреда, ГК РФ). Опытные юристы нашей компании отлично знают, что нужно сделать, оформить и предоставить, чтобы избежать проблем и неприятностей.

Какие данные сотрудников компании являются персональными?

Персональные данные — это любая информация, которая относится прямо или косвенно к конкретному человеку (субъекту персональных данных). Это могут быть фамилия, имя, отчество, мобильный телефон, электронная почта, адрес проживания, фотография, паспортные данные и другие данные, позволяющие идентифицировать человека. При трудоустройстве работодателю могут предоставляться личные документы: паспорт, трудовая книжка, СНИЛС, документ об образовании, медицинская книжка, военный билет и другие.

Как только работодатель получает от работника вышеуказанные документы, на него возлагается обязанность обеспечить хранение и защиту персональных данных, в них содержащихся, что обеспечивается статьей 14 Трудового Кодекса РФ.

Для дальнейшего использования персональных данных необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ, ст. 6 152-ФЗ).

Мы знаем, какие требования по защите персональных данных должен соблюдать работодатель. Подготовим пакет документов в соответствии с требованиями ТК РФ и 152-ФЗ.

 

Действуют ли требования по защите персональных данных по 152-ФЗ в отношении клиентов и/или контрагентов компании?

Действуют. При работе с клиентами, партнерами и другими физическими лицами компания собирает, хранит, передает и использует персональные данные, т.е. ведет их обработку (ст. 5 закона № 152-ФЗ). Необходимо определить объем, категорию персональных данных (категории подробно описаны в ФЗ-152 и постановлении правительства от 1 ноября 2012 г. № 1119) и цели обработки персональных данных.

В большинстве случаев компании требуется получить согласие субъекта персональных данных на обработку его персональных данных (ст. 9 №152- ФЗ). По общему правилу операторы персональных данных перед обработкой этих данных обязаны направить уведомление в Роскомнадзор (ст.22 152-ФЗ), однако закон содержит ряд исключений, при которых уведомлять Роскомнадзор не нужно. Юристы RTM Group знают, как доказать отсутствие необходимости регистрации в качестве оператора по обработке ПДн.

Специалисты RTM Group помогут выполнить требования законодательства по защите персональных данных таким образом, чтобы максимально усилить Вашу позицию перед проверяющими (контролирующими) органами, а также при получении жалоб/претензий относительно обработки персональных данных от кого бы то ни было.

    Нужна консультация?

     

    Какими нормативными актами нужно руководствоваться при разработке и внедрении документов по обработке персональных данных?

    • Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных»;
    • Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ;
    • Постановление Правительства Российской Федерации от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»;
    • Постановление Правительства от 1 ноября 2012 г. № 1119;
    • Постановление Правительства от 15 сентября 2008 г. № 687;
    • Приказ ФСТЭК России от 18 февраля 2013 г. № 21;
    • Приказ Министерства связи и массовых коммуникаций РФ от 14 ноября 2011 г. № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных»;
    • Приказ Министерства связи и массовых коммуникаций РФ от 21.12.2011 № 346 (ред. от 28.08.2015) «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных»;
    • Федеральная служба по надзору в сфере связи и массовых коммуникаций от 27 июля 2017 года «Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
    • Приказ ФСБ России от 10 июля 2014 г. N 378;
    • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК России 15.02.2008, № 1679 дсп от 25.03.2008;
    • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК России 14.02.2008, № 1682 дсп от 25.03.2008.

    Обращаем Ваше внимание (!): необходимо следить за изменениями в законодательстве и использовать актуальные редакции нормативных документов.

     

    Какие документы по обработке ПДн нужны в компании?

    Организационно-распорядительная документация, регламентирующая процессы обработки и защиты ПДн, включает в себя:

    • положения;
    • приказы и акты по вопросам организации защиты ПДн;
    • регламенты;
    • журналы;
    • перечни, планы;
    • инструкции;
    • соглашения;
    • формы документов.

    После проведенного анализа мы точно сможем сказать какие документы нужны именно Вашей компании.

     

    Что Вы получаете в результате заказанной в RTM Group услуги?

    • Рекомендации по внесению изменений (корректировке) существующих документов.
    • Комплект регламентирующей организационно-распорядительной документации (для «внутренней» деятельности компании).
    • Комплект документации для работы с контрагентами/клиентами (для «внешней» деятельности компании).

    Это могут быть: должностные инструкции работников, обрабатывающих ПДн; должностные инструкции работников, обеспечивающих информационную безопасность и поддержку ИТ; положения о подразделениях; договоры с третьими лицами; трудовые договоры; согласие на обработку персональных данных; обязательство о неразглашении персональных данных, политика обработки персональных данных и т.п.

     

    Как предоставляется услуга (алгоритм действия)?

    • Чек-лист (анализ).
      Цель — понять, какие персональные данные обрабатываются, откуда они приходят и куда передаются. То есть понять информационные потоки, связанные с обработкой персональных данных, причем как с автоматизированной, так и с ручной.
    • Разработка комплекта документации.
      В соответствии с Рекомендациями Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» от 27.07.2017 г.
    • Рекомендации по внесению изменений (корректировке) существующих документов по итогам анализа.
      В случае, если в процессе анализа существующей документации будут выявлены устранимые нарушения (несоответствия), мы предоставим рекомендации по внесению изменений и приведению в соответствие с требованиями закона.

     

    Почему RTM Group?

    • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
    • Вопросы правомерности той или иной деятельности — неотъемлемая часть работы юристов RTM Group
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать услуги по разработке документов по защите персональных данных

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email:






    Видео по разработке документов по защите персональных данных

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по разработке документов по защите персональных данных

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация *

    Консультация производится исключительно в формате электронной переписки и предполагает краткий блиц-вопрос/блиц-ответ без изучения каких-либо документов или исследования обстоятельств дела

    бесплатно *

    Разработка пакета документов для защиты ПДн

    от 150 000 руб.

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    * Уважаемые клиенты, убедительно просим Вас обратить внимание (!), что предоставление экспертами компании RTM Group самостоятельной услуги «консультация» производится исключительно в формате электронной переписки и предполагает краткий блиц-вопрос/блиц-ответ без изучения каких-либо документов или исследования обстоятельств дела. Для более комфортного взаимодействия с Вами, в рамках предшествующей электронной переписки, возможно обсуждение интересующих Вас вопросов с экспертом посредством телефонной связи.

    Анализ документов, нормативных актов и судебной практики, применительно к конкретному вопросу, формирование позиции, перспектив рассмотрения дела и т.п. осуществляется в рамках оказания иных услуг, например, услуги «проведение исследования».

    Мы рады оказать Вам всяческое содействие и предпримем все необходимые усилия, чтобы решить Ваш вопрос!

    Наши преимущества

    ПРАВО 300

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика.

    100% удовлетворенность заказчиков

    Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

    Команда IT-юристов №1 в России

    Юристы с профильной подготовкой в информационных технологиях

    Широкая география работы и присутствия

    Работа на территории России, Беларуси и Казахстана

    Продукты и решения для вас

    Нам доверяют

    Полезные статьи

    FAQ: Часто задаваемые вопросы

    Какие данные сотрудников необходимы для правильной разработки документов по защите ПДн?

    Персональные данные (ПДн) — это любая информация, которая относится прямо или косвенно к конкретному человеку (субъекту персональных данных). Это могут быть ФИО, мобильный телефон, электронная почта, адрес проживания, фотография, паспортные данные и другие данные, позволяющие идентифицировать человека. При трудоустройстве работодателю могут предоставляться личные документы: паспорт, трудовая книжка, СНИЛС, документ об образовании, медицинская книжка, военный билет и другие.

    Однако, получение тех или иных ПДн должно быть юридически обосновано, определены цели получения ПДн и способы обработки ПДн и т.п. Конкретный перечень ПДн именно для Вашей организации зависит от специфики профессии, условий труда, задач сотрудника и проч., может быть сформирован только после изучения основных бизнес-процессов в компании, штатного расписания, должностных инструкций.

    У нас юридическое лицо, зарегистрированное не в России. Для работы с персональными данными граждан РФ нам необходимо соответствовать требованиям Роскомнадзора (собираем минимальный набор данных: имя, емейл).

    Подскажите, пожалуйста, что ещё необходимо?

    Юридическая справка по регистрации оператора при обработке персональных данных:
    Нормативная база (основания):

    • Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 31.12.2017) “О персональных данных”
    • Информация Роскомнадзора “Ответы на вопросы в сфере защиты прав субъектов персональных данных” (Публикация на сайте http://rkn.gov.ru по состоянию на 03.04.2018)

    Информация для организаций:

    В соответствии с ч.1 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных” оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных.

    Уведомление должно быть направлено в письменной форме или направлено в электронной форме в соответствии с законодательством Российской Федерации.

    Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения в реестр операторов.

    Однако, до подачи уведомления необходимо провести ряд важных внутренних мероприятий: нужно создать определенный пакет документов, включая положение об обработке персональных данных и приказы о назначении ответственных, а также принять ряд организационных и технических мер.

    Также, прошу Вас обратить внимание, что согласно п.5 ст.18 152-ФЗ, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить обработку персональных данных с использованием баз данных, находящихся на территории РФ.

    На сайте организации требуется размещать именно правила работы с ПДн?

    Нет, не обязательно называть их «Правила работы с персональными данными», можно оставить наименование «Политика конфиденциальности», просто помнить о том, что Политика конфиденциальности – это более широкое понятие, она охватывает правила работы с персональными данными. Политика конфиденциальности, по большому счету, если правильно составлена, может включать в себя работу с гостайной, с персональными данными и работу с коммерческой информацией. То есть, может быть три составляющих.

    В общем, как Вам удобнее, самое главное, чтобы документы были и соответствовали закону.

    Если субъект не указал запреты в согласии на распространение, для оператора это что значит?

    В согласии на распространение персданных субъект ставит именно согласие.

    Вот смотрите, есть перечень персданных, например, фамилия, имя и отчество. Если субъект не поставил «да» или «нет» в соответствующем поле, то это не значит, что он согласен, субъект должен четко поставить галочку «да». То есть согласие должно быть конкретным. Молчание не рассматривается, в данном случае, как согласие.

    Надо ли собирать согласия на распространение ПДн с работников при размещении их данных во внутренних справочниках, а также на внутренних порталах?

    В принципе, законодательство, как таковое, не требует, потому что это трудовые отношения с работниками, и вы же эти справочники для внутреннего пользования создаете, что не предполагает распространение персданных неопределенному кругу лиц. Принимая сотрудников на работу, вы берете обязательство о неразглашении персональных данных, какой-то конфиденциальной информации. Так что, в данном случае, получать с работников еще одно дополнительное согласие на распространение персональных данных, я думаю, не требуется. Единственное, что нас ничто не спасает от самодурства некоторых должностных лиц, когда закон не требует, но у нас есть специалист в госоргане, в определенном регионе, который говорит, что документ должен быть. Я всегда говорю: не надо упираться, если должно – предоставьте. Но вообще это неправильно, это не в силу закона.

    Какая ответственность за не уведомление Роскомнадзора о начале обработки ПДн третьих лиц?

    Ответственность здесь административного характера предполагается, штрафы поименованы, если с разбивкой по суммам, по альтернативным санкциям – в Кодексе об административных правонарушениях… статья 13.11 КоАП РФ – там очень подробно перечислены составы и возможные альтернативные санкции за нарушение тех или иных составов.

    Можно ли считать ПДн, сделанные видными для всех пользователей социальной сети (например, номер телефона, ФИО) в соответствии с правилами настройки приватности, сделанными доступными для распространения неограниченному кругу лиц?

    Обычно суды, наряду с законодательством, всегда руководствуются пользовательским соглашением, которое действует в той или иной социальной сети. Например, был судебный спор с социальной сетью «ВКонтакте», где пользователь обратился в суд, требовал большие компенсации, устранение нарушения его прав, ссылался на то, что его фотографию, которая была размещена, скопировал другой пользователь, и разместил неприличный пост с его участием. Суды встали на сторону социальной сети «Вконтакте» и ссылались на то, что в пользовательском соглашении, которое принимал пользователь при регистрации указано, что пользователь сам определяет настройки приватности своего профиля, и сам определяет, какие данные сделать доступными всем (неограниченному кругу лиц), ограниченно доступными или никому недоступными. Все цитаты приведены в судебном решении из этого пользовательского соглашения, вот почему важно правильно оформлять пользовательское соглашение. Истцу было отказано – он сам не проставил флажки там, где нужно было, и разрешил пользоваться своими фотографиями, своими данными.

    Чем отличается политика от положения?

    Договор, контракт, не столь важно, в любом случае, если возникает спор, суды будут смотреть на правовую природу договора, на его внутреннее содержание. Если мы написали «договор оказания услуг», а у нас фактически поставка – суды будут рассматривать как поставку, и неважно, что в наименовании. В данном случае аналогично: политика, положение – не столь важно, как вам удобнее. Если вам нравится красивое название «политика» – используйте его, а если вы сочтете необходимым, что у вас должно быть именно положение, без проблем.

    Конечно, самое главное, чтобы документы были, и чтобы их содержание действительно помогало вам застраховать себя.

    Надо ли получать лицензию ФСТЭК, если мы обрабатываем персональные данные третьих лиц?

    Нет. Для обработки персональных данных лицензия ФСТЭК не нужна.

    Добрый день. Для подписания согласия на распространение используется только УКЭП, другие виды электронной подписи (УНЭП, ПЭП) неприменимы?

    Пока это только проект и как будут собираться согласия и какой подписью подписываться – я не могу сейчас однозначно сказать. Я уверен, что все может поменяться вплоть до последнего дня. Но сейчас, на данном этапе, квалифицированная электронная подпись, в принципе, приравнивается к неквалифицированной электронной подписи. В декабре прошлого года у нас вышли требования к форме и содержанию УКЭП и УНЭП, и они практически тождественны сейчас.

    Здравствуйте! Надо ли собирать согласия на распространение с членов органов управления и авторов статей, книг и т.п.?

    Да, нужно.

    Я правильно понимаю, что если интернет-магазин использует сторонних подрядчиков: по доставке, техподдержке, или третьи лица (все счетчики, Facebook, метрики), то надо регистрироваться, как оператор передачи данных?

    Да, обязательно надо, правильно поняли. Была масса спорных вопросов, неоднократно мы лично и по инициативе наших заказчиков консультировались с органами Роскомнадзора в разных регионах, писали официальные письма-запросы, различные объяснения в силу закона и мотивировки, почему мы считаем, что наш заказчик не должен регистрироваться. В результате, мы получали из Роскомнадзора, как под копирку одно и то же письмо или устный ответ (например, случай, в кейсе на слайде), что вы передаете персданные все равно третьим лицам. Роскомнадзор, безусловно, трудятся, и по кодам ОКВЭД описывают, что каждый из заказчиков конкретно делает: служба это курьерской доставки, техподдержка или какие-то страховые и так далее.

    В каком виде и как необходимо размещать данные об условиях распространения персональных данных из полученного согласия? Можно ли на отдельном ресурсе сайта или только в местах размещения персональных данных, указанных в согласии?

    Согласие на распространение персональных данных это императивный документ. То есть то, что там указано, мы должны соблюдать в точном соответствии. А в согласии на распространение персональных данных не может быть альтернативных формулировок, не может быть «по усмотрению», там может быть конкретный объект – кому предоставляют это согласие, конкретные места, где персональные данные будут использоваться, конкретный объем, конкретные способы, каким образом будет использоваться. В принципе, все максимально конкретно.

    Если заявление на распространение написано и подписано, но не стоит галочки “да” к распространению, то считается ли согласие действительным?

    Да, оно считается действительным, если подписано электронной подписью или на бумажном носителе собственноручной подписью. Но если клиент не поставил галочку ни «да», ни «нет», оно трактуется в пользу субъекта, значит, он не согласен. Это не трактуется как «немое» молчание.

    Если сбор ПДн на сайте не осуществляется, то надо ли публиковать политику и на какой странице?

    Если сбор ПДн на сайте не осуществляется, то политика не нужна.

    Поменяется ли форма уведомления Роскомнадзора об обработке персональных данных после 1 сентября?

    После 1 сентября форма не поменяется, но сейчас внесён законопроект об утверждении новой формы. Возможно, к концу сентября нужно будет уже уведомлять по ней. В форме имеются незначительные изменения. Её можно заполнить онлайн на сайте РКН.

    Как понять, какие именно меры необходимо прописывать в уведомлении в Роскомнадзор?

    Все меры перечислены в ст.18, 18.1, 19 ФЗ-152. Нужно посмотреть, выполняете вы эти меры или нет, причём как технически, так и организационно.

    Будут ли санкции с 1 сентября, если не уведомить о трансграничной передаче?

    До 1 марта санкции не предусмотрены. На настоящий момент ответственность так же не установлена. Однако до момента вступления изменений в силу законодатель предусмотрит штраф.

    В каком виде уведомлять о трансграничной передаче?

    В свободной форме. Стандартизованная форма отсутствует. Лучше это делать на бумаге, так как пока про онлайн-уведомления информации нет.

    Рассматривали ли проект требований к оценке вреда, который может быть причинен субъекту ПДн в случае нарушения закона о ПДн? Не совсем понятно, что они хотели сказать вторым приложением, сразу обозначили величину вреда или что?

    Проект на настоящий момент достаточно-таки сырой, на наш взгляд и требует доработки, т.е. сказать наверняка, что именно хотел сказать законодатель сложно. Данный законопроект должен быть доработан до середины сентября текущего года, возможно правки внесут ясность в формулировки.

    Если подрядчик получает доступ к персональным данным исключительно в целях ИТ поддержки приложения и базы данных, и не планирует совершать никаких действий с этими ПД, считается ли это обработкой ПД? и нужно ли поручение на обработку ПД?

    Да, это будет считаться обработкой ПДн. Потребуется заключать договор-поручение на обработку ПДн.

    Добрый день, подскажите, пожалуйста, организация (из России) по поручению иностранного юридического лица обрабатывает персональные данные сотрудников данного иностранного юридического лица, считается ли это трансграничной передачей?

    Нет. В законодательстве точно указано определение трансграничной передачи – когда ПДн передаются из РФ в иностранное государство.

    Нужно ли отдельное согласие на сайте для рассылки?

    Рассылка (причём любая) – это отдельная цель обработки ПДн, поэтому данную цель можно включить в общее согласие на обработку ПДн, т.е.делать отдельное согласие нет необходимости.