Трансграничная передача персональных данных, договор трансграничной передаче персональных данных

Содержание
  1. Трансграничная передача персональных данных
  2. Трансграничная передача персональных данных
  3. Трансграничная передача персональных данных
  4. Что такое трансграничная передача персональных данных
  5. Что это такое
  6. Какая преследуется цель
  7. Как осуществляется
  8. Согласие
  9. Договор
  10. Как обеспечить безопасность
  11. Ответственность за нарушения
  12. Видео по теме:
  13. Трансграничная передача персональных данных - это что такое?
  14. 2016 год
  15. Ограничения
  16. Исключения
  17. Важный момент
  18. Общедоступная политика
  19. Внутренние нормативные акты
  20. Договор
  21. Использование средств защиты
  22. ФЗ № 242
  23. Трансграничная передача персональных данных это: определение понятия и его правовая основа
  24. Что такое трансграничная передача данных
  25. Передача данных небезопасным странам
  26. Порядок трансграничной передачи данных
  27. Нововведения
  28. Видео: Что такое персональные данные
  29. Международные договоры рф о трансграничной передаче персональных данных
  30. Международные договоры рф о трансграничной передаче персональных данных
  31. Подведем итоги
  32. Правовое регулирование

Трансграничная передача персональных данных

Трансграничная передача персональных данных

Трансграничная передача персональных данных

На сегодняшний день много вопросов у специалистов по информационной безопасности вызывает трансграничная передача персональных данных.

Для начала определимся с понятиями. Трансграничная передача персональных данных — это передача персональных данных оператором через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

Вообще вопрос трансграничной передачи данных возник, когда начался процесс объединения Европы. Необходимо было, во-первых, унифицировать единое законодательство, а во-вторых, перевести трансграничную передачу в узаконенные рамки. Так была создана Конвенция, но вопрос о том, как государство сможет защитить персональные данные своего гражданина после того, как они оказываются за территорией страны, — остался открытым. Гражданин имеет право отстоять свои интересы в своей собственной стране, но если нарушение его прав произошло за ее пределами, обеспечить полноценную защиту своих интересов для него было практически невозможно.

Как же должна осуществляться трансграничная передача данных, какие документы необходимо получить от субъекта персональных данных? Какая ответственность предусмотрена для операторов за осуществление незаконной трансграничной передачи персональных данных?

На данный момент законодательно закреплена только «общая» ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (статья 13.11 Кодекса об административных правонарушениях Российской Федерации).

По информации Уполномоченного органа по защите прав субъектов персональных данных, в настоящее время в Государственной Думе на рассмотрении во втором и третьем чтении находится законопроект «О внесении изменений в некоторые законодательные акты Российской Федерации», в том числе в Кодекс об административных правонарушениях Российской Федерации. Среди таких изменений — дополнение его статьей, предусматривающей ответственность за нарушение законом порядка сбора, хранения, использования или распространения персональных данных». По всей видимости, внесение дополнений было продиктовано неоднозначностью толкования российского законодательства и разнородностью нормативно-правовой базы тех стран, на территорию которых передаются персональные данные.

Федеральный закон № 152 от 27.07.2006 г. «О персональных данных», принятый в соответствии с международным законодательством, гласит:

«…Статья 12. Трансграничная передача персональных данных.

  1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
  2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
  3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
    1. наличия согласия в письменной форме субъекта персональных данных;
    2. предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
    3. предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
    4. исполнения договора, стороной которого является субъект персональных данных;
    5. защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных…»

Приведенные в законодательстве исключения вопросов не вызывают, они вполне обоснованы, поэтому попробуем проанализировать действия оператора ПДн по трансграничной передаче ПДн при отсутствии таких обстоятельств. Тем более, что основные споры по поводу трансграничной передачи данных возникают в результате вопросов, связанных с различием законодательств стран и передачи данных без вышеперечисленных обязательств.

По мнению экспертов компании ReignVox, обеспечение защиты ПДн при их трансграничной передаче является составной частью работ по комплексной защите персональных данных на предприятии. Для обоснования адекватности защиты ПДн при передаче данных в за-рубежный филиал компании необходима реализация ряда мероприятий, включая разработку документа (или нескольких документов), который отражает следующие основные моменты:

  • Общие положения (организационная структура компании; страна (страны), в которую передаются ПДн; цель передачи и обработки ПДн за границей);
  • Правовое обоснование трансграничной передачи персональных данных (перечень нормативно – правовых документов, на основании которых осуществляется передача и обработка ПДн);
  • Описание объекта защиты;
  • Характеристики передаваемых ПДн (категории ПДн, передаваемых за границу; категории субъектов ПДн; способы обработки ПДн (автоматизированная, неавтоматизированная, смешанная обработка));
  • Регламент обеспечения безопасного информационного обмена персональными данными с зарубежными филиалами (представительствами) (описание ИСПДн из которой (которых) передаются ПДн; описание ИСПДн, куда передаются ПДн; каналы передачи данных; стандарты и протоколы передачи данных и т.д.); Описание мероприятий и средств обеспечения защиты передаваемых ПДн (организационные мероприятия; технические средства защиты информации, в том числе средства криптографической защиты информации);
  • Состав законодательства иностранного государства, отражающего вопросы защиты ПДн;
  • Заключительные положения (зарубежный филиал обязуется соблюдать законодательство по обработке ПДн страны, в которой он находится; обязуется обеспечить соответствующую защиту полученных и обрабатываемых ПДн; подписи ответственных лиц головной организации и зарубежного филиала под вышеперечисленными положениями).

Преимущества такого подхода в том, что он позволяет минимизировать риски реализации угроз персональных данных при их трансграничной передаче, повысить ответственность должностных лиц за соблюдение установленных норм информационной безопасности.

Что такое трансграничная передача персональных данных

В сфере информационной безопасности актуальным явлением становится охрана персональных данных. Вместе с ростом объёмов интернет-торговли, цифровых операций и прочего возникает угроза для компаний и даже экономики целых государств. Специалисты уделяют внимание не только вопросу хранения, но и передачи.

Дорогие читатели! Статья рассказывает о типовых способах решения юридических вопросов, но каждый случай индивидуален. Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь к консультанту:

+7 (812) 317-50-97 (Санкт-Петербург)

ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.

Это быстро и БЕСПЛАТНО!

Что это такое

В данном случае имеется в виду передача любых личных данных физического лица через границу Российской Федерации иностранному получателю.

В качестве получателя могут выступать:

  • органы государственной власти или силовые структуры;
  • физические лица;
  • юридические лица.

Сегодня сталкиваются два явления — глобализация и рост онлайн-торговли, а также опасность киберпреступлений. Стремление обеспечить безопасность приводит к затруднению общения, торговли, обмена информации. Проблемой занимаются на государственном уровне.

Под трансграничную передачу попадает любая пересылка личной информации при следующих ситуациях:

  • бронирование номеров в зарубежных отелях;
  • покупка авиа- и ж/д билетов в других странах;
  • покупка в иностранных интернет-магазинах;
  • оформление документов, разрешений, пропусков и т.д.

Подобные ситуации происходят всё чаще, потому что граждане России контактируют с иностранными компаниями, магазинами, заказывают услуги и многое другое. Как только персональные данные отправляются иностранному получателю в силу вступает закон о защите.

Какая преследуется цель

Вопрос на государственном уровне начали активно обсуждать после объединения стран Европы, создания Евросоюза и развития информационных технологий.

Перед экспертами поставлены конкретные цели:

  1. Создание универсальных правил и понятий, позволяющих сформировать законодательные акты для международного права.
  2. Определение чёткого юридического статуса и узаконивание хранения, обработки и передачи персональных данных.

После осознания необходимости и изучения вопроса была создана Конвенция, регулирующая подобные вопросы и явления, связанные с этим.

Для рядовых граждан появляются конкретные преимущества:

  • реальная возможность отстоять права и защитить личные данные даже в другой стране;
  • уверенность в сохранности и защите от третьих лиц.

Как осуществляется

Юристы для упрощения оперируют понятием «адекватная защита», предполагающего использование доступных возможностей для обеспечения безопасности.

Передача осуществляется следующим образом:

  • прорабатывается организационная структура и определяется перечень стран, куда отправляются данные;
  • определяются цели и особенности дальнейшей обработки;
  • оператор берёт на себя обязательства по обеспечению безопасности и следит за тем, чтобы принимающая сторона обеспечила адекватную защиту;
  • подлежащий защите объект описывается, для него формируются обоснования.
  • определяются характеристики персональных данных;
  • процесс согласовывается в соответствии с нормативными актами, принятыми в стране получателя;
  • осуществляется пересылка информации.

Если необходимая защита не обеспечена, то оператор может заблокировать передачу или ограничить её. Телекоммуникационная компания несёт ответственность, поэтому несоблюдение законных требований ведёт к административному наказанию.

Сегодня гораздо выгодней развивать информационную безопасность, иначе это грозит запретом на предоставление услуг или оттоком клиентов.

Передача данных через границу РФ может осуществляться без создания адекватной защиты возможно в следующих ситуациях:

  • физическое лицо, которому принадлежат персональные данные, подписал письменное согласие;
  • процесс затрагивает оформление виз (в соответствии с международными договорами);
  • обстоятельства касаются решения правовых, уголовных, семейных вопросов;
  • передача данных осуществляется на федеральному уровне и касается государственной безопасности;
  • обеспечение защиты жизни и здоровья субъекта персональных данных.

Согласие

Уже упомянутый ФЗ №152 описывает общие требования, на основе которых создан документ для письменного согласия. Подробнее об этом рассказывается в пункте №9. Содержание регламентируется не строго, а произвольно.

Однако есть перечень пунктов, обязательных для заполнения:

  1. ФИО гражданина.
  2. Серия, номер паспорта, прописка (или иной документ, удостоверяющий личность).
  3. ФИО получателя или полное название организации, обрабатывающей данные.
  4. Цели запроса персональных данных со стороны иностранного получателя.
  5. Список данных для отправки и обработки, описание действий.
  6. Дополнительная информация об организации, берущей на себя обязательства по обработке.
  7. Срок действия письменного согласия.

На подобном документе необходимо указать число и поставить подпись субъекта. На данный момент есть возможность воспользоваться стандартным бланком или использовать тот, который предоставляет оператор.

Строгих требований по заполнению нет, за исключением обязательных пунктов. Ещё одним требованием является добровольное заполнение документа.

Договор

Договор исполняется при наличии:

  • письменного согласия на передачу, обработку и хранение персональных данных от субъекта (физического лица);
  • договора, заключённого с принимающей стороной, подтверждающего соблюдение стандартов информационной безопасности;
  • письменное уведомление Роскомнадзора.

Оператор, предоставляющий услуги пересылки, имеет на руках согласие субъекта и разрешение на осуществление деятельности. Однако в дополнении к этому следует заключить договор с принимающей стороной.

Как обеспечить безопасность

Ведущие эксперты в сфере информационной безопасности заявляют о необходимости защиты непосредственно процесса трансграничной передачи получателю, располагающемуся на территории другого государства.

В этот момент требуется максимальное внимание, причём выше, чем при хранении и обработке. Все действия со стороны формируют современный комплекс.

Эффективная защита в момент передачи возможна при реализации рекомендуемых мер, соответствующие выполняемым процессам. В этом случае учитывается:

  • характеристики передаваемой информации;
  • общие положения и требуемые действия в соответствии с международным правом;
  • возможности для повышения коэффициента безопасности.

Принятие мер, направленных на повышение безопасности, возможно только с учётом специфики данных, направления передачи и других особенностей. В связи с этим оператор учитывает такие моменты.

К конкретным методам защиты относят:

  1. Защита используемых каналов передачи данных в зависимости от их особенностей.
  2. Методы шифрования при использовании только сети Интернет.
  3. Исключение посредников, занятых в промежуточной обработке.

Таким образом, всё сводится к повышению надёжности каналов. В настоящее время основным является Интернет. Отправка осуществляется через электронную почту, мессенджеры, социальные сети и т.д. При заполнении форм важно использовать каналы, защищённые надёжными протоколами шифрования.

Ответственность за нарушения

Если передача данных организована с нарушениями и без уведомления Роскомнадзора, то это расценивается как незаконная отправка личной информации.

В этом случае предусмотрено административное наказание в соответствии со статьёй 19.7 АК РФ. На оператора накладывается штраф 5 000 рублей. Уведомление «задним числом» уже после отправки персональных данных расценивается аналогичным образом.

Таким образом, сегодня трансграничная передача становится актуальным явлением. Операторы должны учитывать действующее законодательство РФ и другой страны, куда отправляется информация.

Основной задачей становится защита канала передачи методами шифрования в сети или иными способами. Сами граждане должны только дать согласия на отправку и никаких иных действий от них не требуется.

Видео по теме:

  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов. Базовая информация не гарантирует решение именно Ваших проблем.

Поэтому для вас круглосуточно работают БЕСПЛАТНЫЕ эксперты-консультанты!

  1. Задайте вопрос через форму (внизу), либо через онлайн-чат
  2. Позвоните на горячую линию:
    • Москва и Область — +7 (499) 110-56-12
    • Санкт-Петербург и область — +7 (812) 317-50-97
    • Регионы — 8 (800) 222-69-48

ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.

Трансграничная передача персональных данных — это что такое?

В условиях развития и глобализации сети Интернет с каждым днем все меньше становится территориальных ограничений для осуществления коммерческой деятельности. Несмотря на достаточно сложную внешнеполитическую обстановку, количество отечественных предприятий, сотрудничающих с иностранными партнерами, постоянно возрастает. Отсутствие территориальных границ требует введения единых правил взаимодействия всех участников отношений. В частности, это касается процесса обмена личной информацией. Рассмотрим далее, как производится трансграничная передача персональных данных.

2016 год

В настоящее время в законодательстве отсутствуют четкие правила обмена сведениями с иностранными контрагентами. В качестве исходного нормативного акта в сфере коммуникаций выступал ФЗ № 152. Этот закон регламентирует осуществление трансграничной передачи персональных данных. Что это такое? Под данной деятельностью понимают предоставление личных сведений на территорию зарубежного государства, иностранному органу госвласти, физическому или юрлицу. В 2014 г. был принят ФЗ № 242. Он должен был вступить в силу 01.сент. 2016 г. Этим нормативным актом вносились некоторые изменения в законы в части уточнения правил обработки личной информации в информационно-коммуникационных сетях. Однако в Госдуму был внесен законопроект № 596277-6 о корректировке ст. 4 ФЗ № 242. В соответствии с этими изменениями, срок вступления в действие был перенесен на январь 2015 г. В настоящее время, таким образом, ФЗ № 242 уже действует больше года.

Ограничения

В ФЗ № 152 установлены запреты, под которые попадает трансграничная передача персональных данных. Это ограничения, связанные с обеспечением защиты конституционного строя РФ, здоровья, нравственности, интересов и прав населения, поддержания безопасности и обороноспособности государства. При этом в ФЗ № 152 не установлено никаких иных правил. В частности, отсутствуют условия, при которых странам, предоставляющими адекватную защиту личной информации, могла бы ограничиваться трансграничная передача персональных данных. Это такие государства, которые выступают в качестве участников Конвенции ETS № 108, а также внесенные в перечень, утвержденный Роскомнадзором Приказом № 274.

Исключения

В ФЗ № 152 определены случаи, когда государствам, которым, несмотря на необеспечение адекватной защиты личных сведений, может производиться трансграничная передача персональных данных. Это ситуации:

  1. Предусмотренные в федеральном законодательстве, если предоставление сведений требуется для защиты конституционных основ, обеспечения безопасности и обороноспособности страны, устойчивого функционирования транспортной инфраструктуры, охраны интересов общества, личности и государства от незаконного вмешательства.
  2. Когда исполняется договор, участником которого выступает носитель предоставляемой информации.
  3. Когда необходимо обеспечение защиты здоровья, жизни и прочих важнейших интересов субъекта персональных данных, а также иных лиц при невозможности получить письменное согласие первого.
  4. Предусмотренные в международных соглашениях.
  5. Когда получено согласие на трансграничную передачу персональных данных от субъекта ПНд.

Важный момент

При наличии разрешения от субъекта ПНд, в соответствии с ФЗ №152, допускается трансграничная передача персональных данных. Это разрешение предполагает, что лицо извещено о том, что сведения, касающиеся его лично, будут предоставлены иностранному контрагенту. Необходимость получения такого документа при отправке информации в страны, предоставляющие адекватную защиту, не устанавливается в нормативном акте. Тем не менее важно, чтобы субъект был проинформирован оператором о предполагаемых действиях.

Общедоступная политика

Во избежание проблем, оператор указывает:

  1. Для чего производится трансграничная передача.
  2. Каков объем предоставляемых сведений.
  3. Лиц, которые принимают информацию.

Оператор также уведомляет Роскомнадзор о том, что будет производиться трансграничная передача персональных данных. Это осуществляется путем заполнения/внесения изменений в извещение. В уведомлении указываются страны, принимающие сведения. До начала обработки информации субъект ПНд извещается о предстоящей операции. Это положение отражается в политике, договоре либо ином документе, с которым лицо сможет ознакомиться.

Внутренние нормативные акты

В локальных документах оператор отражает:

  1. Юридическое обоснование предоставления личной информации иностранным субъектам. В частности, приводится перечень нормативных актов, на основании которых производится обработка и отправка сведений.
  2. Регламент по трансграничной передаче персональных данных.
  3. Описание мероприятий и защитных средств, в том числе технических и криптографических.

Договор

Оператор заключает соглашение с организацией, которой будет производиться трансграничная передача персональных данных, что значит принятие обработчиком обязанности соблюдать конфиденциальность информации, выполнять требования по защите сведений, обеспечивать их безопасность. В договоре также указывается перечень действий, совершаемых сторонами.

Использование средств защиты

В обязанности оператора входит выполнение ряда мероприятий для предотвращения несанкционированного доступа к личной информации в процессе работы со сведениями. При этом допускается применение несертифицированных криптографических защитных средств вследствие:

    Требований Конвенции ETS № 108, статья 12.2 которой не разрешает создавать ограничения и вводить специальный контроль информационных потоков, идущих на территорию зарубежного государства, исходя из принципа защиты неприкосновенности частных дел.

ФЗ № 242

Как выше было указано, в 2014 г. был принят закон, внесший изменения в ряд нормативных актов в части уточнения правил обработки личных сведений в информационно-телекоммуникационных сетях. ФЗ№ 242 дополняет ФЗ № 152 требованием о том, что в процессе сбора данных, в том числе, через Интернет, оператор должен обеспечивать систематизацию, запись, накопление, уточнение, хранение и извлечение их с использованием баз, расположенных на территории России. Данное предписание может не выполняться, если обработка личной информации производится для:

  1. Достижения целей, установленных в международном соглашении либо законом, для реализации оператором возложенных на него полномочий, обязанностей и функций.
  2. Отправления правосудия, выполнения судебного постановления, акта иного органа либо служащего, подлежащих исполнению в порядке, предусмотренном в нормах российского права.
  3. Реализации полномочий федеральными, региональными, муниципальными исполнительными институтами власти, структурами, включенными в состав внебюджетных госфондов, организаций, участвующих в оказании услуг на государственном и местном уровнях.

Как показывает практика, в настоящее время трансграничная передача информации является эффективным и удобным инструментом взаимодействия. При правильном его использовании операторы могут снизить расходы при обработке сведений в пределах России.

Трансграничная передача персональных данных это: определение понятия и его правовая основа

Трансграничная передача персональных данных – это весьма непростая процедура, в которой участвуют два государства в целях пересылки определенной информации гражданина одной из стран. Несмотря на то, что в России на федеральном уровне существует несколько законов, оговаривающих принципы проведения трансграничной передачи данных, на практике этот процесс сталкивается с неизбежными трудностями. Основной проблемой является обеспечение полной защиты передаваемых сведений, от которой может зависеть не только благополучие субъекта ТППД, но и всего государства, от которого исходит сообщение. О том, как происходит трансграничная передача персональных данных и какие ограничения она предполагает рассказываем далее.

Трансграничная передача персональных данных

Что такое трансграничная передача данных

Под трансграничной передачей персональных данных (далее по тексту ТППД) подразумевается процесс пересылки определенной информации за пределы Российской Федерации в одно из иностранных государств. Пересылка осуществляется операторами и предназначается органам власти, физлицу или юрлицу соответствующей страны.

Наиболее полную информацию о ТППД можно подчерпнуть из третьей статьи ФЗ, посвященной персональным данным и способам их существования в информационном пространстве. Также ТППД затрагивается и сто пятьдесят вторым ФЗ, в котором содержится еще одно определение данного явления.

3 статья ФЗ О персональных данных

Ограничения

Государство имеет право наложить запрет на передачу ПД через границу страны в тех случаях, когда утечка данных будет грозить следующими опасными последствиями:

  • нарушения опорных пунктов Конституции;
  • посягательства на нравственность;
  • возможный ущерб здоровью граждан;
  • ущемление прав, а также законных интересов жителей России;
  • угроза безопасности страны;
  • невозможность осуществить полноценную оборону.

Передача персональных данных через государственные границы сопряжена с рядом опасностей

Во всех прочих ситуациях законодательством не предусматриваются никакие запреты на пересылки ПД. При этом пересылка эта может адресоваться только тем странам, которые способны обеспечить защиту прав граждан РФ. К безопасным в отношении передачи данных странам являются те государства, которые считаются сторонами Конвенции или же государства, указанные в специальном перечне, составленном с помощью Роскомнадзора.

Передача данных небезопасным странам

Если же говорить о странах, на которые требования Конвенции не распространяются, то они также могут участвовать в ТППД. Однако для того, чтобы осуществить передачу сведений стране, которая не гарантирует безопасность участникам ТППД, потребуется учесть несколько обязательных пунктов:

  • для осуществления передачи данных понадобится согласие от участника ТППД на то, чтобы информация о нем была передана соответствующей стране;
  • передача данных должна быть предусмотрена международным договором Российской Федерации;
  • передача данных предусматривается ФЗ России в ряде случаев, при которых от пересылки информации зависит сохранение конституционного строя, обеспечение личных интересов граждан, сохранение безопасности в стране и так далее;
  • передача данных оговаривается договором, который был заключен с участником ТППД;
  • от передачи данных зависит благополучие того, кому эта информация принадлежит (в таких ситуациях от субъекта ТППД даже не требуется получение письменного согласие на пересылку сведений).

При передаче данных в небезопасную страну потребуется предварительное заключение договора

Из всех вышеуказанных пунктов можно сделать вывод о том, что ТППД возможна и при участии стран, не гарантирующих безопасность субъекту передачи данных. Для этого потребуется наличие предварительной договоренности или задокументированного согласия лица, чья сведения будут переданы.

Для стран, гарантирующих субъекту ТППД защиту его прав, подобные соглашения не требуются. Однако в целях безопасности оператор, отвечающих за пересылку сведений должен заблаговременно сообщить субъекту ПД о том, что его данные будут переданы за пределы РФ. При оповещении субъекта учитываются три опорных пункта:

  • цели, которые планируется достигнуть путем передачи персональных данных субъекта;
  • объем и характер информации, которую собирается отправить оператор;
  • получатели персональных данных.

При передаче персональных данных лица, само это лицо должно быть в обязательном порядке оповещено о процедуре

Порядок трансграничной передачи данных

Трансграничная отправка данных является непростой процедурой, предполагающей целый ряд формальных действий, обязательных к исполнению. Для того, чтобы она была осуществлена на законных основаниях, требуются определенные условия.

Таблица 1. Трансграничная передача данных поэтапно

Этап Описание
Уведомление Роскомнадзора Перед отправкой информации в Роскомнадзор отправляется уведомление
Информирование субъекта ТППД Субъект должен быть осведомлен в том зачем пересылаются его данное и каков их объем
Составление оператором нормативных документов В нормативных документах должна подтверждаться законность проводимой процедуры со ссылкой на соответствующие законы
Заключение договора с организацией-получателем исходных данных С посредником оговариваются способы передачи данных и степень их защищенности
Обеспечение должной защиты канала Канал, по которому произойдет отправка информации, обязан быть зашифрованным

О каждом из упомянутых условий мы и поговорим в данном разделе.

Уведомление Роскомнадзора

Роскомнадзор должен быть первой инстанцией, которая будет поставлена в известность о планирующейся трансграничной передаче данных. Для того, чтобы проинформировать Роскомнадзор потребуется:

  • направить уведомление, касающееся обработки ПД гражданина РФ;
  • перечислить страны, которые примут данное сообщение.

Роскомнадзор должен быть оповещен о предстоящей передаче персональных данных за пределы РФ

Информирование субъекта ТППД

Как уже говорилось, субъект ТППД должен быть оповещен о планирующейся операции еще до того, как она произойдет. Эта информация должна быть зафиксирована в следующих документах:

  • политика в отношении обработки персональных данных;
  • договор, заключенный с субъектом ТППД;
  • любой иной документ, который ставит своей целью донесение до субъекта ТППД планирующейся операции.

В договоре, который адресуется обладателю персональных данных указываются цели трансграничной передачи

Составление нормативных документов

Внутренние нормативные документы, составляемые оператором, осуществляющим передачу данных, должны включать в себя следующие детали:

  • правовую основу, позволяющую проводить ТППД. Под правовой основной подразумевается список конкретных правовых документов, придающих пересылке сведений законный статус;
  • регламент, который обеспечивает безопасный обмен персональными данными;
  • оглашение списка планируемых мер и способов сохранения персональных данных под защитой (к таким средствам защиты относятся всевозможные средства, обеспечивающие криптографическую защиту данных).

О том, что такое криптографическая защита информации и какие методы она применяет можно прочесть ниже.

Криптографические методы защиты данных

Заключение договора с посредником

Договор с посредником, отвечающим за передачу персональных данных, в обязательном порядке состоит из таких пунктов, как:

  • список манипуляций, которые будут осуществляться компанией-посредником с персональными данными;
  • цели, в которых будет осуществляться обработка данных;
  • обязательства компании-посредника перед Россией и самим субъектом ТППД, заключающиеся в соблюдении принципов конфиденциальности и предоставления полной безопасности субъекту;
  • требования защищенности персональных данных, подлежащих обработке. Сама компания-посредник при осуществлении данной процедуры основывается на законодательных нормах, принятых в стране ее расположения.

Компания-посредник должна обеспечить полную безопасность передаваемых данных в силу своих возможностей

Защита канала

Под защитой канала понимается предотвращение всех случайных или злонамеренных попыток получить доступ к охраняемой информации. Особого внимания требует передача данных, осуществляющаяся посредством интернета – в таких ситуациях операторы обязаны использовать специальные способы шифровки сведений.

Иногда допускается практикование средств криптографической защиты, не прошедших необходимую по закону сертификацию ввиду:

  • требований, изложенные в Конвенции ETS номер 108, которая налагает запрет на создание ограничений и контролирование циркуляции персональных данных, направляющихся в другие страны, руководствуясь соображениями защиты личной сферы субъекта ТППД;
  • присутствия лимитов на вывоз оборудования, в составе которых наличествуют способы шифрования с российских территорий;
  • нюансов законодательных норм иностранных государств, которые выступают получателями криптографического оборудования, а также согласование данного вопроса со службами страны, в которую перевозится соответствующее оборудование.

Конвенция 108 EST оговаривает особенности охраны персональных данных

Нововведения

Отдельного внимания заслуживают изменения, которые были внесены Федеральным законом 242 пятилетней давности, дополняющий 152 закон. 242 ФЗ, прежде всего, специализируется на области информационно-коммуникационных сетей, в связи с чем добавляет к уже существующему закону важный пункт. Дополнение это заключается в том, что отныне на операторов возлагаются следующие задачи:

  • запись персональных данных;
  • систематизация;
  • накопление;
  • сохранение;
  • обновление или внесение изменений по мере необходимости.

Также данный закон предусматривает получение ПД россиян при помощи баз данных, располагающихся на территории данной страны.

242 ФЗ Статья 1

Несмотря на то, что 152 закону удается прояснить некоторые детали, в свое время он породил бурные обсуждения, после которых многие вопросы остаются без ответа и по сей день. Среди таких дискуссионных моментов значатся следующие:

  • каково будущее трансграничной передачи персональных данных в контексте новых законов? Запрет, налагаемый на хранение персональных данных всех жителей Российской Федерации, предполагает запрет на саму ТППД, что приводит к сложному выбору;
  • как оператор сможет понять, что те или иные персональные данные закреплены за россиянином;
  • смогут ли найти «общий язык» 152 закон и Конвенция ETS номер 108? Учитывая взаимоисключающие положения, поиск общих оснований будет даваться нелегко;
  • каким образом регуляторы собираются определять физическое местонахождение персональных данных граждан России;
  • какое влияние принятый закон будет оказывать на иностранные фирмы, специализирующиеся на обработке персональных данных при опоре на законодательство своей страны и на вышеупомянутую Конвенцию.

На данный момент продолжаются активные обсуждения вопроса о том, как обеспечить безопасную трансграничную передачу данных

В связи с всеобщим недовольством 242 статьей, члены Государственной Думы уже рассматривали возможные поправки и законопроекты, которые смогли бы внести ясность в сложившуюся противоречивую ситуацию. Однако на данный момент у властей нет исчерпывающих ответов на вопрос о том, каким образом будут хранится и подвергаться обработке персональные данные россиян.

Весьма закономерно, что упомянутые сложности поведут за собой неизбежное увеличение издержек для операторов, чьи базы данных находятся за пределами России. Стараясь усилить охрану персональных данных россиян, законодатели тем самым неизбежно сужают возможности ее использования и передачи. В связи с этим многие специалисты советуют операторам переносить свои базы данных на территорию России.

Видео: Что такое персональные данные

Международные договоры рф о трансграничной передаче персональных данных

В самом общем виде эти критерии можно свести к следующему выводу: законодательство о персональных данных является эффективным, т.е. предоставляющим адекватный уровень защиты, когда: 1) его требования понятны и исполнимы; 2) несоблюдение норм законодательства экономически невыгодно и чревато для нарушителя последствиями, перекрывающими выгоду от их несоблюдения; 3) существует эффективная система контроля и надзора, а также судебной защиты нарушенных прав. Оценивая степень соответствия Российской Федерации приведенным европейским критериям, неизбежно приходишь к пессимистическим выводам. Вряд ли европейские чиновники положительно оценят уровень развития законности и степени защиты фундаментальных прав и свобод в России, принимая во внимание нынешний вектор развития регулирования сети Интернет, а также существующую геополитическую ситуацию.

Как отмечается, «и Европейская Комиссия, и Департамент Торговли США хотели создать видимость защиты неприкосновенности частной жизни по европейским стандартам, однако то, насколько она была на самом деле защищена, было безразлично обоим ведомствам. Главной целью данного соглашения было сохранение возможности обмена данными между двумя ключевыми экономическими регионами, и она была достигнута» (см.: Heisenberg D. Negotiating Privacy: The European Union, the United States, and Personal Data Protection // Lynne Rienner Publishers.
2005. P. 160).

— наличие кодексов поведения (code of conduct), подготовленных ассоциациями и иными объединениями операторов в соответствующих индустриях и одобренных уполномоченным органом по защите субъектов персональных данных (ст. 40 Регламента 2016 г.).

Международные договоры рф о трансграничной передаче персональных данных

ICC policy statement on cross-border law enforcement access to company data — current issues under data protection and privacy law 07.02.2012.

9. Следует отметить, что в странах Европейского союза установлены существенные ограничения на трансграничную передачу данных, при этом несмотря на то, что все страны, входящие в состав ЕС, являются сторонами Конвенции 1981 г., приоритет для них имеют правила, установленные именно в законодательстве Европейского союза как закрепляющие более высокий уровень защиты прав субъектов персональных данных. Возможность отхода от принципа недопустимости ограничений на трансграничные потоки персональных данных между странами — участницами Конвенции 1981 г.

Прежде чем начать проводить передачу данных, входящих в категорию персональных, через государственную границу, оператор, на которого возлагается данная задача, обязан убедиться в том, что принимающее сведения иностранное государство, через границу которого также будут переданы интересующие нас сведения, находится в процессе обеспечения адекватной защиты прав, имеющихся у субъекта искомых персональных данных.

2. Передача персональных сведений, осуществляемая через государственные границы на территорию иностранного государства, которое находится в процессе обеспечения так называемой адекватной (соответствующей требованиям ситуации) защиты прав субъекта рассматриваемых персональных данных, должна в обязательном порядке проводиться согласно Федеральному закону № 152.

Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных. Государство, не являющееся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности персональных данных.

Что же касается правил передачи, при которых не учитываются из ряда вон выходящие обстоятельства, то есть, пересылка сведений в другое государство производится в обычном режиме, чтобы организовать достойный (адекватный ситуации) уровень защиты сведений, необходимо проводить комплексные мероприятия различного типа, которые входят в основную часть работ, направленных на создание безопасной передачи персональных данных. Для этого разрабатываются следующие документы.

1. В первую очередь происходит разработка общих положений компании, а именно:

  • определяется ее организационная структуры;
  • разрабатывается список стран, в которые будет осуществляться передача персональных данных;
  • определяются цели передачи и приема с последующей обработкой передаваемых сведений за границей.

2.

  • наличием запретов на вывоз с территории Российской Федерации средств, имеющих в своей структуре средства шифрования;
  • нюансами законодательства того государства, куда происходит ввоз криптографических инструментов и где выдается разрешения соответствующих органов на ввоз подобного оборудования.

Не каждый гражданин без подготовки может совершить весь порядок действий и не допустить ошибку.

Как обеспечить безопасность

В целях обеспечения надежной передачи данных из одного государства в другое, важно реализовать ряд мероприятий, направленных на защиту каналов отправки персональных сведений.

На данный момент существует множество методик, способных поддерживать защиту информации на виртуальных ресурсах. Однако в каждом случае все равно существует вероятность взлома механизмов и получения доступа к файлам.

Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council.

2) договорных условий, разработанных под конкретный случай (ad hoc contract clauses), одобренных уполномоченным органом по защите персональных данных страны — экспортера данных; 3) так называемых обязательных корпоративных правил (binding corporate rules, BCR), представляющих собой свод правил обработки данных, принятых в рамках компании или группы компаний и порождающих соответствующие права для субъектов персональных данных.

Проставляются подписи лиц, состоящих:

  • в головном отделе организации;
  • в зарубежном филиале.

Данные лица отвечают за выполнение заключительных положений, и именно поэтому обязаны завизировать их в письменном виде личной подписью.

Видео – Презентация «Защита персональных данных»

Подведем итоги

Преимущества такой тщательной подготовки состоят в том, что при передаче персональных данных уменьшается риск проявления каких-либо угроз в их сторону за счет существующего руководства, положения которого определены довольно четко.

Кроме того, происходит повышение ответственности лиц, занимающих какую-либо должность, и отвечающих за соблюдение определенных на законодательном уровне норм информационной безопасности.

Надеемся, понятие трансграничной передачи данных стало вам немного более понятным.

Для проведения таких операций нужно было создать законодательство, регламентирующее порядок реализации и возможные проблемы.

Правовое регулирование

На данный момент в российском законодательстве отсутствуют строгие условия обмена информацией с иностранными резидентами.

Ограничения и исключения

В законе № 152-ФЗ определены запреты, которые распространяются на трансграничную передачу данных. Ограничения действуют в целях обеспечения конституционных положений, нравственности, прав граждан и для поддержания обороноспособности страны.

В то же время в данном законе отсутствуют какие-либо иные правила. В частности, в нем не отражены условия, при которых государствам, реализующим механизмы защиты личной информации, могла бы ограничиваться передача.

Данное основание соответствует положениям п. 3 ч. 2 ст. 10 Закона о персональных данных (см. комментарий к нему). 7. После того как трансграничная передача данных состоялась, оператор — импортер данных осуществляет обработку персональных данных в соответствии с законодательством о персональных данных страны своего пребывания. Законодательство о персональных данных «не следует» за данными.
Однако если такой иностранный оператор подпадает под действие Закона о персональных данных, осуществляя деятельность, направленную на территорию Российской Федерации (см. комментарий к ст. 1 настоящего Закона), то в части сбора и обработки персональных данных, собираемых на территории Российской Федерации, к нему применяются положения Закона о персональных данных, в частности требования локализации (ч. 5 ст. 18). 8.

Похожих постов не найдено

Комментариев нет, будьте первым кто его оставит