Как оформить передачу персональных данных за границу? - Komsindrom.ru

Как оформить передачу персональных данных за границу?

На страже безопасности, или Локализация персональных данных

Наделавший немало шума закон о локализации персональных данных россиян вступил в силу с 1 сентября и действует уже два месяца (Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»; далее – Закон № 242-ФЗ). Закон требует, чтобы при сборе персональных данных, в том числе посредством Интернета, оператор обеспечивал запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных россиян с использованием баз данных, находящихся на территории России (ст. 2 Закона № 242-ФЗ, ч. 5 ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Однако исполнить это требование оказалось не так просто, поскольку многие нюансы законодатель не уточнил, что вызвало немало вопросов у представителей бизнеса.

Тем не менее, к моменту вступления Закона № 242-ФЗ в силу, многие из этих вопросов нашли ответ – во многом этому поспособствовали размещенное на сайте Минкомсвязи России официальное разъяснение ведомства, а также активная позиция юристов. Дискуссия продолжается и по сей день – так, ряд наиболее значимых вопросов был затронут экспертами на конференции, организованной газетой The Moscow Times в конце сентября. Разберемся в наиболее важных выводах и рекомендациях, высказанных специалистами.

Прежде чем углубляться в вопросы реализации этого закона, председатель Временной комиссии Совета Федерации по развитию информационного общества Людмила Бокова призывает понять, какие именно цели преследует этот закон. «Нужно понимать актуальность и необходимость этого документа, так как только в условиях нахождения персональных данных российских граждан на территории своей страны государство может гарантировать их надлежащую защиту», – заявляет она. Вместе с тем Людмила Бокова отмечает, что любой правовой акт должен отвечать принципу правовой определенности, поскольку только в этом случае правовая мера будет действительно эффективной и способной достичь той цели, которая преследуется в законе. Однако еще до вступления в силу Закона № 242-ФЗ стало ясно, что он данному требованию не отвечает, это и вызвало потребность в разъяснении целого ряда нюансов, связанных с применением этого акта.

Что такое база данных?

В тексте Закона № 242-ФЗ не уточнено, какие именно базы данных, содержащие персональные данные россиян, должны находиться на территории нашей страны. В связи с этим возник закономерный вопрос, может ли база данных быть представлена в любой форме, в том числе бумажной, или все-таки к ней предъявляются какие-то объективные требования?

Отвечая на него, Минкомсвязь России напоминает, что базой данных является совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью ЭВМ (абз. 2 ч. 2 ст. 1260 ГК РФ). В связи с этим ведомство уточняет, что с помощью ЭВМ одновременно должны быть обеспечены поиск и любая обработка соответствующей информации, что представляется возможным только при условии наличия данных в электронной форме.

Кому необходимо выполнять требования закона?

Если руководствоваться положениями Закона 242-ФЗ, очевидно, что его требования адресованы оператору персональных данных, однако руководитель группы правовой защиты информации юридической компании «Пепеляев Групп» Дмитрий Зыков отмечает, что перечень таких лиц гораздо шире и, хотя прямо в тексте закона это не указано, по его смыслу требования о локализации обязаны соблюдать следующие субъекты.

Оператор персональных данных (например, работодатель) – то есть лицо, самостоятельно или совместно с другими организующее и/или осуществляющее обработку персональных данных, а также определяющее цели такой обработки, состав персональных данных и действия, с ними совершаемые (п. 2 ст. 3 закона о персональных данных). Отдельно стоит упомянуть об иностранных организациях, чьи представительства действуют на территории России. Как правило, персональные данные работников таких представительств направляются в головную компанию, находящуюся за рубежом. Но несмотря на то, что такая ситуация встречается достаточно часто, большинство руководителей не учитывают один существенный нюанс – операторами персональных данных иностранные компании в этом случае не являются.

Дмитрий Зыков, руководитель группы правовой защиты информации юридической компании «Пепеляев Групп»:

«Лицом, которое в силу закона обязано осуществлять обработку этих данных является исключительно работодатель, то есть то лицо, с которым соответствующий работник заключил трудовой договор. Вопрос: на каком основании персональные данные передаются в головную иностранную организацию? Точно не в рамках осуществления трудовых отношений между российским юридическим лицом и российским гражданином. Для каких целей эта передача осуществляется? Чаще всего такая передача осуществляется исключительно в интересах самого иностранного юридического лица – для статистических целей, аналитики, даже для принятия решений по кадровым перемещениям российских работников в рамках российского юридического лица. Но по закону прямого подчинения российского работника иностранному юридическому лицу нет. Более того, если мы говорим, что иностранное юридическое лицо действует в интересах российского юридического лица, то у нас опять же по закону требуется поручение российского юридического лица третьей стороне осуществить какие-либо действия с персональными данными. И появляется еще одна категория лиц, которые участвуют в обработке персональных данных – лицо, не являющееся оператором, но которое осуществляет соответствующую обработку (ч. 3 ст. 6 закона о персональных данных). И в этом случае так называемым заказчиком должно быть выдано исполнителю-обработчику соответствующее поручение».

Обладатель информации (например, компания, обладающая сведениями о коммерческой тайне контрагента) – то есть лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать к ней доступ (п. 5 ст. 2 Федерального закона от от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; далее – закон об информации).

Оператор операционной системы (например, пейролл-провайдеры, которые осуществляют обработку персональных данных работников в целях администрирования и расчетов с персоналом компании) – гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных, то есть собственник технических средств, используемых для обработки содержащейся в базах данных информации или лицо, с которым он заключил договор об эксплуатации информационной системы (п. 12 ст. 2, ч. 2 ст. 13 закона об информации). Под это понятие подпадают не только операторы персональных данных, но и лица, которые помогают им заниматься теми или иными вопросами.

Получается, что требования по локализации персональных данных должно выполнять любое лицо, которое имеет на основании закона право так или иначе распоряжаться соответствующей информацией вне зависимости от того, считается ли он оператором персональных данных или нет.

Обязательно ли локализовать иностранные базы данных, если персональные данные уже локализованы в России?

Из текста Закона № 242-ФЗ не вполне ясно, распространяется ли требование о локализации на случаи внесения персональных данных россиян в зарубежные базы данных, если эти данные ранее уже были локализованы. Этот вопрос актуален, прежде всего, для тех операторов, которые задействуют в своей деятельности несколько баз данных, в том числе зарубежных. В том случае, когда персональные данные уже обработаны ими на территории России, локализация каждой из таких иностранных баз данных приведет к существенному и необоснованному увеличению затрат.

В связи с этим Минкомсвязь России уточняет, если в отношении определенного набора персональных данных ранее уже были выполнены требования закона, то повторная локализация таких данных не требуется, поскольку цели закона достигнуты. Соответственно, если персональные данные были при сборе записаны в базу данных, расположенную на территории России, то впоследствии они могут вноситься оператором в принадлежащую ему электронную базу данных, находящуюся за пределами нашей страны.

Допускается ли параллельная обработка персональных данных россиян с помощью российских и зарубежных баз данных одновременно?

Минкомсвязь России придерживается мнения, что обработка персональных данных россиян на территории другого государства возможна, но только если:

такая деятельность подпадает под предусмотренные законом случаи – например, для достижения целей, предусмотренных международным договором, для осуществления правосудия, для исполнения полномочий органов государственной власти, для осуществления профессиональной деятельности журналиста и др. (п. 2-4, п. 8 ч. 1 ст. 6, ч. 5 ст. 18 закона о персональных данных);

на территории России находятся базы данных, в которых содержится равный или больший находящегося за пределами нашей страны объем персональных данных. Таким образом, если персональные данные субъекта претерпели какие-либо изменения, то уточнения необходимо внести, прежде всего, в информацию, содержащуюся в российских базах данных, и уже потом, если это необходимо, актуализировать ее за рубежом.

Допустима ли трансграничная передача персональных данных?

Поскольку Закон № 242-ФЗ не затронул положений о трансграничной передаче данных, Минкомсвязь России делает вывод, что она возможна. Персональные данные граждан, первоначально внесенные в базу данных на территории нашей страны, могут, как отметило ведомство, далее передаваться в базы данных, расположенные за пределами России с соблюдением положений о трансграничной передаче данных. Такие «вторичные» базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр. Более того, Минкомсвязь России отдельно подчеркнула, что предоставление удаленного доступа к российским базам данных с территории другого государства не запрещается.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу, обеспечивающим адекватную защиту прав субъектов персональных данных (ст. 3, ст. 12 закона о персональных данных).

Читайте также:  Как поступить с работником, если его образование не соответствует должности?

Как определить, что персональные данные принадлежат россиянам?

Далеко не все операторы используют конкретизирующую информацию, которая могла бы подтвердить гражданство субъекта (паспортные или иные данные). Поэтому существует риск того, что ограничить круг лиц, чьи персональные данные должны быть локализованы, гражданами России не удастся.

Разрешая этот вопрос, Минкомсвязь России отметила, что поскольку вопрос о порядке определения гражданства субъектов персональных данных в нормативном порядке не урегулирован, операторы могут решать данный вопрос самостоятельно, а если этот вопрос оператором не решен, то применение требований Закона № 242-ФЗ возможно ко всем персональным данным, сбор которых был осуществлен на территории России.

На данный момент все наиболее существенные вопросы, связанные с локализацией персональных данных россиян, действительно нашли свои ответы. «Большая часть того, что было необходимо бизнесу для комфортного ведения своей деятельности, было учтено. Так или иначе я отношу эту работу к маленькой, но победе. Понимание и ясность в исполнении закона сдвинулось в нашу пользу со стороны запретительной и непонятной в сторону, очевидную к исполнению», – отмечает Интернет-омбудсмен Дмитрий Мариничев.

Однако юристы советуют не воспринимать позицию Минкомсвязи России как панацею. «Насколько комментарии ведомства можно считать официальными и подлежащими применению, остается вопросом, потому что так или иначе эти разъяснения не имеют законной силы – силы, равной закону. И со временем толкование закона может меняться. Надеемся, что в ближайшие полгода практика применения закона сложится, и уже можно будет понимать, насколько успешно закон будет функционировать», – рассуждает Дмитрий Зыков.

Надежда, что в будущем разъяснения примут характер закона, есть – работа над толкованием Закона № 242-ФЗ продолжается, и наиболее актуальные проблемы его применения становятся предметом обсуждения Временной комиссии Совета Федерации по развитию информационного общества. «На площадке комиссии мы стараемся найти ответы на все вопросы, чтобы оператору было понятнее, что делать, – делится Людмила Бокова. – И вполне возможно, что в дальнейшем сформулированные выводы найдут свое отражение в нормативном регулировании».

Отправка персональных данных за рубеж и соблюдение Закона «О персональных данных»

В последнее время участились случаи обращения со стороны компаний (в том числе с иностранным участием), использующих зарубежные CRM и ERP-системы, с просьбой разъяснить положения действующего законодательства в части соблюдения Закона «О персональных данных» при отправке персональных данных граждан Российской Федерации на зарубежные сервера.

С 01.09.2015 года в силу вступили поправки к Закону «О персональных данных», устанавливающие обязанность хранения данных граждан Российской Федерации на территории РФ.

Данная новелла в законодательстве была неоднозначно воспринята участниками рынка, поскольку многие трактуют ее как невозможность отправки и хранения корпоративной информации на зарубежных серверах.

В связи с различными подходами к использованию персональных данных за пределами РФ, в рамках настоящей статьи мы коснемся возможностей отправки персональных данных граждан за границу с учетом требований Закона «О персональных данных».

В соответствии с п. 5 ст. 18 Федерального закона о «Персональных данных» (далее «Закон о персональных данных») с 01.09.2015 года при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Фактически это означает, что в случае сбора организацией персональных данных физических лиц, являющихся гражданами РФ, указанные данные должны содержаться в базах данных, расположенных на территории РФ.

Закон, при этом, не ограничивает возможности отправки или дублирования персональных данных физических лиц путем их передачи для хранения, накопления и/или систематизации за пределами РФ при условии соблюдения требований Закона «О персональных данных» (так называя «трансграничная передача данных»).

Согласно ст. 12 Закона «О персональных данных», трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.), а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с законом.

Таким образом, по смыслу указанных норм трансграничная передача персональных данных на территорию государств, являющихся членами Совета и Европы или иных государств, перечень которых утвержден Приказом Роскомнадзора №274 от 15.03.2013 г. представляется возможной при соблюдении требований Федерального закона «О персональных данных», а именно: получение предварительного согласия субъекта персональных данных в любой, позволяющей подтвердить факт его получения форме* (п. 1 ст. 9 ФЗ «О персональных данных»).

Примечание* : Такое согласие может быть получено, в частности путем заполнения специальной формы на сайте, подписания заявления или иным другим способом.

Перечень стран, обеспечивающих адекватную защиту прав субъектов персональных данных (в ред. Приказа Роскомнадзора от 29.10.2014 N152):

  • Австралия — Австралийский союз
  • Аргентинская Республика
  • Государство Израиль
  • Канада
  • Королевство Марокко
  • Малайзия
  • Мексиканские Соединенные Штаты
  • Монголия
  • Новая Зеландия
  • Республика Ангола
  • Республика Бенин
  • Республика Кабо-Верде
  • Республика Корея
  • Республика Перу
  • Республика Сенегал
  • Тунисская Республика
  • Республика Чили

Исходя из вышеизложенного можно сделать вывод, что отправка персональных данных граждан РФ за пределы РФ возможна при условии получения согласия субъекта персональных данных на трансграничную передачу.

Таким образом, во избежание претензий со стороны контролирующих органов, следует учитывать, что отправка персональных данных граждан РФ за пределы Российской Федерации возможна при соблюдении следующих условий:

  1. Страна, на территорию которой передаются персональные данные, является стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных либо данная страна находится в Перечне, утвержденном приказом Роскомнадзора №274 от 15.03.2013 г.;
  2. До отправки персональных данных получено согласие физического лица на передачу его данных за пределы РФ.

Несоблюдение одного из вышеуказанных условий влечет невозможность законной трансграничной передачи персональных данных физического лица.

Важно отметить, что указанные выше ограничения касаются только персональных данных физических лиц и не распространяются на сведения о юридических лицах, включая данные об исполнительном органе и адресе места нахождения.

Трансграничная передача персональных данных: что это

Многие из нас порой сталкиваются с явлениями, которых ранее никогда не встречали. Одним из таких явлений можно назвать трансграничную передачу данных – это пересылка сведений, проходящая в особенном формате. Каком именно, при каких условиях и многое другое – вопросы, которые часто интересуют специалистов, работающих в сфере обеспечения информационной безопасности. Давайте разберем данную информацию в представленном материале, и ответим на давно интересующие вас вопросы.

Трансграничная передача персональных данных: что это

Что такое трансграничная передача персональных данных

В первую очередь необходимо разобрать, что же таит в себе это непонятное для многих явление – трансграничная передача персональных данных.

Так, под данным термином кроется такая передача персональных данных, при которых оператор направляет их непосредственно через государственную границу нашей страны, при этом, адресатом данной передачи является:

  • какой-либо орган властной структуры иного государства;
  • физическое лицо иностранного государства;
  • юридическое лицо.

Вопрос, касающийся передачи данных через границу, поднялся тогда, когда началось объединение государств Европы. В то время необходимо было сделать следующее:

  • создать унифицированное законодательство в данной области;
  • узаконить передачу данных через границы различных государств.

Персональные данные могут в некоторых случаях передаваться без разрешения на то их субъекта

Благодаря возникновению перечисленных необходимостей, произошло создание так называемой Конвенции, которая урегулировала общие вопросы относительно данного явления.

Однако, требовалось также решить вопрос с защитой персональных данных, точнее, с сохранением ее на должном уровне после того, как они окажутся на территории иностранного государства. Дело в том, что:

  • гражданин конкретной страны имеет реальную возможность отстоять свои права и интересы, находясь на территории государства, к которому он принадлежит;
  • при этом, шансы на осуществление защиты интересов на территории иной страны в реальности крайне малы, сделать это представляется практически невозможно.

Правила трансграничной передачи данных

Каким же образом происходит осуществление так называемой трансграничной передачи информационных сведений?

Какие правила регулируют проведение данной процедуры?

На этот вопрос отвечает одна из статей Федерального закона №152, посредством которого осуществляется регулирование связанных с персональными данными нюансов. Давайте рассмотрим обозначенные в ней установки.

1. Прежде чем начать проводить передачу данных, входящих в категорию персональных, через государственную границу, оператор, на которого возлагается данная задача, обязан убедиться в том, что принимающее сведения иностранное государство, через границу которого также будут переданы интересующие нас сведения, находится в процессе обеспечения адекватной защиты прав, имеющихся у субъекта искомых персональных данных.

2. Передача персональных сведений, осуществляемая через государственные границы на территорию иностранного государства, которое находится в процессе обеспечения так называемой адекватной (соответствующей требованиям ситуации) защиты прав субъекта рассматриваемых персональных данных, должна в обязательном порядке проводиться согласно Федеральному закону № 152. При этом, такая передача может:

Целью создания таких ограничений и запретов является защита:

  • основ, на которых был создан конституционный строй нашей страны;
  • нравственности;
  • прав населения нашего государства;
  • здоровья населения Российской Федерации;
  • законных интересов граждан нашей страны
  • обеспечения на должном уровне оборонительной способности и безопасности государства.

3. Осуществление передачи персональной информации трансграничного типа на территорию иностранного государства может производиться без создания и обеспечения адекватного уровня защиты только в тех случаях, когда:

  • так называемый субъект персональных данных (физическое лицо, которое имеет к искомым данным прямое или косвенное отношение) дал письменное согласие на осуществление такой их передачи;
  • такой тип передачи предусматривается согласно заключенным Российской Федерацией международным договорам касательно вопросов о выдаче так называемых виз;
  • когда данные обстоятельства передачи персональных данных предусматриваются заключенными нашей страной международными договорами об оказании помощи гражданам по делам правовой, семейной, уголовной и гражданской категорий;
  • при условии, когда данные обстоятельства передачи предусматриваются на федеральном уровне, при наличии необходимости осуществить передачу ради защиты государства, обеспечения его оборонительной функции, и протекции конституционного строя Российской Федерации;
  • для исполнения заключенного на официальном уровне договора, одной из сторон которого является субъект, имеющий к искомым персональным данным прямое или косвенное отношение;
  • ради защиты здоровья, жизни или интересов субъекта персональных данных, представляющихся жизненно важными, а также ради защиты тех же наименований относительно иных лиц, при условии, что не имелось возможности получить от них письменное подтверждение и разрешение на передачу сведений.

Как видите, список исключений довольно широк, однако, необходимо отметить, что каких-либо противоречий он не вызывает, так как обоснованность каждого из пунктов вполне очевидно.

Читайте также:  Права работника по Трудовому кодексу: гарантия справедливости трудовых отношений

Федеральный закон «О персональных данных». Статья 12. Трансграничная передача персональных данных

Что же касается правил передачи, при которых не учитываются из ряда вон выходящие обстоятельства, то есть, пересылка сведений в другое государство производится в обычном режиме, чтобы организовать достойный (адекватный ситуации) уровень защиты сведений, необходимо проводить комплексные мероприятия различного типа, которые входят в основную часть работ, направленных на создание безопасной передачи персональных данных. Для этого разрабатываются следующие документы.

1. В первую очередь происходит разработка общих положений компании, а именно:

  • определяется ее организационная структуры;
  • разрабатывается список стран, в которые будет осуществляться передача персональных данных;
  • определяются цели передачи и приема с последующей обработкой передаваемых сведений за границей.

2. Далее осуществляется разработка и определение так называемых правовых обоснований передачи сведений персональной категории через границу, которые воплощаются в виде нормативно-правовой документации, которую в дальнейшем используют в качестве руководства.

3. Производится подробное описание объекта, подлежащего защите.

4. Устанавливаются конкретные характеристики пересылаемых персональных сведений, то есть определяются:

  • категории пересылаемых в иностранное государство персональных данных;
  • категории субъектов данных сведений;
  • методики обработки данной информации, которые могут быть полностью автоматизированным, не автоматизированными, или комбинированными.

5. Также осуществляется разработка регламента обеспечения безопасного взаимного обмена данными интересующей нас категории с иностранными представительствами компании:

  • описывается информационная система персональных данных, из которой осуществляется передача сведения;
  • описывается информационная система персональных данных, в которую осуществляется передача данных;
  • устанавливаются каналы передачи сведений;
  • определяются стандарты пересылки сведений;
  • прописываются протоколы передачи данных и тому подобное.

6. Производится подробное описание:

  • мероприятий, направленных на обеспечение должного уровня защиты данных;
  • средств, которые используются с той же целью (технические, в том числе из категории криптографических).

7. Также определяется состав законодательных актов иностранного государства, в которое осуществляется пересылка сведений, относительно вопросов, которые отражают защиту персональных данных.

8. Также разрабатываются заключительные положения. Какие шаги это в себя включает, рассмотрим в нижеследующей таблице.

Таблица 1. Этапы разработки заключительных положений

Первый этапВторой этапТретий этап
В первую очередь происходит разработка обязательств зарубежного филиала организации соблюдать законодательные установки, связанные с обработкой персональных данных государства, на территории которого он расположен.Во вторую очередь устанавливаются обязательства, касающиеся обеспечения требуемого уровня защиты сведений персональной категории, которые зарубежными филиалами принимаются и обрабатываются.Проставляются подписи лиц, состоящих:
  • в головном отделе организации;
  • в зарубежном филиале.

    Данные лица отвечают за выполнение заключительных положений, и именно поэтому обязаны завизировать их в письменном виде личной подписью.

  • Видео – Презентация «Защита персональных данных»

    Подведем итоги

    Преимущества такой тщательной подготовки состоят в том, что при передаче персональных данных уменьшается риск проявления каких-либо угроз в их сторону за счет существующего руководства, положения которого определены довольно четко.

    Кроме того, происходит повышение ответственности лиц, занимающих какую-либо должность, и отвечающих за соблюдение определенных на законодательном уровне норм информационной безопасности.

    Надеемся, понятие трансграничной передачи данных стало вам немного более понятным. При условии, что остались какие-либо «белые пятна», мы рекомендуем вам еще раз прочесть данный материал, или обратиться к более подробным руководствам, описывающим данное явление.

    Передача сведений через государственные границы проводится согласно законодательным нормам

    Понравилась статья?
    Сохраните, чтобы не потерять!

    На страже безопасности, или Локализация персональных данных

    Наделавший немало шума закон о локализации персональных данных россиян вступил в силу с 1 сентября и действует уже два месяца (Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»; далее – Закон № 242-ФЗ). Закон требует, чтобы при сборе персональных данных, в том числе посредством Интернета, оператор обеспечивал запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных россиян с использованием баз данных, находящихся на территории России (ст. 2 Закона № 242-ФЗ, ч. 5 ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Однако исполнить это требование оказалось не так просто, поскольку многие нюансы законодатель не уточнил, что вызвало немало вопросов у представителей бизнеса.

    Тем не менее, к моменту вступления Закона № 242-ФЗ в силу, многие из этих вопросов нашли ответ – во многом этому поспособствовали размещенное на сайте Минкомсвязи России официальное разъяснение ведомства, а также активная позиция юристов. Дискуссия продолжается и по сей день – так, ряд наиболее значимых вопросов был затронут экспертами на конференции, организованной газетой The Moscow Times в конце сентября. Разберемся в наиболее важных выводах и рекомендациях, высказанных специалистами.

    Прежде чем углубляться в вопросы реализации этого закона, председатель Временной комиссии Совета Федерации по развитию информационного общества Людмила Бокова призывает понять, какие именно цели преследует этот закон. «Нужно понимать актуальность и необходимость этого документа, так как только в условиях нахождения персональных данных российских граждан на территории своей страны государство может гарантировать их надлежащую защиту», – заявляет она. Вместе с тем Людмила Бокова отмечает, что любой правовой акт должен отвечать принципу правовой определенности, поскольку только в этом случае правовая мера будет действительно эффективной и способной достичь той цели, которая преследуется в законе. Однако еще до вступления в силу Закона № 242-ФЗ стало ясно, что он данному требованию не отвечает, это и вызвало потребность в разъяснении целого ряда нюансов, связанных с применением этого акта.

    Что такое база данных?

    В тексте Закона № 242-ФЗ не уточнено, какие именно базы данных, содержащие персональные данные россиян, должны находиться на территории нашей страны. В связи с этим возник закономерный вопрос, может ли база данных быть представлена в любой форме, в том числе бумажной, или все-таки к ней предъявляются какие-то объективные требования?

    Отвечая на него, Минкомсвязь России напоминает, что базой данных является совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью ЭВМ (абз. 2 ч. 2 ст. 1260 ГК РФ). В связи с этим ведомство уточняет, что с помощью ЭВМ одновременно должны быть обеспечены поиск и любая обработка соответствующей информации, что представляется возможным только при условии наличия данных в электронной форме.

    Кому необходимо выполнять требования закона?

    Если руководствоваться положениями Закона 242-ФЗ, очевидно, что его требования адресованы оператору персональных данных, однако руководитель группы правовой защиты информации юридической компании «Пепеляев Групп» Дмитрий Зыков отмечает, что перечень таких лиц гораздо шире и, хотя прямо в тексте закона это не указано, по его смыслу требования о локализации обязаны соблюдать следующие субъекты.

    Оператор персональных данных (например, работодатель) – то есть лицо, самостоятельно или совместно с другими организующее и/или осуществляющее обработку персональных данных, а также определяющее цели такой обработки, состав персональных данных и действия, с ними совершаемые (п. 2 ст. 3 закона о персональных данных). Отдельно стоит упомянуть об иностранных организациях, чьи представительства действуют на территории России. Как правило, персональные данные работников таких представительств направляются в головную компанию, находящуюся за рубежом. Но несмотря на то, что такая ситуация встречается достаточно часто, большинство руководителей не учитывают один существенный нюанс – операторами персональных данных иностранные компании в этом случае не являются.

    Дмитрий Зыков, руководитель группы правовой защиты информации юридической компании «Пепеляев Групп»:

    «Лицом, которое в силу закона обязано осуществлять обработку этих данных является исключительно работодатель, то есть то лицо, с которым соответствующий работник заключил трудовой договор. Вопрос: на каком основании персональные данные передаются в головную иностранную организацию? Точно не в рамках осуществления трудовых отношений между российским юридическим лицом и российским гражданином. Для каких целей эта передача осуществляется? Чаще всего такая передача осуществляется исключительно в интересах самого иностранного юридического лица – для статистических целей, аналитики, даже для принятия решений по кадровым перемещениям российских работников в рамках российского юридического лица. Но по закону прямого подчинения российского работника иностранному юридическому лицу нет. Более того, если мы говорим, что иностранное юридическое лицо действует в интересах российского юридического лица, то у нас опять же по закону требуется поручение российского юридического лица третьей стороне осуществить какие-либо действия с персональными данными. И появляется еще одна категория лиц, которые участвуют в обработке персональных данных – лицо, не являющееся оператором, но которое осуществляет соответствующую обработку (ч. 3 ст. 6 закона о персональных данных). И в этом случае так называемым заказчиком должно быть выдано исполнителю-обработчику соответствующее поручение».

    Обладатель информации (например, компания, обладающая сведениями о коммерческой тайне контрагента) – то есть лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать к ней доступ (п. 5 ст. 2 Федерального закона от от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; далее – закон об информации).

    Оператор операционной системы (например, пейролл-провайдеры, которые осуществляют обработку персональных данных работников в целях администрирования и расчетов с персоналом компании) – гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных, то есть собственник технических средств, используемых для обработки содержащейся в базах данных информации или лицо, с которым он заключил договор об эксплуатации информационной системы (п. 12 ст. 2, ч. 2 ст. 13 закона об информации). Под это понятие подпадают не только операторы персональных данных, но и лица, которые помогают им заниматься теми или иными вопросами.

    Получается, что требования по локализации персональных данных должно выполнять любое лицо, которое имеет на основании закона право так или иначе распоряжаться соответствующей информацией вне зависимости от того, считается ли он оператором персональных данных или нет.

    Обязательно ли локализовать иностранные базы данных, если персональные данные уже локализованы в России?

    Из текста Закона № 242-ФЗ не вполне ясно, распространяется ли требование о локализации на случаи внесения персональных данных россиян в зарубежные базы данных, если эти данные ранее уже были локализованы. Этот вопрос актуален, прежде всего, для тех операторов, которые задействуют в своей деятельности несколько баз данных, в том числе зарубежных. В том случае, когда персональные данные уже обработаны ими на территории России, локализация каждой из таких иностранных баз данных приведет к существенному и необоснованному увеличению затрат.

    В связи с этим Минкомсвязь России уточняет, если в отношении определенного набора персональных данных ранее уже были выполнены требования закона, то повторная локализация таких данных не требуется, поскольку цели закона достигнуты. Соответственно, если персональные данные были при сборе записаны в базу данных, расположенную на территории России, то впоследствии они могут вноситься оператором в принадлежащую ему электронную базу данных, находящуюся за пределами нашей страны.

    Допускается ли параллельная обработка персональных данных россиян с помощью российских и зарубежных баз данных одновременно?

    Минкомсвязь России придерживается мнения, что обработка персональных данных россиян на территории другого государства возможна, но только если:

    такая деятельность подпадает под предусмотренные законом случаи – например, для достижения целей, предусмотренных международным договором, для осуществления правосудия, для исполнения полномочий органов государственной власти, для осуществления профессиональной деятельности журналиста и др. (п. 2-4, п. 8 ч. 1 ст. 6, ч. 5 ст. 18 закона о персональных данных);

    на территории России находятся базы данных, в которых содержится равный или больший находящегося за пределами нашей страны объем персональных данных. Таким образом, если персональные данные субъекта претерпели какие-либо изменения, то уточнения необходимо внести, прежде всего, в информацию, содержащуюся в российских базах данных, и уже потом, если это необходимо, актуализировать ее за рубежом.

    Допустима ли трансграничная передача персональных данных?

    Поскольку Закон № 242-ФЗ не затронул положений о трансграничной передаче данных, Минкомсвязь России делает вывод, что она возможна. Персональные данные граждан, первоначально внесенные в базу данных на территории нашей страны, могут, как отметило ведомство, далее передаваться в базы данных, расположенные за пределами России с соблюдением положений о трансграничной передаче данных. Такие «вторичные» базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр. Более того, Минкомсвязь России отдельно подчеркнула, что предоставление удаленного доступа к российским базам данных с территории другого государства не запрещается.

    Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу, обеспечивающим адекватную защиту прав субъектов персональных данных (ст. 3, ст. 12 закона о персональных данных).

    Как определить, что персональные данные принадлежат россиянам?

    Далеко не все операторы используют конкретизирующую информацию, которая могла бы подтвердить гражданство субъекта (паспортные или иные данные). Поэтому существует риск того, что ограничить круг лиц, чьи персональные данные должны быть локализованы, гражданами России не удастся.

    Разрешая этот вопрос, Минкомсвязь России отметила, что поскольку вопрос о порядке определения гражданства субъектов персональных данных в нормативном порядке не урегулирован, операторы могут решать данный вопрос самостоятельно, а если этот вопрос оператором не решен, то применение требований Закона № 242-ФЗ возможно ко всем персональным данным, сбор которых был осуществлен на территории России.

    На данный момент все наиболее существенные вопросы, связанные с локализацией персональных данных россиян, действительно нашли свои ответы. «Большая часть того, что было необходимо бизнесу для комфортного ведения своей деятельности, было учтено. Так или иначе я отношу эту работу к маленькой, но победе. Понимание и ясность в исполнении закона сдвинулось в нашу пользу со стороны запретительной и непонятной в сторону, очевидную к исполнению», – отмечает Интернет-омбудсмен Дмитрий Мариничев.

    Однако юристы советуют не воспринимать позицию Минкомсвязи России как панацею. «Насколько комментарии ведомства можно считать официальными и подлежащими применению, остается вопросом, потому что так или иначе эти разъяснения не имеют законной силы – силы, равной закону. И со временем толкование закона может меняться. Надеемся, что в ближайшие полгода практика применения закона сложится, и уже можно будет понимать, насколько успешно закон будет функционировать», – рассуждает Дмитрий Зыков.

    Надежда, что в будущем разъяснения примут характер закона, есть – работа над толкованием Закона № 242-ФЗ продолжается, и наиболее актуальные проблемы его применения становятся предметом обсуждения Временной комиссии Совета Федерации по развитию информационного общества. «На площадке комиссии мы стараемся найти ответы на все вопросы, чтобы оператору было понятнее, что делать, – делится Людмила Бокова. – И вполне возможно, что в дальнейшем сформулированные выводы найдут свое отражение в нормативном регулировании».

    Особенности трансграничной передачи персональных данных: регламент отправки, документы и безопасность

    Информация является важнейшей основой современных экономики и бизнеса. Всё больше экспертов полагают, что объёмы цифровой торговли и потоков трансграничных сведений будут расти быстрее, чем общие темпы глобальной торговли.

    Однако всё больше государств вводят барьеры, которые делают процесс отправки более дорогостоящим и трудоёмким. Некоторые из них обосновывают своё решение защитой конфиденциальности данных и кибербезопасности.

    Тем не менее, сегодня очевидно, что невозможно полностью оставить распространение информации через границы государств, но нужен баланс между свободным перемещением и безопасностью личных сведений.

    Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

    Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

    Что это такое?

    В российском законодательстве под этим явлением понимается передача персональных данных иностранному государству, иностранному государственному агентству, гражданину иностранного государства или иностранному юридическому лицу. Такое определение прописано в статье 3 редакции 2017 года Федерального Закона “О Персональных данных” от 27.07.2006.

    Регламент отправки

    Касательно регламента отправки, в случае необходимости трансграничной передачи персональных данных за пределы границы РФ любое лицо, выполняющее обработку такой информации, должно удостовериться, что права и интересы субъекта будут соблюдены в достаточной мере, то есть необходимо его согласие. Все страны, которые подписали Страсбургскую Конвенцию считаются способными обеспечивать достаточную защиту прав и интересов субъекта.

    Также существует официальный список, принятый Роскомнадзором, стран, которые тоже удовлетворяют требованиям защиты информации при переводе через границу. В частности, туда входят:

    Согласно закону “О Персональных данных” передача сведений через границу может быть запрещена по причине:

    • защиты конституционного строя Российской федерации;
    • нравственности;
    • здоровья;
    • прав и законных интересов граждан РФ;
    • национальной безопасности.

    В то же время, трансграничная передача персональных данных в страны, которые не способны обеспечить достаточную защиту такой информации, разрешена только в нескольких случаях:

    1. было получено письменного согласие соответствующего субъекта на трансграничную передачу персональных данных;
    2. трансграничная передача данных разрешена по условиям международным договоров, участником которых является Россия;
    3. перевод информации в другую страну разрешен по условиям принятых законов, если это необходимо для защиты конституционного строя РФ, государственной безопасности, а также поддержания жизнеспособности транспортной системы, защиты интересов лиц, общества, государства в транспортной сфере при незаконном вторжении;
    4. отправка конфиденциальных сведений осуществляется для выполнения контракта, участником которого является субъект;
    5. передача данных через границу требуется для защиты жизни субъекта, его здоровья или иных важных интересов, а получение письменного согласие лица не является возможным.

    Пошаговая инструкция

    Таким образом, для того, чтобы осуществить перевод конфиденциальных сведений в другую страну необходимо:

    1. Удостовериться в Роскомнадзоре, является ли страна, в которую планируется перевод, участником Страсбургской Конвенции или же находится в приказе Роскомнадзора “Об утверждении Перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных”.
    2. Получить согласие соответствующего субъекта персональных данных на их обработку для выполнения трансграничной передачи.
    3. Подписать договор со стороной, которая становится получателем данных.
    4. Проверить каналы передачи информации.

    Как обеспечить безопасность?

    Для надежной отправки данных необходимо провести защиту каналов передачи персональной информации. Если же эта операция производится через Интернет или через другие незащищённые каналы, то рекомендуется использовать средства шифрования.

    Какие документы сопровождают процедуру?

    1. Согласие того, чьи данные передаются.
    2. Договор с принимающей стороной.
    3. Письменное уведомление Роскомнадзора.

    Ответственность за незаконные действия

    Если же об использовании конфиденциальных сведений не будет сообщено в Роскомнадзор, то это будет считаться незаконным переводом информации в другую страну. Это является нарушением статьи 19.7 Административного Законодательства РФ, что соответствует наказанию в размере 5 тысяч рублей. Если уведомление Роскомнадзора будут совершено после того, как персональные будут обработаны, то это будет таким же правонарушением.

    Оформление согласия

    Правила заполнения этого документа описаны в Федеральном Законе № 152. Его содержание является достаточно произвольным, однако нужно помнить о необходимых элементах заявления:

    1. Фамилия, имя, отчество субъекта, его адрес и серия, номер паспорта или иного документа, удостоверяющее личность гражданина.
    2. Фамилия, имя, отчество лица или название организации, которое, предполагается, будет выполнять обработку.
    3. Цели, для которых выполняется выяснение персональных данных.
    4. Список сведений, которые будут обработаны.
    5. Информация об организации, которая будет совершать дальнейшие операции с данными.
    6. Описание того, какие действия будут происходить с данными.
    7. Срок, в течение которого действует согласие субъекта.
    8. Подпись лица, выполненная лично.
    • Скачать бланк согласия на трансграничную передачу персональных данных
    • Скачать образец согласия на трансграничную передачу персональных данных

    Также в части 1 статье 9 Закона № 152 описаны критерии, которым должен соответствовать документ о согласии. Главными же из них являются добровольное заполнение заявление и присутствие необходимых элементов в нём.

    Общепринятой же формы заполнения не существует, поэтому придется сделать это самостоятельно или при помощи соответствующих служб.

    В заключение можно сказать, что законодательство в сфере защиты персональных данных само по себе является в существенном усовершенствование, так как это довольно молодая сфера. Осуществление передачи персональных данных трансграничным способом и перевод подобных данных в другую страну является ещё более сложным явлением, так как зачастую необходимо учитывать законы несколько государств и международных организаций.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    +7 (812) 467-38-62 (Санкт-Петербург)

    Читайте также:  Чем отличается тарифная ставка от оклада?
    Ссылка на основную публикацию