Сегодня с распространением Интернета территориальных ограничений для ведения бизнеса с каждым днем становится все меньше и меньше. Число компаний, обращающихся за различного рода услугами к иностранным контрагентам растет, а российский клиент на глобальном рынке становится все более интересным. С распространением облачных технологий возросло число компаний, размещающих данные на зарубежных серверах.

Несмотря на все преимущества отсутствия территориальных рамок, неизбежно возникают вопросы выбора юрисдикции и права для разрешения вопросов, связанных с отношениями контрагентов из разных стран.

Особенно остро эта проблема возникает при рассмотрении вопроса передачи персональных данных между российскими и зарубежными партнерами.

Трансграничная передача

Напомним, что в соответствии с законодательством оператором признается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

При этом под обработкой понимается любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В соответствии со ст. 12 Федерального закона №152-ФЗ "О персональных данных" от 27.07.2006 оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления трансграничной передачи персональных данных.

Что означает "адекватная защита"?

Закон не содержит ни перечня мер, подпадающих под адекватную защиту, ни методов определения адекватности.

В п. 1 ст. 12 закона указывается, что иностранные государства, ратифицировавшие , точно обеспечивают так называемую адекватную защиту.

В настоящий момент в число стран, подписавших и ратифицировавших указанную конвенцию, входят: Австрия, Андорра, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Израиль, Ирландия, Исландия, Испания, Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Украина, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония.

Как же быть с остальными странами? Закон говорит, что государство, не являющееся стороной конвенции Совета Европы, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соответствия положениям указанной конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности ПДн. Обязанность контроля адекватных мер, применяемых к защите персональных данных, лежит на операторе, который должен изучить законодательство с требованиями, предъявляемыми к защите ПДн, и при отсутствии четких критериев еще и принять самостоятельно решение о том, есть или нет адекватная защита. Согласитесь, подход достаточно субъективный, а ведь оператор, помимо этого, является еще и лицом, заинтересованным в трансграничной передаче. Согласно той же ст. 12 уполномоченный орган (в настоящий момент таким органом является Роскомнадзор) по защите прав субъектов персональных данных утверждает перечень иностранных государств, не являющихся сторонами конвенции, но обеспечивающими адекватную защиту. На сайте Роскомнадзора опубликован проект приказа, в соответствии с которым к таким странам будут отнесены: Австралия, Аргентина, Израиль, Канада, Марокко, Малайзия, Мексика, Монголия, Новая Зеландия, Ангола, Бенин, Кабо-Верде, Республика Корея, Перу, Сенегал, Тунис, Чили, Специальный административный район Гонконг Китайской Народной Республики, Швейцария. При этом, согласно проекту, актуализацию перечня предполагается осуществлять не реже одного раза в год.

Передача персональных данных в страны, не обеспечивающие адекватную защиту, возможна в следующих случаях (перечень исчерпывающий):

Ответственность за нарушение правил трансграничной передачи

На данный момент законодательно закреплена только "общая" ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных, которая влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей (ст. 13.11 Кодекса об административных правонарушениях Российской Федерации).

Трансграничная передача ПДн – это передача ПДн оператором через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

По всей видимости, в ближайшем будущем дополнения в ФЗ "О персональных данных" еще будут – и это вызвано прежде всего неоднозначностью толкования российского законодательства и разнородностью нормативно-правовой базы тех стран, на территорию которых передаются персональные данные.

Совет операторам, осуществляющим трансграничную передачу ПДн

Несмотря на незначительность последствий, примите меры по комплексной защите ПДн – это поможет вам в спорной ситуации обосновать адекватность их защиты:

В российском законодательстве под этим явлением понимается передача персональных данных иностранному государству, иностранному государственному агентству, гражданину иностранного государства или иностранному юридическому лицу. Такое определение прописано в статье 3 редакции 2017 года Федерального Закона “О Персональных данных” от 27.07.2006 .

Регламент отправки

Касательно регламента отправки, в случае необходимости трансграничной передачи персональных данных за пределы границы РФ любое лицо, выполняющее обработку такой информации, должно удостовериться, что права и интересы субъекта будут соблюдены в достаточной мере, то есть необходимо его согласие. Все страны, которые подписали Страсбургскую Конвенцию считаются способными обеспечивать достаточную защиту прав и интересов субъекта.

Также существует официальный список, принятый Роскомнадзором, стран, которые тоже удовлетворяют требованиям защиты информации при переводе через границу. В частности, туда входят:

• Австралия.
• Аргентина.
• Израиль.
• Канада.
• Мексика.
• Новая Зеландия.

Согласно закону “О Персональных данных” передача сведений через границу может быть запрещена по причине :

• защиты конституционного строя Российской федерации;
• нравственности;
• здоровья;
• прав и законных интересов граждан РФ;
• национальной безопасности.

В то же время, трансграничная передача персональных данных в страны, которые не способны обеспечить достаточную защиту такой информации, разрешена только в нескольких случаях:

Пошаговая инструкция

Таким образом, для того, чтобы осуществить перевод конфиденциальных сведений в другую страну необходимо :

1. Удостовериться в Роскомнадзоре, является ли страна, в которую планируется перевод, участником Страсбургской Конвенции или же находится в приказе Роскомнадзора “Об утверждении Перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных” .
2. Получить согласие соответствующего субъекта персональных данных на их обработку для выполнения трансграничной передачи.
3. Подписать договор со стороной, которая становится получателем данных.
4. Проверить каналы передачи информации.

Как обеспечить безопасность?

Для надежной отправки данных необходимо провести защиту каналов передачи персональной информации . Если же эта операция производится через Интернет или через другие незащищённые каналы, то рекомендуется использовать средства шифрования.

ВНИМАНИЕ . Обычно не требуется регистрация в Роскомнадзоре или одобрение письменного согласия для трансграничной передачи. Согласие должно быть просто подписано соответствующим субъектом. Однако необходимо уведомить Роскомнадзор о трансграничной передаче персональных данных.

Какие документы сопровождают процедуру?

1. Согласие того, чьи данные передаются.
2. Договор с принимающей стороной.
3. Письменное уведомление Роскомнадзора.

Ответственность за незаконные действия

Если же об использовании конфиденциальных сведений не будет сообщено в Роскомнадзор, то это будет считаться незаконным переводом информации в другую страну. Это является нарушением статьи 19.7 Административного Законодательства РФ , что соответствует наказанию в размере 5 тысяч рублей. Если уведомление Роскомнадзора будут совершено после того, как персональные будут обработаны, то это будет таким же правонарушением.

Оформление согласия

Правила заполнения этого документа описаны в Федеральном Законе № 152 . Его содержание является достаточно произвольным, однако нужно помнить о необходимых элементах заявления :

Также в части 1 статье 9 Закона № 152 описаны критерии, которым должен соответствовать документ о согласии. Главными же из них являются добровольное заполнение заявление и присутствие необходимых элементов в нём.

Заявление необходимо предоставить строго в письменной форме, но возможно это сделать и через Интернет.

Общепринятой же формы заполнения не существует , поэтому придется сделать это самостоятельно или при помощи соответствующих служб.

В заключение можно сказать, что законодательство в сфере защиты персональных данных само по себе является в существенном усовершенствование, так как это довольно молодая сфера. Осуществление передачи персональных данных трансграничным способом и перевод подобных данных в другую страну является ещё более сложным явлением, так как зачастую необходимо учитывать законы несколько государств и международных организаций.

Панацея: трансграничная передача персональных данных

• Чулан *

Периодически натыкаюсь в разных Интернетах на «гениальные» догадки о том, как освободиться от «бремени» исполнения законодательства о персональных данных путем «выхода» из под национальной юрисдикции. Сами вопросы «бремени», на сколько можно судить по публикациям и их комментариям, довольно плохо понимаются авторами - все свалено в одну кучу: что понимать под персональными данными, какие правила обработки соблюдать, что «защищать»… Из этой кучи не проясненного рождаются самые настоящие фантазии-франкенштейны вызывающие буквально панический страх у новоиспеченных (да и у староиспеченных тоже) операторов персональных данных и приводят к методическому запугиванию друг друга с поиском таких вот гениальных по своей простоте решений в лучших традициях язычества. Вместо того, что бы использовать данные законом правовые инструменты по их назначению, им придается какой-то сакральный смысл. Так в свое время сакрализовали институт согласия, совершенно не обращая внимания на его основной смысл: свобода дать и отозвать свое согласие в любое время без объяснения причин. Бумажку с письменным согласием превратили в самую настоящую индульгенцию (да, пусть вас не смущает, что индульгенция имеет вполне себе католические корни, а не языческие. Языческими были те стереотипы мышления, особенности картины мира, которые и привели к всеобщей вере в индульгенцию как простому решению сложных проблем).

Сакрализация трансграничной передачи конечно не была такой масштабной, как всеобщая вера во всемогущество согласия. Модель, по которой предлагалось решить все свои «проблемы с законом» владельцам интернет-сервисов, была невероятно проста:
1) Переносим сайт с базой на хостинг в Евросоюзе.
2) PROFIT!!!
Основным преимуществом при этом называлось то, что в Евросоюзе не установлены «драконовские» требования по обеспечению безопасности персональных данных при их обработке. Хотя от части это действительной так, «вывоз» базы за кордон, без смены российского владельца - не выводит ее из под юрисдикции РФ. Иными словами, обязанность исполнять российский закон сохраняется, так как сам оператор никуда от него не делся .
Кроме того, такой простой «вывоз» по закону и не является трансграничной передачей персональных данных.

Как говорит нам собственно закон : трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу .
То есть, трансграничной передачей является только передача оператору персональных данных (controller of the file), не попадающему под юрисдикцию Российской федерации .
Иностранное юридическое лицо (действующее официально) или российское юридическое лицо, собирающие персональные данные на территории России - попадают под действие закона о персональных данных не зависимо от того, где данные в конечном счете обрабатываются. Передача за границу российскому юридическому лицу - также не является трансграничной передачей ПДн.

Трансграничная передача персональных данных накладывает на оператора дополнительные условия, связанные с законностью и целесообразностью такой передачи, так что попытка таким способом «обойти» закон рискует закончится весьма печально. Когда же будет принята новая нормативка касающаяся обеспечения безопасности ПДн при их обработке в ИСПДн , наверняка мы и в ней найдем кучу дополнительных ограничений и условий на перемещение данных через госграницу.

Теги: персональные данные, трансграничная передача

1. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

7. Трансграничная передача персональных данных на территории иностранных государств осуществляется в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

8. В целях обеспечения защиты персональных данных, хранящихся в личных делах гражданских служащих, гражданские служащие имеют право:

Приказ Росграницы от 13.10.2008 N 101 (ред. от 19.07.2011) "О защите персональных данных федеральных государственных гражданских служащих Федерального агентства по обустройству государственной границы Российской Федерации" (вместе с "Положением об организации работы с персональными данными федерального государственного гражданского служащего Федерального агентства по обустройству государственной границы Российской Федерации и ведении его личного дела") (Зарегистрировано в Минюсте РФ 10.11.2008 N 12596) Правил, производится при осуществлении таможенными органами, организациями международной деятельности в установленном порядке при условии получения письменного согласия указанных лиц на обработку персональных данных, если иное не установлено статьей 12 Федерального закона "О персональных данных".

В условиях развития и глобализации сети Интернет с каждым днем все меньше становится территориальных ограничений для осуществления коммерческой деятельности. Несмотря на достаточно сложную внешнеполитическую обстановку, количество отечественных предприятий, сотрудничающих с иностранными партнерами, постоянно возрастает. Отсутствие территориальных границ требует введения единых правил взаимодействия всех участников отношений. В частности, это касается процесса обмена личной информацией. Рассмотрим далее, как производится трансграничная передача персональных данных.

2016 год

В настоящее время в законодательстве отсутствуют четкие правила обмена сведениями с иностранными контрагентами. В качестве исходного нормативного акта в сфере коммуникаций выступал ФЗ № 152. Этот закон регламентирует осуществление трансграничной передачи персональных данных. Что это такое? Под данной деятельностью понимают предоставление личных сведений на территорию зарубежного государства, иностранному органу госвласти, физическому или юрлицу. В 2014 г. был принят ФЗ № 242. Он должен был вступить в силу 01.сент. 2016 г. Этим нормативным актом вносились некоторые изменения в законы в части уточнения правил обработки личной информации в информационно-коммуникационных сетях. Однако в Госдуму был внесен законопроект № 596277-6 о корректировке ст. 4 ФЗ № 242. В соответствии с этими изменениями, срок вступления в действие был перенесен на январь 2015 г. В настоящее время, таким образом, ФЗ № 242 уже действует больше года.

Ограничения

В ФЗ № 152 установлены запреты, под которые попадает трансграничная передача персональных данных. Это ограничения, связанные с обеспечением защиты конституционного строя РФ, здоровья, нравственности, интересов и прав населения, поддержания безопасности и обороноспособности государства. При этом в ФЗ № 152 не установлено никаких иных правил. В частности, отсутствуют условия, при которых странам, предоставляющими адекватную защиту личной информации, могла бы ограничиваться трансграничная передача персональных данных. Это такие государства, которые выступают в качестве участников Конвенции ETS № 108, а также внесенные в перечень, утвержденный Роскомнадзором Приказом № 274.

Исключения

В ФЗ № 152 определены случаи, когда государствам, которым, несмотря на необеспечение адекватной защиты личных сведений, может производиться трансграничная передача персональных данных. Это ситуации:

Важный момент

При наличии разрешения от субъекта ПНд, в соответствии с ФЗ №152, допускается трансграничная передача персональных данных. Это разрешение предполагает, что лицо извещено о том, что сведения, касающиеся его лично, будут предоставлены иностранному контрагенту. Необходимость получения такого документа при отправке информации в страны, предоставляющие адекватную защиту, не устанавливается в нормативном акте. Тем не менее важно, чтобы субъект был проинформирован оператором о предполагаемых действиях.

Общедоступная политика

Во избежание проблем, оператор указывает:

1. Для чего производится трансграничная передача.
2. Каков объем предоставляемых сведений.
3. Лиц, которые принимают информацию.

Оператор также уведомляет Роскомнадзор о том, что будет производиться трансграничная передача персональных данных. Это осуществляется путем заполнения/внесения изменений в извещение. В уведомлении указываются страны, принимающие сведения. До начала обработки информации субъект ПНд извещается о предстоящей операции. Это положение отражается в политике, договоре либо ином документе, с которым лицо сможет ознакомиться.

Внутренние нормативные акты

В локальных документах оператор отражает:

1. Юридическое обоснование предоставления личной информации иностранным субъектам. В частности, приводится перечень нормативных актов, на основании которых производится обработка и отправка сведений.
2. Регламент по трансграничной передаче персональных данных.
3. Описание мероприятий и защитных средств, в том числе технических и криптографических.

Договор

Оператор заключает соглашение с организацией, которой будет производиться трансграничная передача персональных данных, что значит принятие обработчиком обязанности соблюдать конфиденциальность информации, выполнять требования по защите сведений, обеспечивать их безопасность. В договоре также указывается перечень действий, совершаемых сторонами.

Использование средств защиты

В обязанности оператора входит выполнение ряда мероприятий для предотвращения несанкционированного доступа к личной информации в процессе работы со сведениями. При этом допускается применение несертифицированных криптографических защитных средств вследствие:

ФЗ № 242

Как выше было указано, в 2014 г. был принят закон, внесший изменения в ряд нормативных актов в части уточнения правил обработки личных сведений в информационно-телекоммуникационных сетях. ФЗ№ 242 дополняет ФЗ № 152 требованием о том, что в процессе сбора данных, в том числе, через Интернет, оператор должен обеспечивать систематизацию, запись, накопление, уточнение, хранение и извлечение их с использованием баз, расположенных на территории России. Данное предписание может не выполняться, если обработка личной информации производится для:

Как показывает практика, в настоящее время трансграничная передача информации является эффективным и удобным инструментом взаимодействия. При правильном его использовании операторы могут снизить расходы при обработке сведений в пределах России.