Трансграничная передача персональных данных: это что такое, каков порядок осуществления, образцы документов, требуется ли согласие на процедуру, а также каков регламент отправки?

Трансграничная передача персональных данных – это весьма непростая процедура, в которой участвуют два государства в целях пересылки определенной информации гражданина одной из стран.

Несмотря на то, что в России на федеральном уровне существует несколько законов, оговаривающих принципы проведения трансграничной передачи данных, на практике этот процесс сталкивается с неизбежными трудностями.

Основной проблемой является обеспечение полной защиты передаваемых сведений, от которой может зависеть не только благополучие субъекта ТППД, но и всего государства, от которого исходит сообщение. О том, как происходит трансграничная передача персональных данных и какие ограничения она предполагает рассказываем далее.

Трансграничная передача персональных данных

Что такое трансграничная передача данных

Под трансграничной передачей персональных данных (далее по тексту ТППД) подразумевается процесс пересылки определенной информации за пределы Российской Федерации в одно из иностранных государств. Пересылка осуществляется операторами и предназначается органам власти, физлицу или юрлицу соответствующей страны.

Наиболее полную информацию о ТППД можно подчерпнуть из третьей статьи ФЗ, посвященной персональным данным и способам их существования в информационном пространстве. Также ТППД затрагивается и сто пятьдесят вторым ФЗ, в котором содержится еще одно определение данного явления.

3 статья ФЗ О персональных данных

Ограничения

Государство имеет право наложить запрет на передачу ПД через границу страны в тех случаях, когда утечка данных будет грозить следующими опасными последствиями:

нарушения опорных пунктов Конституции;
посягательства на нравственность;
возможный ущерб здоровью граждан;
ущемление прав, а также законных интересов жителей России;
угроза безопасности страны;
невозможность осуществить полноценную оборону.

Передача персональных данных через государственные границы сопряжена с рядом опасностей

Во всех прочих ситуациях законодательством не предусматриваются никакие запреты на пересылки ПД.

При этом пересылка эта может адресоваться только тем странам, которые способны обеспечить защиту прав граждан РФ.

К безопасным в отношении передачи данных странам являются те государства, которые считаются сторонами Конвенции или же государства, указанные в специальном перечне, составленном с помощью Роскомнадзора.

Передача данных небезопасным странам

Если же говорить о странах, на которые требования Конвенции не распространяются, то они также могут участвовать в ТППД. Однако для того, чтобы осуществить передачу сведений стране, которая не гарантирует безопасность участникам ТППД, потребуется учесть несколько обязательных пунктов:

для осуществления передачи данных понадобится согласие от участника ТППД на то, чтобы информация о нем была передана соответствующей стране;
передача данных должна быть предусмотрена международным договором Российской Федерации;
передача данных предусматривается ФЗ России в ряде случаев, при которых от пересылки информации зависит сохранение конституционного строя, обеспечение личных интересов граждан, сохранение безопасности в стране и так далее;
передача данных оговаривается договором, который был заключен с участником ТППД;
от передачи данных зависит благополучие того, кому эта информация принадлежит (в таких ситуациях от субъекта ТППД даже не требуется получение письменного согласие на пересылку сведений).

При передаче данных в небезопасную страну потребуется предварительное заключение договора

Из всех вышеуказанных пунктов можно сделать вывод о том, что ТППД возможна и при участии стран, не гарантирующих безопасность субъекту передачи данных. Для этого потребуется наличие предварительной договоренности или задокументированного согласия лица, чья сведения будут переданы.

Для стран, гарантирующих субъекту ТППД защиту его прав, подобные соглашения не требуются. Однако в целях безопасности оператор, отвечающих за пересылку сведений должен заблаговременно сообщить субъекту ПД о том, что его данные будут переданы за пределы РФ. При оповещении субъекта учитываются три опорных пункта:

цели, которые планируется достигнуть путем передачи персональных данных субъекта;
объем и характер информации, которую собирается отправить оператор;
получатели персональных данных.

При передаче персональных данных лица, само это лицо должно быть в обязательном порядке оповещено о процедуре

Порядок трансграничной передачи данных

Трансграничная отправка данных является непростой процедурой, предполагающей целый ряд формальных действий, обязательных к исполнению. Для того, чтобы она была осуществлена на законных основаниях, требуются определенные условия.

Таблица 1. Трансграничная передача данных поэтапно

ЭтапОписание

Уведомление Роскомнадзора	Перед отправкой информации в Роскомнадзор отправляется уведомление
Информирование субъекта ТППД	Субъект должен быть осведомлен в том зачем пересылаются его данное и каков их объем
Составление оператором нормативных документов	В нормативных документах должна подтверждаться законность проводимой процедуры со ссылкой на соответствующие законы
Заключение договора с организацией-получателем исходных данных	С посредником оговариваются способы передачи данных и степень их защищенности
Обеспечение должной защиты канала	Канал, по которому произойдет отправка информации, обязан быть зашифрованным

О каждом из упомянутых условий мы и поговорим в данном разделе.

Уведомление Роскомнадзора

Роскомнадзор должен быть первой инстанцией, которая будет поставлена в известность о планирующейся трансграничной передаче данных. Для того, чтобы проинформировать Роскомнадзор потребуется:

направить уведомление, касающееся обработки ПД гражданина РФ;
перечислить страны, которые примут данное сообщение.

Роскомнадзор должен быть оповещен о предстоящей передаче персональных данных за пределы РФ

Информирование субъекта ТППД

Как уже говорилось, субъект ТППД должен быть оповещен о планирующейся операции еще до того, как она произойдет. Эта информация должна быть зафиксирована в следующих документах:

политика в отношении обработки персональных данных;
договор, заключенный с субъектом ТППД;
любой иной документ, который ставит своей целью донесение до субъекта ТППД планирующейся операции.

В договоре, который адресуется обладателю персональных данных указываются цели трансграничной передачи

Составление нормативных документов

Внутренние нормативные документы, составляемые оператором, осуществляющим передачу данных, должны включать в себя следующие детали:

правовую основу, позволяющую проводить ТППД. Под правовой основной подразумевается список конкретных правовых документов, придающих пересылке сведений законный статус;
регламент, который обеспечивает безопасный обмен персональными данными;
оглашение списка планируемых мер и способов сохранения персональных данных под защитой (к таким средствам защиты относятся всевозможные средства, обеспечивающие криптографическую защиту данных).

О том, что такое криптографическая защита информации и какие методы она применяет можно прочесть ниже.

Криптографические методы защиты данных

Заключение договора с посредником

Договор с посредником, отвечающим за передачу персональных данных, в обязательном порядке состоит из таких пунктов, как:

список манипуляций, которые будут осуществляться компанией-посредником с персональными данными;
цели, в которых будет осуществляться обработка данных;
обязательства компании-посредника перед Россией и самим субъектом ТППД, заключающиеся в соблюдении принципов конфиденциальности и предоставления полной безопасности субъекту;
требования защищенности персональных данных, подлежащих обработке. Сама компания-посредник при осуществлении данной процедуры основывается на законодательных нормах, принятых в стране ее расположения.

Компания-посредник должна обеспечить полную безопасность передаваемых данных в силу своих возможностей

Защита канала

Под защитой канала понимается предотвращение всех случайных или злонамеренных попыток получить доступ к охраняемой информации. Особого внимания требует передача данных, осуществляющаяся посредством интернета – в таких ситуациях операторы обязаны использовать специальные способы шифровки сведений.

Иногда допускается практикование средств криптографической защиты, не прошедших необходимую по закону сертификацию ввиду:

требований, изложенные в Конвенции ETS номер 108, которая налагает запрет на создание ограничений и контролирование циркуляции персональных данных, направляющихся в другие страны, руководствуясь соображениями защиты личной сферы субъекта ТППД;
присутствия лимитов на вывоз оборудования, в составе которых наличествуют способы шифрования с российских территорий;
нюансов законодательных норм иностранных государств, которые выступают получателями криптографического оборудования, а также согласование данного вопроса со службами страны, в которую перевозится соответствующее оборудование.

Конвенция 108 EST оговаривает особенности охраны персональных данных

Нововведения

Отдельного внимания заслуживают изменения, которые были внесены Федеральным законом 242 пятилетней давности, дополняющий 152 закон. 242 ФЗ, прежде всего, специализируется на области информационно-коммуникационных сетей, в связи с чем добавляет к уже существующему закону важный пункт. Дополнение это заключается в том, что отныне на операторов возлагаются следующие задачи:

запись персональных данных;
систематизация;
накопление;
сохранение;
обновление или внесение изменений по мере необходимости.

Также данный закон предусматривает получение ПД россиян при помощи баз данных, располагающихся на территории данной страны.

242 ФЗ Статья 1

Несмотря на то, что 152 закону удается прояснить некоторые детали, в свое время он породил бурные обсуждения, после которых многие вопросы остаются без ответа и по сей день. Среди таких дискуссионных моментов значатся следующие:

каково будущее трансграничной передачи персональных данных в контексте новых законов? Запрет, налагаемый на хранение персональных данных всех жителей Российской Федерации, предполагает запрет на саму ТППД, что приводит к сложному выбору;
как оператор сможет понять, что те или иные персональные данные закреплены за россиянином;
смогут ли найти «общий язык» 152 закон и Конвенция ETS номер 108? Учитывая взаимоисключающие положения, поиск общих оснований будет даваться нелегко;
каким образом регуляторы собираются определять физическое местонахождение персональных данных граждан России;
какое влияние принятый закон будет оказывать на иностранные фирмы, специализирующиеся на обработке персональных данных при опоре на законодательство своей страны и на вышеупомянутую Конвенцию.

На данный момент продолжаются активные обсуждения вопроса о том, как обеспечить безопасную трансграничную передачу данных

В связи с всеобщим недовольством 242 статьей, члены Государственной Думы уже рассматривали возможные поправки и законопроекты, которые смогли бы внести ясность в сложившуюся противоречивую ситуацию. Однако на данный момент у властей нет исчерпывающих ответов на вопрос о том, каким образом будут хранится и подвергаться обработке персональные данные россиян.

Весьма закономерно, что упомянутые сложности поведут за собой неизбежное увеличение издержек для операторов, чьи базы данных находятся за пределами России. Стараясь усилить охрану персональных данных россиян, законодатели тем самым неизбежно сужают возможности ее использования и передачи. В связи с этим многие специалисты советуют операторам переносить свои базы данных на территорию России.

Видео: Что такое персональные данные

Источник: https://yr-expert.com/transgranichnaya-peredacha-personalnyh-dannyh-eto/

Правила трансграничной передачи персональных данных по GDPR

IT NewsНовости рынкаБезопасность

| 12.04.2019 Трансграничная передача персональных данных: это что такое, каков порядок осуществления, образцы документов, требуется ли согласие на процедуру, а также каков регламент отправки? Трансграничная передача персональных данных: это что такое, каков порядок осуществления, образцы документов, требуется ли согласие на процедуру, а также каков регламент отправки?

Уже долгое время европейский «Регламент защиты персональных данных» (General Data Protection Regulation, GDPR) не сходит с первых позиций среди самых обсуждаемых вопросов, волнующих компании всего мира. Такое внимание документ получил благодаря экстерриториальности действия и крайне высоким штрафам за несоответствие его требованиям.

Некоторые российские компании ввиду особенностей своего бизнеса также попали под регулирование GDPR, и, соответственно, соблюдение его требований становится для них одной из приоритетных задач.

Яркий тому пример – Сбербанк, где особое внимание уделили вопросам трансграничной передачи данных ввиду наличия дочерних обществ на территории ЕС.

В частности, были детально проанализированы способы организации трансграничной передачи персональных данных, установленные GDPR.

Приведенный в настоящей статье анализ поможет многим российским компаниям найти правильный подход к выбору условий передачи персональных данных между компаниями, входящими в международную группу.

На сегодняшний день РФ не входит в список стран, гарантирующих, по мнению Европейской комиссии, надлежащий уровень защиты физических лиц при обработке их персональных данных [ЕК включила в него такие страны, как Андорра, Аргентина, Канада (только коммерческие организации), Фарерские острова, Гернси, Израиль, остров Мэн, остров Джерси, Новая Зеландия, Швейцария, Уругвай и США (если обработчик принадлежит Privacy Shield). Официальный сайт Еврокомиссии – https://ec.europa.eu/] В этой связи международные российские компании, которые имеют дочерние общества или аффилированные лица на территории ЕС, вынуждены на постоянной основе использовать такие механизмы трансграничной передачи данных, которые соответствуют установленным GDPR принципам их обработки и гарантируют их надлежащую защиту.

До выхода GDPR, когда европейское законодательство не носило экстерриториального характера, крупные российские компании выстраивали процесс передачи персональных данных путем заключения договора на передачу и договора на обработку данных.
Сегодня же им следует пересмотреть свой подход с учетом механизмов соблюдения соответствующих гарантий, предусмотренных нормами GDPR: среди них «Кодекс поведения», «Обязательные корпоративные правила» (Binding Corporate Rules), «Стандартные положения о защите данных» (Standard Contractual Clauses), «Сертификация».
1
Механизмы обеспечения соответствующих гарантий при трансграничной передачи персональных данных по GDPR

«Кодекс поведения»

«Кодекс поведения» представляет собой совершенно новый механизм, устанавливающий конкретные правила защиты данных в определенном секторе.

Такой документ разрабатывается торговыми ассоциациями или объединениями, например, представляющими банковский сектор, по согласованию с заинтересованными сторонами – участниками рынка, после чего утверждается европейским регулятором (Data Protection Authority) и главным надзорным органом ЕС по защите данных (European Data Protection Board).

На сегодняшний день такой кодекс отсутствует в каком-либо секторе деятельности, поэтому рассматривать его как возможный механизм, позволяющий гарантировать надлежащий уровень защиты персональных данных, нецелесообразно в ближайшие 3–5 лет. Инициативы разработки аналогичного документа известны лишь в сфере облачных вычислений и в фармацевтической промышленности.

«Стандартные положения о защите данных» (Standard Contractual Clauses, SCC)

Этот документ разработан задолго до вступления в силу GDPR. Планируется, что обновленные формы уже в соответствии с требованиями GDPR будут опубликованы на сайте ЕС в ближайшее время.

Особенность таких положений заключается в том, что форма является дополнением к главному договору и в нее нельзя вносить изменения. Многие российские компании в рамках трансграничной передачи данных уже используют SCC в качестве приложения к основному договору, предусматривающему передачу данных.

Стандартные положения SCC бывают двух видов:
· «Контролер – Обработчик»,
· «Контролер – Контролер».

Форма «Контролер– Обработчик» подразумевает, что контролер поручает обработку персональных данных обработчику согласно целям, определенным контролером.

Форма «Контролер – Контролер», в свою очередь, предусматривает, что каждая сторона самостоятельно определяет цель и средства обработки персональных данных.

SCC детально описывает потоки данных, а также технические и организационные меры безопасности.

Стандартные положения SCC отлично подходят в случае с малым и средним бизнесом.

Для компаний-гигантов такой подход представляется не совсем удобным и весьма трудозатратным, поскольку порядок передачи данных в условиях стремительного развития цифровых технологий и постоянного изменения бизнес-процессов подразумевает необходимость заключения бесчисленного количества приложений к SCC с детальным и точным описанием потоков данных.

«Обязательные корпоративные правила» (Binding Corporate Rules, BCR)

Самым же удобным механизмом трансграничной передачи данных для крупного бизнеса являются «Обязательные корпоративные правила» (Binding Corporate Rules-BCR). Данный документ представляет собой межгрупповой договор (свод правил), закрепляющий правила передачи персональных данных в рамках одной группы компаний.

BCR предоставляет возможность международной группе компаний обмениваться данными в условиях стремительного развития бизнеса без детального описания в заключаемых SCC постоянно увеличивающихся потоков данных.

Помимо повышения качественности трансграничного обмена, общие положения о защите персональных данных, закрепленные в BCR, являются фундаментом единого подхода к обработке и защите персональных данных в группе компаний.

BCR бывает двух типов:

• BCR-C используется в рамках передачи персональных данных от контролера, находящегося на территории ЕС, другим контролерам и обработчикам за пределами ЕС. Трансграничная передача персональных данных: это что такое, каков порядок осуществления, образцы документов, требуется ли согласие на процедуру, а также каков регламент отправки?

Трансграничная передача персональных данных: это что такое, каков порядок осуществления, образцы документов, требуется ли согласие на процедуру, а также каков регламент отправки?

• BCR-P используется в рамках обработки персональных данных, полученных группой (обработчиком) от контролера, учрежденного в ЕС и не входящего в группу.

Самый распространенный вариант – BCR-C, который позволяет свободно обмениваться персональными данными в рамках одной группы компаний.

Особенность данного документа заключается в том, что для использования в работе группа должна согласовать текст BCR с европейским регулятором и получить подтверждение главного надзорного органа ЕС (European Data Protection Board) (последнее – при необходимости). Организации, имеющие утвержденный европейским регулятором BCR, считаются в ЕС передовыми и надежными по вопросам защиты данных как клиентами и контрагентами, так и европейским регулятором.

На сегодняшний день европейский регулятор утвердил 132 BCR, из которых 20% – финансово-кредитные организации, такие как Citigroup, JPMorgan. Однако в списке организаций, имеющих BCR, отсутствуют российские международные компании, имеющие дочерние общества на территории ЕС.

Это обусловлено тем, что разработка и внедрение единых требований к обработке и защите персональных данных в группе и их дальнейшее практическое применение объективно являются трудоемкой задачей ввиду необходимости анализа и учета требований законодательств, применимых к участникам группы. Для разработки и внедрения BCR российской компании необходимо провести масштабную работу по выработке единых правил, требований и подходов, как организационных, так и технических, к обработке и защите ПДн, обязательных для применения всеми присоединившимися к BCR компаниями.

Тем не менее экстерриториальный характер GDPR заставил задуматься крупные российские компании, чьи дочерние общества и аффилированные лица находятся на территории ЕС, использовать именно такой подход к трансграничной передаче персональных данных в группе.
Преимущество BCR для российской группы компаний заключается не только в том, что такой документ позволит не только обеспечить единый подход к защите ПДн в группе и уменьшить трудозатраты на реализацию договорного сопровождения потоков данных по бизнес-процессам, но и существенным образом повысить уровень доверия европейских контрагентов, клиентов, а также европейского регулятора как к группе компаний, так и к России в целом.
«Сертификация»

Ст. 42 GDPR предусматривает сертификацию на соответствие требованиям GDPR. Эксперты в области защиты персональных данных уже три года ждут новостей о том, что же это за сертификация, какие требования будут предъявляться и как будет проходить процедура сертификации, кто будет аккредитованными компаниями, и т. д.

Согласно положению GDPR, для проведения такой сертификации главный надзорный орган ЕС по защите данных должен аккредитовать консалтинговые и аудиторские компании на проведение таких мероприятий. Однако на сегодняшний день European Data Protection Board не аккредитовал ни одну компанию, не говоря уже о том, что не были выдвинуты требования к таким организациям.

Как и кодексы поведения, вопрос внедрения сертификации и выработки алгоритма действий для организаций, желающих получить подтверждение на соответствие требованиям GDPR, может затянуться на годы.

Административные штрафы за нарушение правил трансграничной передачи данных

Нарушение требований к трансграничной передаче данных с территории ЕС может привести к самым высоким санкциям, достигающих €20 млн или 4% глобального годового оборота компании.

Какой подход выбрать?

На сегодняшний день российские компании имеют два возможных пути правового сопровождения трансграничной передачи данных с территории ЕС в Россию: использование стандартных положений о защите данных SCC или разработка BCR.
Первый подход удобен в следующих случаях:
· когда четко определены процессы, в рамках которых передаются персональные данные.
· когда передача данных имеет постоянный характер и не подвержена многочисленным изменениям в результате внедрения новых бизнес-процессов, что больше свойственно малому и среднему бизнесу.

Разработка BCR, в свою очередь, является более зрелым решением и требует от группы копаний четкого понимания ответственности после принятия и согласования такого документа. При направлении BCR на утверждение европейскому регулятору группа дает гарантию, что организации, входящие в ее состав, следуют единым правилам защиты персональных данных, соответствующим принципам GDPR.

Сбербанк, будучи лидером на российском финансовом рынке, не боится решать новые сложные задачи в части соответствия требованиям европейского законодательства. Очевидная польза разработки и внедрения BCR в группе «Сбербанк» состоит в стандартизации и повышении уровня зрелости процессов обработки и защиты персональных данных во всех организациях, входящих в группу.

При выборе ВCR в качестве правового механизма трансграничной передачи данных компании группы должны быть готовы к тому, что согласование обязательных корпоративных правил может занимать от полугода до полутора лет ввиду очереди из международных компаний со всего мира, нацеленных в полной мере соответствовать требованиям GDPR.
Эльвира ЧАЧЕ,
менеджер Центра организации обработки и защиты персональных данных Сбербанка
Ключевые слова: безопасность российских корпоративных данных, кибербезопасность, информационная безопасность
Журнал: Журнал IT-News, Подписка на журналы
Компания: Sberbank | Сбербанк

Источник: https://www.it-world.ru/it-news/security/144620.html

На страже безопасности, или Локализация персональных данных

Трансграничная передача персональных данных: это что такое, каков порядок осуществления, образцы документов, требуется ли согласие на процедуру, а также каков регламент отправки? Наделавший немало шума закон о локализации персональных данных россиян вступил в силу с 1 сентября и действует уже два месяца (Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»; далее – Закон № 242-ФЗ). Закон требует, чтобы при сборе персональных данных, в том числе посредством Интернета, оператор обеспечивал запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных россиян с использованием баз данных, находящихся на территории России (ст. 2 Закона № 242-ФЗ, ч. 5 ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Однако исполнить это требование оказалось не так просто, поскольку многие нюансы законодатель не уточнил, что вызвало немало вопросов у представителей бизнеса.

Тем не менее, к моменту вступления Закона № 242-ФЗ в силу, многие из этих вопросов нашли ответ – во многом этому поспособствовали размещенное на сайте Минкомсвязи России официальное разъяснение ведомства, а также активная позиция юристов.

Дискуссия продолжается и по сей день – так, ряд наиболее значимых вопросов был затронут экспертами на конференции, организованной газетой The Moscow Times в конце сентября.

Разберемся в наиболее важных выводах и рекомендациях, высказанных специалистами.

Нужно ли получать у покупателя согласие на обработку персональных данных, если предприятие выдает им дисконтные карты на основании анкет, в которых указываются: имя, дата рождения (без года), телефон и адрес электронной почты? Ответ на этот и другие практические вопросы в «Базе знаний службы Правового консалтинга» интернет-версии системы ГАРАНТ. Получите бесплатный доступ на 3 дня!

Получить доступ

Прежде чем углубляться в вопросы реализации этого закона, председатель Временной комиссии Совета Федерации по развитию информационного общества Людмила Бокова призывает понять, какие именно цели преследует этот закон.

«Нужно понимать актуальность и необходимость этого документа, так как только в условиях нахождения персональных данных российских граждан на территории своей страны государство может гарантировать их надлежащую защиту», – заявляет она.

Вместе с тем Людмила Бокова отмечает, что любой правовой акт должен отвечать принципу правовой определенности, поскольку только в этом случае правовая мера будет действительно эффективной и способной достичь той цели, которая преследуется в законе.

Однако еще до вступления в силу Закона № 242-ФЗ стало ясно, что он данному требованию не отвечает, это и вызвало потребность в разъяснении целого ряда нюансов, связанных с применением этого акта.

Что такое база данных?

В тексте Закона № 242-ФЗ не уточнено, какие именно базы данных, содержащие персональные данные россиян, должны находиться на территории нашей страны. В связи с этим возник закономерный вопрос, может ли база данных быть представлена в любой форме, в том числе бумажной, или все-таки к ней предъявляются какие-то объективные требования?

Отвечая на него, Минкомсвязь России напоминает, что базой данных является совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью ЭВМ (абз. 2 ч. 2 ст. 1260 ГК РФ). В связи с этим ведомство уточняет, что с помощью ЭВМ одновременно должны быть обеспечены поиск и любая обработка соответствующей информации, что представляется возможным только при условии наличия данных в электронной форме.

Кому необходимо выполнять требования закона?
Если руководствоваться положениями Закона 242-ФЗ, очевидно, что его требования адресованы оператору персональных данных, однако руководитель группы правовой защиты информации юридической компании «Пепеляев Групп» Дмитрий Зыков отмечает, что перечень таких лиц гораздо шире и, хотя прямо в тексте закона это не указано, по его смыслу требования о локализации обязаны соблюдать следующие субъекты.
1

Оператор персональных данных (например, работодатель) – то есть лицо, самостоятельно или совместно с другими организующее и/или осуществляющее обработку персональных данных, а также определяющее цели такой обработки, состав персональных данных и действия, с ними совершаемые (п. 2 ст. 3 закона о персональных данных).

Отдельно стоит упомянуть об иностранных организациях, чьи представительства действуют на территории России. Как правило, персональные данные работников таких представительств направляются в головную компанию, находящуюся за рубежом.

Но несмотря на то, что такая ситуация встречается достаточно часто, большинство руководителей не учитывают один существенный нюанс – операторами персональных данных иностранные компании в этом случае не являются.

МНЕНИЕ

Дмитрий Зыков, руководитель группы правовой защиты информации юридической компании «Пепеляев Групп»:

«Лицом, которое в силу закона обязано осуществлять обработку этих данных является исключительно работодатель, то есть то лицо, с которым соответствующий работник заключил трудовой договор.

Вопрос: на каком основании персональные данные передаются в головную иностранную организацию? Точно не в рамках осуществления трудовых отношений между российским юридическим лицом и российским гражданином.

Для каких целей эта передача осуществляется? Чаще всего такая передача осуществляется исключительно в интересах самого иностранного юридического лица – для статистических целей, аналитики, даже для принятия решений по кадровым перемещениям российских работников в рамках российского юридического лица.

Но по закону прямого подчинения российского работника иностранному юридическому лицу нет.

Более того, если мы говорим, что иностранное юридическое лицо действует в интересах российского юридического лица, то у нас опять же по закону требуется поручение российского юридического лица третьей стороне осуществить какие-либо действия с персональными данными. И появляется еще одна категория лиц, которые участвуют в обработке персональных данных – лицо, не являющееся оператором, но которое осуществляет соответствующую обработку (ч. 3 ст. 6 закона о персональных данных). И в этом случае так называемым заказчиком должно быть выдано исполнителю-обработчику соответствующее поручение».

Обладатель информации (например, компания, обладающая сведениями о коммерческой тайне контрагента) – то есть лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать к ней доступ (п. 5 ст. 2 Федерального закона от от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; далее – закон об информации).

Оператор операционной системы (например, пейролл-провайдеры, которые осуществляют обработку персональных данных работников в целях администрирования и расчетов с персоналом компании) – гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных, то есть собственник технических средств, используемых для обработки содержащейся в базах данных информации или лицо, с которым он заключил договор об эксплуатации информационной системы (п. 12 ст. 2, ч. 2 ст. 13 закона об информации). Под это понятие подпадают не только операторы персональных данных, но и лица, которые помогают им заниматься теми или иными вопросами.

Получается, что требования по локализации персональных данных должно выполнять любое лицо, которое имеет на основании закона право так или иначе распоряжаться соответствующей информацией вне зависимости от того, считается ли он оператором персональных данных или нет.

Обязательно ли локализовать иностранные базы данных, если персональные данные уже локализованы в России?

Из текста Закона № 242-ФЗ не вполне ясно, распространяется ли требование о локализации на случаи внесения персональных данных россиян в зарубежные базы данных, если эти данные ранее уже были локализованы.

Этот вопрос актуален, прежде всего, для тех операторов, которые задействуют в своей деятельности несколько баз данных, в том числе зарубежных.

В том случае, когда персональные данные уже обработаны ими на территории России, локализация каждой из таких иностранных баз данных приведет к существенному и необоснованному увеличению затрат.

В связи с этим Минкомсвязь России уточняет, если в отношении определенного набора персональных данных ранее уже были выполнены требования закона, то повторная локализация таких данных не требуется, поскольку цели закона достигнуты.

Соответственно, если персональные данные были при сборе записаны в базу данных, расположенную на территории России, то впоследствии они могут вноситься оператором в принадлежащую ему электронную базу данных, находящуюся за пределами нашей страны.

Допускается ли параллельная обработка персональных данных россиян с помощью российских и зарубежных баз данных одновременно?
Минкомсвязь России придерживается мнения, что обработка персональных данных россиян на территории другого государства возможна, но только если:
1

такая деятельность подпадает под предусмотренные законом случаи – например, для достижения целей, предусмотренных международным договором, для осуществления правосудия, для исполнения полномочий органов государственной власти, для осуществления профессиональной деятельности журналиста и др. (п. 2-4, п. 8 ч. 1 ст. 6, ч. 5 ст. 18 закона о персональных данных);

на территории России находятся базы данных, в которых содержится равный или больший находящегося за пределами нашей страны объем персональных данных.

Таким образом, если персональные данные субъекта претерпели какие-либо изменения, то уточнения необходимо внести, прежде всего, в информацию, содержащуюся в российских базах данных, и уже потом, если это необходимо, актуализировать ее за рубежом.

Допустима ли трансграничная передача персональных данных?

Поскольку Закон № 242-ФЗ не затронул положений о трансграничной передаче данных, Минкомсвязь России делает вывод, что она возможна.

Персональные данные граждан, первоначально внесенные в базу данных на территории нашей страны, могут, как отметило ведомство, далее передаваться в базы данных, расположенные за пределами России с соблюдением положений о трансграничной передаче данных.

Такие «вторичные» базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр. Более того, Минкомсвязь России отдельно подчеркнула, что предоставление удаленного доступа к российским базам данных с территории другого государства не запрещается.

НАША СПРАВКА

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу, обеспечивающим адекватную защиту прав субъектов персональных данных (ст. 3, ст. 12 закона о персональных данных).

Как определить, что персональные данные принадлежат россиянам?

Далеко не все операторы используют конкретизирующую информацию, которая могла бы подтвердить гражданство субъекта (паспортные или иные данные). Поэтому существует риск того, что ограничить круг лиц, чьи персональные данные должны быть локализованы, гражданами России не удастся.

Разрешая этот вопрос, Минкомсвязь России отметила, что поскольку вопрос о порядке определения гражданства субъектов персональных данных в нормативном порядке не урегулирован, операторы могут решать данный вопрос самостоятельно, а если этот вопрос оператором не решен, то применение требований Закона № 242-ФЗ возможно ко всем персональным данным, сбор которых был осуществлен на территории России.

***

На данный момент все наиболее существенные вопросы, связанные с локализацией персональных данных россиян, действительно нашли свои ответы. «Большая часть того, что было необходимо бизнесу для комфортного ведения своей деятельности, было учтено.

Так или иначе я отношу эту работу к маленькой, но победе.

Понимание и ясность в исполнении закона сдвинулось в нашу пользу со стороны запретительной и непонятной в сторону, очевидную к исполнению», – отмечает Интернет-омбудсмен Дмитрий Мариничев.

Однако юристы советуют не воспринимать позицию Минкомсвязи России как панацею.

«Насколько комментарии ведомства можно считать официальными и подлежащими применению, остается вопросом, потому что так или иначе эти разъяснения не имеют законной силы – силы, равной закону. И со временем толкование закона может меняться.

Надеемся, что в ближайшие полгода практика применения закона сложится, и уже можно будет понимать, насколько успешно закон будет функционировать», – рассуждает Дмитрий Зыков.

Надежда, что в будущем разъяснения примут характер закона, есть – работа над толкованием Закона № 242-ФЗ продолжается, и наиболее актуальные проблемы его применения становятся предметом обсуждения Временной комиссии Совета Федерации по развитию информационного общества. «На площадке комиссии мы стараемся найти ответы на все вопросы, чтобы оператору было понятнее, что делать, – делится Людмила Бокова. – И вполне возможно, что в дальнейшем сформулированные выводы найдут свое отражение в нормативном регулировании».

Источник: https://www.garant.ru/article/669236/

Регламент по трансграничной передаче персональных данных образец

Специалисты уделяют внимание не только вопросу хранения, но и передачи.

Дорогие читатели! Статья рассказывает о типовых способах решения юридических вопросов, но каждый случай индивидуален. Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь к консультанту:

+7 (499) 110-56-12 (Москва)
+7 (812) 317-50-97 (Санкт-Петербург)
8 (800) 222-69-48 (Регионы)
ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.
Это быстро и БЕСПЛАТНО!
В данном случае имеется в виду передача любых личных данных физического лица через границу Российской Федерации иностранному получателю.
В качестве получателя могут выступать:

органы государственной власти или силовые структуры;
физические лица;
юридические лица.

Сегодня сталкиваются два явления — глобализация и рост онлайн-торговли, а также опасность киберпреступлений. Стремление обеспечить безопасность приводит к затруднению общения, торговли, обмена информации.

Проблемой занимаются на государственном уровне.

Под трансграничную передачу попадает любая пересылка личной информации при следующих ситуациях:

бронирование номеров в зарубежных отелях;
покупка авиа- и ж/д билетов в других странах;
покупка в иностранных интернет-магазинах;
оформление документов, разрешений, пропусков и т.д.

Подобные ситуации происходят всё чаще, потому что граждане России контактируют с иностранными компаниями, магазинами, заказывают услуги и многое другое.
Многие ответы, касающиеся применения законодательства о “локализации”, были выданы Минком связи России и Роскомнадзором2 Рекомендации Роском надзора и Минком связи по применению новых положений законодательства о персональных данных

Рекомендации и разъяснения Минком связи:

1) Определение гражданства субъекта персональных данных с целью выполнения требований локализации

Вопрос о порядке определения гражданства субъектов персональных данных не урегулирован в нормативном порядке. Законодатель тем самым предоставил возможность оператору персональных данных самостоятельно решать данный вопрос исходя из специфики его деятельности.

Регламент по трансграничной передаче персональных данных образец 2019 новая редакция

основ конституционного строя Российской Федерации

Исполнения договора, стороной которого является субъект персональных данных
Защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных

При этом при осуществлении трансграничной передачи необходимо осуществить следующие действия:

a) Уведомить Роскомнадзор об осуществляемой трансграничной передаче
b) Проинформировать субъекта персональных данных до начала обработки его персональных данных об осуществляемой трансграничной передаче
c) Отразить условия трансграничной передачи персональных данных во внутренних

нормативных документах оператора

d) Обеспечить защиту канала передачи данных

После принятия Федерального закона от 21.07.2014 № 242-ФЗ было введено описанное ранее требование о “локализации” персональных данных.
Новый закон запретил трансграничную передачу персональных данных в базы данных, размещенные за пределами территории России.

Многие российские компании в рамках трансграничной передачи данных уже используют SCC в качестве приложения к основному договору, предусматривающему передачу данных.
Стандартные положения SCC бывают двух видов:
· «Контролер – Обработчик»,
· «Контролер – Контролер».

SCC детально описывает потоки данных, а также технические и организационные меры безопасности.

Стандартные положения SCC отлично подходят в случае с малым и средним бизнесом.

Для рядовых граждан появляются конкретные преимущества:

реальная возможность отстоять права и защитить личные данные даже в другой стране;
уверенность в сохранности и защите от третьих лиц.

Как осуществляется

Юристы для упрощения оперируют понятием «адекватная защита», предполагающего использование доступных возможностей для обеспечения безопасности.

Передача осуществляется следующим образом:

прорабатывается организационная структура и определяется перечень стран, куда отправляются данные;
определяются цели и особенности дальнейшей обработки;
оператор берёт на себя обязательства по обеспечению безопасности и следит за тем, чтобы принимающая сторона обеспечила адекватную защиту;
подлежащий защите объект описывается, для него формируются обоснования.
определяются характеристики персональных данных;
процесс согласовывается в соответствии с нормативными актами, принятыми в стране получателя;
осуществляется пересылка информации.

Если необходимая защита не обеспечена, то оператор может заблокировать передачу или ограничить её.

Его содержание является достаточно произвольным, однако нужно помнить о необходимых элементах заявления:

Фамилия, имя, отчество субъекта, его адрес и серия, номер паспорта или иного документа, удостоверяющее личность гражданина.
Фамилия, имя, отчество лица или название организации, которое, предполагается, будет выполнять обработку.
Цели, для которых выполняется выяснение персональных данных.
Список сведений, которые будут обработаны.
Информация об организации, которая будет совершать дальнейшие операции с данными.
Описание того, какие действия будут происходить с данными.
Срок, в течение которого действует согласие субъекта.
Подпись лица, выполненная лично.

Скачать бланк согласия на трансграничную передачу персональных данных
Скачать образец согласия на трансграничную передачу персональных данных

Также в части 1 статье 9 Закона № 152 описаны критерии, которым должен соответствовать документ о согласии.
Содержание регламентируется не строго, а произвольно.
Однако есть перечень пунктов, обязательных для заполнения:

ФИО гражданина.
Серия, номер паспорта, прописка (или иной документ, удостоверяющий личность).
ФИО получателя или полное название организации, обрабатывающей данные.
Цели запроса персональных данных со стороны иностранного получателя.
Список данных для отправки и обработки, описание действий.
Дополнительная информация об организации, берущей на себя обязательства по обработке.
Срок действия письменного согласия.

На подобном документе необходимо указать число и поставить подпись субъекта. На данный момент есть возможность воспользоваться стандартным бланком или использовать тот, который предоставляет оператор.

Строгих требований по заполнению нет, за исключением обязательных пунктов.
1) определяет провайдера хостинга или иное лицо, обеспечивающее обработку информации в информационно-телекоммуникационной сети, в том числе в сети «Интернет», с нарушением законодательства Российской Федерации в области персональных данных;
2) направляет провайдеру хостинга или иному указанному в пункте 1 настоящей части лицу в электронном виде уведомление на русском и английском языках о нарушении законодательства Российской Федерации в области персональных данных с информацией о вступившем в законную силу судебном акте, доменном имени и сетевом адресе, позволяющих идентифицировать сайт в сети «Интернет», на котором осуществляется обработка информации с нарушением законодательства Российской Федерации в области персональных данных, а также об указателях страниц сайта в сети «Интернет», позволяющих идентифицировать такую информацию, и с требованием принять меры по устранению нарушения законодательства Российской Федерации в области персональных данных, указанные в решении суда;
3) фиксирует дату и время направления уведомления провайдеру хостинга или иному указанному в пункте 1 настоящей части лицу в реестре нарушителей.
8.
Тем не менее, изменение таких баз, их актуализация должна производиться с помощью баз, которые находятся на территории России
Персональные данные
Исполнение требований закона:

Поправки были внесены в ст. 18 ФЗ “О персональных данных”, в п. 5 которой указывается, что при сборе персональных данных оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации.

Исходя из толкования нормы, можно сделать вывод, что предусматривается обязательное требование осуществления на территории России поименованных в законе действий. То есть данные виды операций должны производиться с исполнением требования о “локализации” на территории России.

“Локализация” может производиться в любой форме как электронной, так и бумажной.

В п.5 ст. 18 предусматривается ряд исключений:

a) Обработка, необходимая для осуществления возложенных законодательством на оператора функций.

ФЗ «О персональных данных»

3) Можно ли осуществлять трансграничную передачу персональных данных работников?

Осуществление такого типа передачи возможно в соответствие с законодательством

России

4) Необходимо ли осуществлять “локализацию” персональных данных работников, если такая передача осуществляется с целью соблюдения норм трудового законодательства?

В случае, если обработка персональных данных подпадает под исключения, предусмотренные пунктами 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных», положения части 5 статьи 18 152-ФЗ не применяются.

Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, или привлеченный им в соответствии с частью 4 настоящей статьи оператор реестра нарушителей исключает из такого реестра доменное имя, указатель страницы сайта в сети «Интернет» или сетевой адрес, позволяющие идентифицировать сайт в сети «Интернет», на основании обращения владельца сайта в сети «Интернет», провайдера хостинга или оператора связи не позднее чем в течение трех дней со дня такого обращения после принятия мер по устранению нарушения законодательства Российской Федерации в области персональных данных или на основании вступившего в законную силу решения суда об отмене ранее принятого судебного акта.
12.
5) Могут ли граждане РФ размещать персональные данные в удобном для них
формате и пользоваться услугами, предлагаемыми на мировом рынке товаров, работ и услуг?

Изменения, вносимые в законодательство Российской Федерации Федеральным законом №242-ФЗ, не препятствуют гражданам Российской Федерации получать за пределами Российской Федерации услуги, в случае, если в их рамках обрабатываются персональные данные граждан Российской Федерации за пределами территории Российской Федерации, в соответствии с международным договором или в соответствии с федеральным законом, либо в рамках иных исключений, на которые не распространяется норма части 5 статьи 18 152-ФЗ

6) Имеет ли закон экстерриториальное действие?

Внутреннее законодательство государства действует исключительно на территории такого государства и не распространяется на нерезидентов государства, находящихся на территории иного государства

7) Распространяются ли поправки на правоотношения, возникшие до его вступления в силу?

Закон распространяется на правоотношения, возникшие после его вступления в силу, если иное не определено в самом законе.

Если же эта операция производится через Интернет или через другие незащищённые каналы, то рекомендуется использовать средства шифрования.

Какие документы сопровождают процедуру?

Согласие того, чьи данные передаются.
Договор с принимающей стороной.
Письменное уведомление Роскомнадзора.

Ответственность за незаконные действия

Если же об использовании конфиденциальных сведений не будет сообщено в Роскомнадзор, то это будет считаться незаконным переводом информации в другую страну. Это является нарушением статьи 19.

7 Административного Законодательства РФ, что соответствует наказанию в размере 5 тысяч рублей.

Если уведомление Роскомнадзора будут совершено после того, как персональные будут обработаны, то это будет таким же правонарушением.

Оформление согласия

Правила заполнения этого документа описаны в Федеральном Законе № 152.
Если данный вопрос не решен оператором, то возможно применение нормы ко всем персональным данным, сбор которых был осуществлен на территории Российской Федерации
2) Применение новых правил к компаниям-авиаперевозчикам

Договор воздушной перевозки удостоверяется билетом и багажной квитанцией.

Авиаперевозчикам в целях реализации вышеуказанных положений закона, требуется осуществление деятельности по обработке персональных данных пассажира в целях оформления документов, удостоверяющих заключение договора воздушной перевозки.

Требования ч. 5 ст. 18 ФЗ «О персональных данных» не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов, багажных квитанций и иных перевозочных документов, так как они подпадают под исключение, предусмотренное п. 2 ч. 1 ст.

Источник: https://zakoncoop.ru/reglament-po-transgranichnoj-peredache-personalnyh-dannyh-obrazets