РЕШЕНИЯ И УСЛУГИ

Трансграничная передача персональных данных

29/10/2014
Евгений Воропаев

Несмотря на санкции наших западных соседей число российских компаний, ведущих деятельность с иностранными контрагентами растет. При этом отсутствие территориальных рамок требует единых правил работы. Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года ETS N 108 (далее – Конвенция ETS N 108) регламентирует рабочий процесс с персональными данными.

Конвенция ETS N 108 предусматривает устранение ограничений в передаче персональных данных на территорию стран, являющихся сторонами Конвенции, и обеспечение возможности их передачи между сторонами Конвенции, поскольку эти страны принимают в национальном законодательстве нормы, обеспечивающие защиту прав субъектов персональных данных.  В России был принят Федеральный закон N 152-ФЗ «О персональных данных» (далее – 152-ФЗ), который в базовых положениях повторяет, международный акт.

Что такое трансграничная передача ПДн?

152-ФЗ определяет понятие трансграничная передача персональных данных, как «передачу персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу».

Помимо возможности запрета трансграничной передачи ПДн в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, никаких ограничений на передачу персональных данных странам обеспечивающим адекватную защиту прав субъектов в законе нет.

Под странами обеспечивающими адекватную защиту понимаются страны, являющиеся сторонами Конвенции, а также иностранные государства, перечень которых установил Роскомнадзор в Приказе № 274 «Об утверждении Перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных».

В отношении стран, не обеспечивающих адекватную защиту прав субъектов ПДн, согласно 152-ФЗ осуществление трансграничной передачи данных возможно в определенных случаях:

  1. наличие согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн;
  2. предусмотренных международными договорами РФ;
  3. предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
  4. исполнения договора, стороной которого является субъект ПДн;
  5. защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц при невозможности получения согласия в письменной форме субъекта ПДн. 
Таким образом, при наличии письменного согласия субъекта или договора с субъектом ПДн, закон 152-ФЗ разрешает передавать персональные данные в любую страну. 

При этом несмотря на то, что получение отдельного согласия субъекта ПДн на трансграничную передачу ПДн в страны обеспечивающие адекватную защиту прав субъектов персональных данных, не требуется, важно чтобы оператор проинформировал субъекта ПДн о трансграничной передаче его ПДн. Для этого стоит в общедоступной политике в отношении обработки ПДн указать цели трансграничной передачи ПДн, объем передаваемых данных и лиц, которым эти данные передаются.

Необходимые действия при трансграничной передаче

  1. Уведомить Роскомнадзор о осуществляемой трансграничной передаче, заполнив (внеся изменения) уведомление об обработке персональных данных и указав страны, в которые будет осуществляться передача.
  2. Проинформировать субъекта ПДн до начала обработки его ПДн об осуществляемой трансграничной передаче, указав это в Политике в отношении обработки ПДн, договоре с клиентом или в другом документе с которым субъект сможет ознакомиться перед передачей своих ПДн.
  3. Отразить во внутренних нормативных документах оператора:
  • Правовое обоснование трансграничной передачи персональных данных (перечень нормативно – правовых документов, на основании которых осуществляется передача и обработка ПДн);
  • Регламент обеспечения безопасного обмена ПДн;
  • Описание мероприятий и средств обеспечения защиты передаваемых ПДн; (организационные мероприятия; технические средства защиты информации, в том числе средства криптографической защиты информации);
  1. Заключить договор с компанией, которой данные передаются, где указать
  • перечень действий, осуществляемых с персональными данными;
  • цели обработки;
  • обязанность обработчика соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке;
  • требования к защите обрабатываемых ПДн. При этом, организация, которой передаются ПДн при организации обработки будет руководствоваться законодательством страны пребывания;
  1. Защитить канал передачи данных. Для защиты ПДн от неправомерного или случайного доступа к ним, при передаче по открытым (незащищенным) каналам связи и сети Интернет необходимо применять средства шифрования. При этом является допустимым использование несертифицированных средств криптографической защиты информации, ввиду:
  • требования Конвенции ETS N 108 (статья 12.2) запрещающей создавать ограничения и ставить под специальный контроль информационные потоки ПДн, идущие на территорию иностранного государства, исходя исключительно из соображений защиты неприкосновенности личной сферы
  • наличия ограничений на вывоз средств, содержащих в своем составе средства шифрования с территории РФ
  • особенностей законодательства иностранного государства, на территорию которого осуществляется ввоз криптографического оборудования, и получение разрешение соответствующих служб иностранного государства на ввоз такого оборудования

Что нового?

21.07.2014 Государственной думой был принят Федеральный закон N 242-ФЗ от "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях" (далее – 242-ФЗ), который дополняет 152-ФЗ требованием:

"При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ».

Принятие данного закона породило множество вопросов, связанных с его возможной реализацией и последствиями за нарушения требований, в том числе:

  1. Что будет с трансграничной передачей? Ведь передача невозможна без дальнейшего хранения(обработки), а при запрете хранения ПДн на территории иностранного государства получается термин трансграничная передача теряет свой смысл.
  2. Достаточно ли будет хранить на территории Российской Федерации только копию базы с ПДн россиян и продолжать обрабатывать часть данных на территории иностранных государств?
  3. Как оператору определять, что персональные данные принадлежат россиянину?
  4. Как будет уживаться 152-ФЗ в новой редакции и Конвенция ETS N 108?  Ведь ратифицировав Конвенцию Россия согласилась, что она как сторона Конвенции «не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой Стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы». Приняв же этот закон государство устанавливает искусственные ограничения на передачу ПДн. При этом в соответствии п.4 ст.4 152-ФЗ правила международного договора являются приоритетными в случае различия правил.
  5. Как регуляторы будут контролировать где физически хранятся ПДн россиян?
  6. Как российский закон касается иностранных компании обрабатывающих ПДн в соответствии с требованиями своих нормативных актов по защите ПДн, в том числе в соответствии с Конвенцией ETS N 108?

В принятом виде 242-ФЗ вступает в силу 01.09.2016, однако, в настоящее время в Государственную думу внесен на рассмотрение Законопроект № 596277-6 «О внесении изменения в статью 4 Федерального закона "О внесении изменений в отельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях" предусматривающий перенесение даты вступления в силу 242-ФЗ на 1 января 2015 года. По мнению законодателей такое изменение будет способствовать более оперативному и эффективному обеспечению прав граждан Российской Федерации на сохранность персональных данных и соблюдение тайны переписки в информационно-телекоммуникационных сетях. Данный законопроект уже принят в двух чтениях и о вступлении в силу 242-ФЗ с 1 января можно уже говорить, как о свершившемся факте.

Однако, ускоряя вступление 242-ФЗ в силу, законодатели не предоставляют методик разъясняющих как конкретно должны храниться и обрабатываться ПДн россиян. Разработка новых методик и технических требований занимает у регулирующих органов значительное время и к 1 января 2015 года скорее всего таких документов не будет.

При этом компаниям нужно время, чтобы перестроить технические процессы так, чтобы выполнить требования закона и в то же время не допустить снижения качества предоставляемых услуг клиентам.

В данный момент трансграничная передача ПДн является удобным инструментом, который при правильном применении позволяет операторам снизить издержки при обработке ПДн на территории России, однако принятый 242-ФЗ может в корне изменить эту ситуацию. Несмотря на то, что эксперты сходятся во мнении, что данный закон предназначен в первую очередь для возможности ограничения доступа к сайтам обрабатывающих ПДн россиян (в частности социальным сетям), операторам, имеющим базы данных на территории иностранных государств и осуществляющих трансграничную передачу ПДн, стоит уже сейчас изучить свои бизнес-процессы с точки зрения возможности переноса данных на территорию России. Так как цели принятого законопроекта и дальнейшая практика его применения у нас в стране могут отличаться.

Администрация
сайта

Тема: Трансграничная передача персональных данных

Задайте мне Ваш вопрос