Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (Федеральный закон № 261-ФЗ от 01 июля 2011 года “О внесении изменений в ФЗ “О персональных данных”). Как это правильно делать?
В отношении трансграничной передачи ПДн у операторов обычно возникают следующие два вопроса:
1) Можно или нельзя передавать данные в конкретную страну?
2) Как это правильно делать не нарушая 152-ФЗ “О персональных данных”?
ПДн можно передавать в конкретную страну в одном из следующих случаев:
1) если эта страна является стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных
http://iso27000.ru/informacionnye-rubriki/zaschita-personalnyh-dannyh/evropeiskaya-konvenciya-o-zaschite-fizicheskih-lic-pri-avtomatizirovannoi-obrabotke-personalnyh-dannyh
Данную Конвенцию ратифицировали более 40 стран, включая Россию и не включая США.
2) Если эта страна входит в утверждаемый Роскомнадзором “Перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, обеспечивающих адекватную защиту прав субъектов персональных данных”.
Все эти списки нужны для того, чтобы оператор ПДн мог убедиться в адекватности защиты прав субъектов ПДн в той стране, куда он собирается передавать ПДн, но, даже если эта адекватность не обеспечивается, то все-равно закон разрешает передачу ПДн в эту страну в следующих случаях:
3) если на это имеется письменное согласие от субъекта ПДн;
4) если это предусмотрено международными договорами РФ;
5) если это предусмотрено федеральными законами РФ;
6) если это необходимо в целях исполнения договора, стороной которого является субъект ПДн;
7) если это необходимо для защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц при невозможности получения согласия в письменной форме субъекта ПДн.
При любом раскладе, при наличии письменного разрешения или договора с субъектом ПДн, закон разрешает передавать персональные данные куда угодно.
Как правильно осуществлять трансграничную передачу персональных данных? Здесь существует три основных момента:
1) уведомить Роскомнадзор о трансграничной передаче, включив соответствующий пункт в стандартную форму уведомления, которую можно найти на официальном сайте по адресу:
http://www.pd.rsoc.ru/operators-registry/notification/
2) Если трансграничная передача персональных данных осуществляется по сети Интернет, как это бывает в большинстве случаев, то необходимо использовать сертифицированные ФСБ России средства шифрования информации для обеспечения конфиденциальности ПДн в процессе их передачи по недоверенным каналам связи. Поскольку импортные СКЗИ ФСБ не сертифицирует, то СКЗИ должны быть отечественного происхождения. Здесь возникает частично надуманная проблема экспорта и проблема применения этих СКЗИ на территории иностранного государства.
Проблема экспорта СКЗИ надумана по той причине, что нет никакой необходимости физически перемещать оборудование или дистрибутивы СКЗИ через таможенные границы государств (все скачивается по тем же недоверенным каналам связи), а значит отсутствует и факт экспорта. Но даже если это будут программно-аппаратные криптошлюзы, то у отечественных производителей СКЗИ сейчас имеются экспортные варианты продукты, а у системных интеграторов – опыт получения лицензий Минэкономразвития и разрешений ФСБ на вывоз криптосредств.
Проблема использования СКЗИ на территории иностранного государства менее надумана, т.к. иностранные государства, также как и Россия, могут ограничивать использование импортных СКЗИ для защиты ПДн на своей территории и могут требовать наличия местных сертификатов. В этом случае получается замкнутый круг, но это в теории. А на практике такого регулирования оборота и использования СКЗИ, как в России, вряд ли где еще можно встретить.
3) И последний момент, относящийся, впрочем, к любой передаче персональных данных, не только трансграничной: в договоре с третьей стороной надо не забыть прописать ее обязательства по обеспечению конфиденциальности и безопасности передаваемых этой стороне персональных данных, а также указать права субъектов, которые надо гарантировать, а именно:
– Право субъекта персональных данных на доступ к своим персональным данным (ст. 14)
– Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке …. (ст. 15)
– Право на обжалование действий или бездействия оператора (ст. 17)
Обязанности третьей стороны могут быть определены, например, следующим образом:
Эти обязанности могут быть также определены в дополнительном соглашении к договору, регламентирующем операции между сторонами, например, следующим образом:
1. Осуществлять обработку и передачу персональных данных только при условии получения согласия от субъектов ПДн.
2. Немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных и уведомить оператора ПДн
3. Предоставить субъекту персональных данных возможность получения сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, а также на ознакомление с такими персональными данными. По требованию субъекта персональных данных третья сторона обязана произвести уточнение его персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
4. Уведомить субъекта персональных данных о его правах, в отношении его персональных данных, обрабатываемых третьей стороной.
Comments (2)
Максим Рублев 22-07-2013 02:36
Трансграничная передача персональных данных
В настоящий момент наша компания сотрудничает с компанией из Германии, которая анализирует данные наших клиентов (гл. обр. данные о покупках, но и персональные данные тоже) и консультирует нас в вопросах маркетинга. В рамках проекта наша компания предоставляет в Германию персональные данные клиентов, т.е. осуществляет их трансграничную передачу (Internet).
При передаче данных применяется шифрование (Средствами марщрутизаторов Cisco). В анкетах покупателей есть согласие на предоставление ПД компаниям, с которыми мы связаны договорными обязательствами, но не говорится о трансграничной передаче. В законе говорится, что трансграничная передача МОЖЕТ БЫТЬ ограничена законом. Но конкретные ограничения прописаны только в отношении стран, не защищающих должным образом права субъектов ПД.
Прошу Вас оценить, остаемся ли мы с этими действиями в рамках закона о ПД (ФЗ 152) или вылезаем за его рамки. Если вылезаем, то каковы риски.
На мой взгляд, из ФЗ-152 следует: если Германия относится к «благонадежным» странам, то доп. согласия и доп. мер предосторожности не требуется.
Каково Ваше мнение?
Александр Астахов 22-07-2013 06:30
Трансграничная передача персональных данных
Что вы имеете ввиду под дополнительными мерами предосторожности не знаю, а доп. согласия, именно на трансграничную передачу данных, на мой взгляд, в данном случае, может и не требуется в обязательном порядке (по крайней мере из закона явно не вытекает). Однако все же лучше, чтобы согласия субъектов были письменными и как можно более конкретными. Это позволит избежать спорных ситуаций, когда субъект заявит, что не знал о трансграничной передаче, когда давал согласие. “Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным” (п 1 ст. 9 152-ФЗ). Письменное согласие должно содержать “…. 6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу…” (п. 4 ст. 9 152-ФЗ).