Трансграничная передача персональных данных что это

Сегодня предлагаем ознакомиться с информацией на тему: "Трансграничная передача персональных данных что это". Здесь собран весь материал на тему и представлен в удобном для чтения виде. Если, все-таки возникли частные вопросы, то их вы в любой момент можете задать нашему дежурному консультанту.

Трансграничная передача данных Передача данных за границу

На территории РФ любая компания так или иначе является оператором персональных данных, а значит попадает под действие российского законодательства, регулирующего все аспекты работы с персональными данными. Развитие международных отношений и сети «Интернет» порой является причиной обработки персональных данных граждан РФ за рубежом. Такая обработка также регулируется Федеральным законом «О персональных данных».

Отметим, что Закон 1 обязывает оператора при обработке персональных данных обеспечить хранение баз данных на территории РФ. Т.е. клиентская база данных, база данных сотрудников и другие базы должны быть расположены в дата-центрах на территории РФ.

Но существует ряд исключений. Обработка персональных данных может производиться на серверах за пределами РФ в следующих случаях:

  1. Обработка нужна для исполнения международных договоров Российской Федерации или закона РФ.
  2. Осуществляется в связи с участием лица в суде.
  3. Необходима для исполнения полномочий государственных и муниципальных органов власти.
  4. Необходима для законной профессиональной деятельности журналиста и СМИ либо научной, литературной или иной творческой деятельности при условии, что не нарушаются права и законные интересы субъекта.

Стоит отметить, что закон не запрещает с согласия субъекта персональных данных хранить копию баз данных, расположенных на территории РФ, заграницей и проводить необходимые операции для работы компании уже с копией.

У операторов, при осуществлении своей деятельности, возникает необходимость передать персональные данные своему партнеру, который может находится и вне России. Такая передача именуется в законе трансграничной, и к ней также имеется ряд требований, прописанных в 152-ФЗ.

В первую очередь, передача персональных данных разрешена в том случае, если иностранное государство обеспечивает так называемую «адекватную» защиту прав субъектов. Под странами, обеспечивающими адекватную защиту понимаются страны, являющиеся сторонами Конвенции Совета Европы о защите физ. лиц при автоматизированной обработке ПДн, а также иностранные государства, перечень которых установил Роскомнадзор. Оператор должен убедиться сам, что иностранным государством, обеспечивается адекватная защита прав субъектов, до начала осуществления передачи.

В страны, не обеспечивающих адекватной защиты прав субъектов персональных данных, также могут быть переданы персональные данные при соблюдении из одного из условий, перечисленных ниже:

  • наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу;
  • предусмотренных международными договорами Российской Федерации;
  • исполнения договора, стороной которого является субъект персональных данных;
  • защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Независимо от иностранного государства передача данных может быть, как разрешена, так и запрещена, если это необходимо в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса.

1. Часть 5 статьи 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Защита ПДн при трансграничной передаче

В законодательстве особое внимание уделено безопасности ПДн при их передаче за пределы Российской Федерации. Такая передача называется трансграничной.

До начала осуществления трансграничной передачи персональных данных оператор ПДн обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов ПДн. Министерство связи и массовых коммуникаций РФ (Минкомсвязи) в своем письме № ДС-П11-2502 от 13.05.2009 определило «адекватную защиту» как защиту, при которой «обеспечивается уровень защищенности прав субъектов персональных данных не ниже, чем в Российской Федерации».

Одним из критериев оценки государства в данном аспекте может выступать факт ратификации им «Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных» от 28 января 1981 г., ETS № 108. На сегодняшний день в число стран, подписавших и ратифицировавших указанную Конвенцию, входят: Австрия, Андорра, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Израиль, Ирландия, Исландия, Испания, Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония.

Специфика защиты ПДн для различных вертикальных рынков

Компания «Инфосистемы Джет» учитывает специфику исполнения Закона организациями из разных отраслей. К сожалению, многие поставщики решений по защите персональных данных применяют типовой подход как с точки зрения этапности и состава работ, так и подбора средств защиты. Наши специалисты стараются избежать такой «уравниловки».

К примеру, при разработке решений по защите персональных данных в телекоммуникационных организациях специалисты компании «Инфосистемы Джет» учитывают специфику работы с абонентскими базами и биллинговыми системами операторов связи. В случае с кредитно-финансовыми организациями многие компании большое внимание уделяют стандарту СТО БР, поэтому важно при проведении работ по защите персональных данных подбирать такие решения, которые могли бы одновременно закрывать требования и законодательства, и стандарта.

В каких случаях не надо обеспечивать «адекватную защиту» ПДн при трансграничной передаче.

Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

  • · наличия согласия в письменной форме субъекта персональных данных. То есть субъект ПДн как минимум должен письменно заверить оператора, что «он разрешает организации, которая обрабатывает его персональные данные, не защищать их при передаче за границу». Автор данной статьи скептически относится к такой возможности;
  • · предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
  • · предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
  • · исполнения договора, стороной которого является субъект персональных данных;
  • · защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
Читайте так же:  Как узнать сколько пенсионных баллов у меня

В своей деятельности компания «Инфосистемы Джет» также ориентируется на российское законодательство. В таблице №2 представлены нормативные акты, которые устанавливают требования в данной области для организации различных отраслей.

Компания «Инфосистемы Джет» имеет большой опыт проведения проектов в кредитно-финансовых организациях. В частности, в следующем разделе статьи приводится пример одного из решений, которое было реализовано в одном из крупных российских банков.

Таб. 2. Нормативно-правовые акты, устанавливающие требования по защите ПДн для различных вертикальных рынков

Обеспечение безопасности ПДн в кредитно-финансовых организациях

К персональным данным для сегмента автоматизированной банковской системы, связанного с ведением кредитной истории клиента, перечень обрабатываемых ПДн можно определить на основании Федерального закона от 30 декабря 2004 г. № 218-ФЗ «О кредитных историях». В соответствии с данным Законом необходимо иметь следующие сведения о заемщике:

  • · фамилия, имя, отчество;
  • · дата и место рождения;
  • · данные паспорта или иного документа, удостоверяющего личность (номер, дата и место выдачи, наименование выдавшего его органа);
  • · ИНН;
  • · страховой номер индивидуального лицевого счета;
  • · место регистрации и фактическое место жительства;
  • · сведения о государственной регистрации физического лица в качестве индивидуального предпринимателя.

Если учесть, что количество клиентов, кредитование которых осуществляет среднестатистический Банк, составляет не менее 80 000 человек, то такая совокупность параметров позволяет сделать вывод о том, что АБС относится к ИСПДн 2-го класса. А так как эти данные требуют обеспечения не только конфиденциальности, но и доступности и целостности, то мы относим АБС к специальной ИСПДн 2-го класса. По режиму обработки персональных данных рассматриваемая ИСПДн относится к многопользовательской, а по разграничению прав доступа — к системе с разными правами доступа к ПДн. Это требует проведения определенных мероприятий по обеспечению безопасности.

В подсистеме управления доступом должны осуществляться следующие мероприятия:

  • · идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длинной не мене шести буквенно-цифровых символов;
  • · межсетевое экранирование — не ниже третьего уровня защищенности (при наличии подключения к сетям общего пользования в распределенной ИСПДн МЭ должен выполнять функции, как и с ИСПДн 1 класса с многопользовательским режимом и равными правами доступа пользователей);
  • · идентификация терминалов, компьютеров, узлов сети ИСПДн, каналов связи, внешних устройств компьютеров по логическим именам;
  • · идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
  • · контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

В подсистеме регистрации и учета должны осуществляться следующие мероприятия:

  • · регистрация входа (выхода) субъектов доступа в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее корректного выключения;
  • · учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);
  • · учет защищаемых носителей в журнале (картотеке) с регистрацией их выдачи (приема);
  • · регистрация выдачи печатных (графических) документов на «твердую» копию;
  • · регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов;
  • · регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;
  • · регистрация попыток доступа программных средств к следующим объектам доступа: терминалам, компьютерам, узлам сети ИСПДн, линиям (каналам) связи, внешним устройствам компьютеров, программам, томам, каталогам, файлам, записям, полям записей;
  • · учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);
  • · очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти компьютеров и внешних накопителей.

В подсистеме обеспечения целостности должны проводиться следующие мероприятия:

  • · резервное копирование ПДн на отчуждаемые носители информации;
  • · обеспечение целостности средств защиты от программно-математических воздействий.

В подсистеме антивирусной защиты должны проводиться следующие мероприятия:

· на всех технических средствах ИСПДн должен проводиться непрерывный согласованный по единому сценарию автоматический мониторинг информационного обмена в ИСПДн с целью выявления проявлений программно-математических воздействий.

В подсистеме защиты от утечки данных в ИСПДн по техническим каналам для ИСПДн 2-го класса использовались СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (например, ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96).

Что нужно знать о трансграничной передачи персональных данных

Стремительное развитие сети Интернет и эффект глобализации подразумевает нивелирование территориальных ограничений между государствами, что способствует формированию оптимальных условий для осуществления международной коммерческой деятельности.

Дорогие читатели! Статья рассказывает о типовых способах решения юридических вопросов, но каждый случай индивидуален. Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь к консультанту:

+7 (812) 317-50-97 (Санкт-Петербург)

ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.

Это быстро и БЕСПЛАТНО!

Постепенное стирание границ между государствами делает очевидной необходимость в создании единого законодательства для всего мира. Однако значительно затрудняет процесс объединения нормативно-правовые системы государств – каждое Правительство по-своему формирует регламент для той или иной процедуры.

В некоторых случаях правила проведения какого-либо процесса в соответствии с критериями одного субъекта, приобретают совершенно противоположный оттенок для этой же операции за границей.

Однако все же деятельность по выделению общих положений ведется – в отдельных ситуациях очень медленно, но все же она есть. Стоит рассмотреть так называемую трансграничную передачу персональных данных, в которую активно вмешивается государство, подкрепляя это тем, что нерегулируемая процедура может стать причиной снижения уровня безопасности для всей России.

Читайте так же:  Какая прибавка к пенсии после 80 лет

Что это такое

Трансграничная передача персональных данных – это процесс передачи сведений личного характера, в ходе которого оператор переправляет их через государственную границу Российской Федерации.

Адресатом в данном случае может вступать:

  • какая-либо властная структура иной страны;
  • физическое лицо, имеющее другое гражданство;
  • юридическое лицо, ведущее свою деятельность на территории чужого государства.

Необходимость в обеспечении передачи информации через границу стало актуальным после того, как началось объединение Европы. Для проведения таких операций нужно было создать законодательство, регламентирующее порядок реализации и возможные проблемы.

Правовое регулирование

На данный момент в российском законодательстве отсутствуют строгие условия обмена информацией с иностранными резидентами.

Ограничения и исключения

В законе № 152-ФЗ определены запреты, которые распространяются на трансграничную передачу данных. Ограничения действуют в целях обеспечения конституционных положений, нравственности, прав граждан и для поддержания обороноспособности страны.

В то же время в данном законе отсутствуют какие-либо иные правила. В частности, в нем не отражены условия, при которых государствам, реализующим механизмы защиты личной информации, могла бы ограничиваться передача. В качестве таких стран выступают члены конвенции ETS № 108, а также иные, утвержденные Роскомнадзором в приказе № 274.

При этом в ФЗ № 152 установлены ситуации, когда заинтересованным лицом может производиться направление персональных данных даже при отсутствии достаточной защиты:

  • если предоставление информации является необходимым для обеспечения защиты конституции, прав и интересов общества и личности, поддержания обороноспособности страны и исключения незаконного вмешательства в данные направления;
  • когда выполняются положения договора, одна из сторон которого является носителем сведений;
  • когда возникла необходимость в обеспечении защиты здоровья, жизни и интересов гражданина, а также иных участников процесса при невозможности приобрести разрешение первого;
  • в случаях, указанные в международных соглашениях;
  • при получении согласия на обработку данных от субъекта.

Учитывая достаточную «молодость» законодательства в сфере коммуникаций, возможно возникновение неадекватных указаний.

Правила трансграничной передачи

Трансграничная передача может быть осуществлена лишь при выполнении установленных правил. В частности, перед тем, как начать процесс обработки персональной информации, оператор должен подтвердить, что принимающая сторона проводит политику защиту личных данных при реализации процедуры.

[2]

Если рассматривать правила передачи в обычном режиме, то считается достаточным выстроить достойный уровень защиты сведений.

Чтобы сделать это, считается необходимым разработать следующую документацию:

  • общие положения фирмы, куда входит ее организационная структура, перечень государств, с которыми будет производиться передача сведений, цели процесса с моментами об обработке информации за границей;
  • правовые обоснования;
  • подробное описание объекта;
  • конкретизация характеристик данных через уточнение категории пересылаемых данных, категории субъектов ПДн, методики обработки информации;
  • регламент обеспечения и поддержания безопасности в процессе взаимного обмена вместе с описанием стандартов пересылки, протоколов и каналов передачи;
  • описание мероприятий и средств, суть которых заключается в установлении достойного уровня защиты;
  • правовая регламентация трансграничной передачи в стране, принимающей сведения.

Также допускается разработка и внедрение иных положений, если была установлена необходимость в выделении дополнительного регламента.

Какие нужно предпринять действия

Просто так совершить трансграничную передачу не допускается законодательством страны.

Так, отправитель должен предпринять следующие действия:

Не каждый гражданин без подготовки может совершить весь порядок действий и не допустить ошибку.

Как обеспечить безопасность

В целях обеспечения надежной передачи данных из одного государства в другое, важно реализовать ряд мероприятий, направленных на защиту каналов отправки персональных сведений.

На данный момент существует множество методик, способных поддерживать защиту информации на виртуальных ресурсах. Однако в каждом случае все равно существует вероятность взлома механизмов и получения доступа к файлам. Поэтому не рекомендуется экономить на программном обеспечении, поддерживающим безопасность пересылки.

Ответственность за нарушения

Если перед тем как будет осуществлена трансграничная передача персональных данных, своевременно не уведомить Роскомнадзор, то данное бездействие будет носить характер незаконного деяния.

Такое правонарушение попадает под ст. 19.6 Административного кодекса Российской Федерации. Виновный привлекается к ответственности и уплате штрафа в размере 5 тысяч рублей.

Следует уточнить, что направление сообщения в Роскомнадзор после совершения операции также приравнивается к несоблюдению установленного регламента.

  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов. Базовая информация не гарантирует решение именно Ваших проблем.

Поэтому для вас круглосуточно работают БЕСПЛАТНЫЕ эксперты-консультанты!

  1. Задайте вопрос через форму (внизу), либо через онлайн-чат
  2. Позвоните на горячую линию:
    • Москва и Область — +7 (499) 110-56-12
    • Санкт-Петербург и область — +7 (812) 317-50-97
    • Регионы — 8 (800) 222-69-48

ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.

Трансграничная передача

Очень и очень больной вопрос в области ПДн –трансграничная передача данных.

Хотелось бы высказать свои частные соображения по этому вопросу. Итак…

Что такое трансграничная передача данных? Трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства. До начала передачи оператор должен убедиться в том, что на территории иностранного государства обеспечена адекватная защита прав субъектов ПДн.

Камнем преткновения является формулировка «адекватная защита», критерии адекватности не определяются, при этом здравый смысл подсказывает, что адекватной становится защита, которая соответствует российскому законодательству.

Понятное дело, что нигде в мире не существует систем соответствующих российскому законодательству, стало быть, юридически адекватная защита не обеспечивается нигде. Понятное дело, что такое прямое заключение противоречит «духу закона» (это понятие достаточно часто стало циркулировать в области защиты ПДн), и законодатель, сам того не зная, обрек нас всех на огромную дыру в законе. Как эту проблему решать, большой вопрос, по моей информации, наши регуляторы уже дали свои рекомендации по внесению поправок в ФЗ №152, как раз по части этого пункта.

Читайте так же:  Если отец не платит алименты на ребенка что делать

Что могут делать операторы если адекватная защита не обеспечена? Приведу весть 3 пункт 12 статьи ФЗ №152 со своими комментариями:

«Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1) наличия согласия в письменной форме субъекта персональных данных; (тут все понятно)

2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам; (Если Интерполу необходима информация о международном преступнике, то согласие с преступника никто не попросит)

[1]

3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства; (тут тоже все понятно)

4) исполнения договора, стороной которого является субъект персональных данных; (если вы решили съездить на охоту, куда-нибудь в африку, то у туристической фирмы должны быть основания забронировать для вас гостиницу, купить авиабилеты…)

Видео (кликните для воспроизведения).

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.» (если субъект попал автокатастрофу в Египте и необходимо срочное переливание крови, то просить с него разрешение на пересылку данных из российской больницы, мягко говоря глупо)

Анализируя вышесказанное, единственным способом для большинства операторов выполнить требования 12 статьи – это получение согласия субъекта ПДн в письменной форме.

Трансграничная передача персональных данных: что это

Трансграничная передача персональных данных — 11) трансграничная передача персональных данных передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Источник: Федеральный… … Официальная терминология

ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ — согласно Федеральному закону «О персональных данных» от 27.07.2006 № 152 ФЗ, – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу… … Делопроизводство и архивное дело в терминах и определениях

Carnivore (программное обеспечение) — Carnivore (от англ. «Плотоядный», «Хищник, питающийся только живой плотью») автоматическая система шпионажа ФБР для прослушивания информации поступающей и уходящей с Web сайтов, анализа баз данных на Web сайтах, а также для вскрытия и… … Википедия

Трансграничная передача ПДн: проблемы и пути решения

Сегодня с распространением Интернета территориальных ограничений для ведения бизнеса с каждым днем становится все меньше и меньше. Число компаний, обращающихся за различного рода услугами к иностранным контрагентам растет, а российский клиент на глобальном рынке становится все более интересным. С распространением облачных технологий возросло число компаний, размещающих данные на зарубежных серверах.

Несмотря на все преимущества отсутствия территориальных рамок, неизбежно возникают вопросы выбора юрисдикции и права для разрешения вопросов, связанных с отношениями контрагентов из разных стран.

Особенно остро эта проблема возникает при рассмотрении вопроса передачи персональных данных между российскими и зарубежными партнерами.

Трансграничная передача

Напомним, что в соответствии с законодательством оператором признается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

При этом под обработкой понимается любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В соответствии со ст. 12 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления трансграничной передачи персональных данных.

Что означает «адекватная защита»?

Закон не содержит ни перечня мер, подпадающих под адекватную защиту, ни методов определения адекватности.

В п. 1 ст. 12 закона указывается, что иностранные государства, ратифицировавшие Конвенцию Совета Европы от 28.01.1981 г. о защите физических лиц при автоматизированной обработке ПДн, точно обеспечивают так называемую адекватную защиту.

В настоящий момент в число стран, подписавших и ратифицировавших указанную конвенцию, входят: Австрия, Андорра, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Израиль, Ирландия, Исландия, Испания, Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Украина, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония.

Передача персональных данных в страны, не обеспечивающие адекватную защиту, возможна в следующих случаях (перечень исчерпывающий):

    при наличии согласия в письменной форме субъекта персональных данных (но здесь стоит учитывать, что согласие должно содержать прямое указание на трансграничную передачу ПДн и страну, в которую такая передача осуществляется);

предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;

предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;

исполнения договора, стороной которого является субъект персональных данных;

защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Ответственность за нарушение правил трансграничной передачи

На данный момент законодательно закреплена только «общая» ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных, которая влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей (ст. 13.11 Кодекса об административных правонарушениях Российской Федерации).

Читайте так же:  Близкие родственники — это кто по закону и какие между ними могут быть сделки

Трансграничная передача ПДн – это передача ПДн оператором через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

По всей видимости, в ближайшем будущем дополнения в ФЗ «О персональных данных» еще будут – и это вызвано прежде всего неоднозначностью толкования российского законодательства и разнородностью нормативно-правовой базы тех стран, на территорию которых передаются персональные данные.

Совет операторам, осуществляющим трансграничную передачу ПДн

Несмотря на незначительность последствий, примите меры по комплексной защите ПДн – это поможет вам в спорной ситуации обосновать адекватность их защиты:

    общие положения (организационная структура компании;

страна (страны), в которую передаются ПДн; цель передачи и обработки ПДн за границей);

правовое обоснование трансграничной передачи персональных данных (перечень нормативно-правовых документов, на основании которых осуществляется передача и обработка ПДн);

описание объекта защиты;

характеристики передаваемых ПДн (категории ПДн, передаваемых за границу; категории субъектов ПДн; способы обработки ПДн – автоматизированная, неавтоматизированная, смешанная обработка);

описание мероприятий и средств обеспечения защиты передаваемых ПДн (организационные мероприятия; технические средства защиты информации);

состав законодательства иностранного государства, отражающего вопросы защиты ПДн;

если страна трансграничной передачи не указана ни в одном из приведенных перечней, возьмите согласие с субъекта ПДн с прямым указанием на страну, в которую данные передаются.

Немного о личном и трансграничном

Как закон о локализации персональных данных влияет на российский рынок

1 сентября исполняется три года с момента вступления в силу изменений в Федеральный закон № 152-ФЗ «О персональных данных» (242-ФЗ). Помимо существовавших требований ко всем компаниям, организациям и физическим лицам, которые обрабатывают конфиденциальную информацию граждан, нормативно-правовой акт ввел новые обязанности. А именно, теперь они должны хранить персональные данные (ПД) на территории РФ. Также документ определил создание Реестра нарушителей, вести который доверили уполномоченному органу по защите прав субъектов ПД – Роскомнадзору.

Кому это нужно

Целью законодательных изменений являлось прекращение бесконтрольного использования конфиденциальной информации россиян на территории других государств. Документ потребовал от операторов персональных данных выполнения единственного условия – соответствовать стандартам Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД.

242-ФЗ установил специальные критерии определения «виртуальных» границ России в соответствии с трансграничным и децентрализованным характером интернета. Так, деятельность компаний по обработке ПД может быть отнесена к осуществляемой на территории России, если:

1) у сайта есть русскоязычная версия;
2) доменное имя связано с РФ (.ru, .рф и т. д.);
3) исполнение заключенного на таком сайте договора (доставка товара, оказание услуги, пользование цифровым контентом) производится в российских рублях;
4) реклама показывается пользователю на русском языке.

Минкомсвязь в своих разъяснениях пишет, что у компаний могут быть и иные обстоятельства, «явно свидетельствующие о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию».

Изменения, внесенные 242-ФЗ, не затронули положений о трансграничной передаче данных.

ТРАНСФЕР ПД ЗА ПРЕДЕЛЫ РОССИИ ОСТАЛСЯ ВОЗМОЖЕН С СОБЛЮДЕНИЕМ УСЛОВИЙ ЗАКОНА

Как отмечали некоторые российские эксперты, Роскомнадзору удалось найти решение, позволяющее осуществлять и локализацию персональных данных, и их трансграничную передачу.

Суть решения состояла в том, чтобы разделить все базы на две группы. ПД должны быть первоначально записаны и сохранены на территории России («первичная база данных»). После этого информация из них может быть скопирована за пределы страны во «вторичную базу данных» с соблюдением условий трансграничной передачи.

«Другими словами, главная копия личных данных российских граждан, собранных в России, должна быть расположена в России, так же как последующие обновления и дополнения к этим личным данным. Технические решения, в которых первичная база данных находится за рубежом и создается только русская копия («копия» или «зеркало») такой зарубежной базы данных, не соответствуют закону», – пишет в своем исследовании юрист компании IBM (Россия/СНГ), старший научный сотрудник НИУ ВШЭ, член Консультативного совета при Роскомнадзоре Александр Савельев.

Важно, что новый порядок обработки ПД начал действовать только для тех баз с данными российских пользователей, которые были собраны после 1 сентября 2015 года. Хранилища конфиденциальной информации, созданные до даты вступления в силу закона, под требования не попали. Таким образом, компаниям дали время на подготовку к новым изменениям без ущерба для своей деятельности.

ОБНОВИТЬ И ДОПОЛНИТЬ СТАРЫЕ БАЗЫ БЕЗ ИХ ЛОКАЛИЗАЦИИ НА ТЕРРИТОРИИ РОССИИ, СОГЛАСНО 242-ФЗ, СТАЛО НЕВОЗМОЖНО

Закон также дал расширенные права российским интернет-пользователям по контролю за использованием их ПД. В случае неправомерной обработки граждане вправе обратиться в Роскомнадзор или суд. Если компания игнорирует нормы 152-ФЗ, ее внесут в Реестр нарушителей прав субъектов персональных данных, а к сервисам будет ограничен доступ на территории России. За несоблюдение требований 242-ФЗ предусмотрена аналогичная ответственность.

Что общего с GDPR

Российский 152-ФЗ и новый Генеральный регламент о защите персональных данных (англ. General Data Protection Regulation, GDPR) имеют самостоятельную территориальную и юрисдикционную сферу применения в пространстве, по кругу лиц и во времени.

Так, 152-ФЗ не обладает экстерриториальным действием, не распространяется на нерезидентов, собирающих ПД российских граждан за границей (в случае если они не осуществляют деятельность в интернете, направленную на Российскую Федерацию). GDPR же не ограничивает сферу действия права о персональных данных по «национальному принципу». Защита персональных данных осуществляется на территории Евросоюза и в государствах-членах независимо от гражданства или места проживания.

РОССИЙСКИЙ И ЕВРОПЕЙСКИЙ ЗАКОНЫ ПОХОЖИ В ПОДХОДАХ РЕГУЛИРОВАНИЯ ТРАНСГРАНИЧНОЙ ПЕРЕДАЧИ ДАННЫХ

Глава V Регламента GDPR регулирует порядок перемещения ПД за пределы ЕС. Передача данных может иметь место, когда Европейская комиссия сделала вывод о надлежащем обеспечении гарантий защиты ПД третьей стороной (страной, ее субъектами или международной организацией). Решение о передаче данных может быть отменено, изменено или приостановлено в случае низкой оценки уровня защиты. Критерии оценки, из которых должна исходить Европейская комиссия, закреплены в ст. 45 Регламента GDPR.

Читайте так же:  Как перевести пенсию на почту со сбербанка

152-ФЗ разрешает трансграничную передачу ПД в страны, которые являются сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Государства, не являющихся сторонами Конвенции, также могут осуществлять трансграничную передачу, если Роскомнадзор включит их в перечень иностранных государств с адекватной защитой прав субъектов персональных данных. Сейчас в списке находятся 23 страны.

Трансграничная передача может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

Тем не менее схожие положения отечественного и европейского законов не дают оснований делать вывод относительно их «гармонизации», пишет Институт развития интернета в своем исследовании. «Для российских компаний, деятельность которых связана со сферой персональных данных, ориентированных на пользователей в Евросоюзе, имеющих договорно-правовые обязательства с контрагентами ЕС, – это означает «двойное обременение»».

Кто хочет – ищет способ

Закон вызвал противоречивую реакцию крупных организаций и торговых ассоциаций. Члены КСИИ и АЕБ просили уточнить некоторые понятия в законодательном акте и перенести сроки его вступления в силу, пишут издания «Коммерсантъ» и «РБК».

Такой поступок эксперты объясняли выжидательной позицией компаний. По мнению главного аналитика Российской ассоциации электронных коммуникаций (РАЭК) Карена Казаряна, часть IT-компаний были готовы к исполнению закона, но ждали примеров его правоприменения, на основе которых будут определять масштабы размещения в России. Их сомнения, отмечал К. Казарян, также могли быть связаны с «неспособностью российских дата-центров удовлетворить высокие требования западных компаний к уровню сервиса SLA (Service Level Agreements)».

В то же время компании Aliexpress, Booking.com, Ebay, PayPal, Uber, Samsung и др. подтвердили свою готовность исполнять новые требования после встреч с Роскомнадзором и разъяснений РАЭК. Глава комитета Госдумы по информационной политике, информационным технологиям и связи Леонид Левин заявлял: «Времени подготовиться к вступлению 242-ФЗ в силу было достаточно. Тем более что Роскомнадзор постоянно ведет консультации с заинтересованными компаниями и нехватки мощностей в дата-центрах не предвидится».

О том, что локализация данных – новый тренд развития интернета, в свое время рассказывала заместитель главы Роскомнадзора Антонина Приезжева.

Как это помогает бизнесу

Рост рынка коммерческих дата-центров в России эксперты прогнозировали сразу после принятия закона.

О местах для переноса и хранения баз данных говорил ведущий аналитик в области промышленных систем IDC Russia Михаил Попов. По сведениям эксперта, мощностей для такого объема информации должно хватить всем операторам ПД, а внедрение этого закона поможет развитию российской отрасли дата-центров.

«Безопасность российских ЦОДов определяется законодательством и технической документацией. Есть требования ФСТЕК и ФСБ, которые необходимо соблюдать для получения лицензии. Таким образом, дата-центры любого типа, которые предоставляют услуги хранения данных, сертифицированы, и все они предоставляют более или менее равные по степени защищенности услуги. На сегодня требований указанных выше ведомств достаточно, и сертификаты имеют все крупные, большинство средних и достаточное количество малых ЦОДов», – считает М. Попов.

В исследовании 2017 года эксперты iKS-Consulting отметили рост российского рынка ЦОДов на 20 процентов. Тогда его объем уже составил 16,8 млрд рублей.

По прогнозу «ТМТ Консалтинг», рынок продолжит расти еще на 9%, до 39,6 тыс. стойко-мест, при выручке в 26,7 млрд рублей.

ПЕРСПЕКТИВНЫМ СЕГМЕНТОМ ОСТАЮТСЯ МЕЖДУНАРОДНЫЕ КОМПАНИИ, КОТОРЫЕ РАЗМЕЩАЮТ В РОССИЙСКИХ ДАТА-ЦЕНТРАХ БИЗНЕС-РЕШЕНИЯ, ИСПОЛЬЗУЮЩИЕ ПД ПОЛЬЗОВАТЕЛЕЙ РФ

К 2018 году наметилось несколько тенденций развития рынка:

[3]

Популяризация cloud-решений. Перевод в «облака» информационных систем бизнеса и госструктур спровоцировано нестабильной экономической ситуацией. Отсюда и желание компаний минимизировать расходы, сохранив при этом эффективность.

Появление новых клиентов. Услуги коммерческих ЦОДов пользуются спросом среди IT-гигантов. Принятие новых законов – 242-ФЗ, GDPR, «Закон Яровой» – стали причиной смены поставщика услуг дата-центров с иностранных на отечественных.

Развитие государственных проектов. Государство проявляет интерес к развитию собственной IT-среды. Реализация государственной программы «Цифровая экономика РФ» позволит увеличить количество дата-центров в России и выработать единую схему их распределения по стране.

С момента реализации 242-ФЗ, как сообщил Роскомнадзор, проведено более 3 тыс. плановых проверок в отношении операторов, осуществляющих обработку ПД. Локализацию баз данных на территории России подтвердили 225 666 организаций.

В итоге только одна компания не выполнила требования российского законодательства в сфере персональных данных и оказалась в Реестре нарушителей – LinkedIn.

Видео (кликните для воспроизведения).

Новые стандарты информационной безопасности становятся тенденцией для развития IT-рынка и внедрения законодательных инициатив в бизнес-процессы. 152-ФЗ, «Закон Яровой», GDPR и другие нормы мотивируют отрасль активнее развивать свои продукты и улучшать качество услуг для пользователей. А граждане цивилизованных стран получают возможность защитить свое право на неприкосновенность информации о себе и личного пространства.

Источники


  1. Матузов, Н. И. Теория государства и права / Н.И. Матузов, А.В. Малько. — М.: Дело, 2013. — 528 c.

  2. Правоведение. — Москва: Мир, 2008. — 319 c.

  3. Краткий курс по теории государства и права. Учебное пособие. — М.: Окей-книга, Рипол Классик, 2016. — 144 c.
  4. Хазиев, Ш. Н. Вопросы судебной экспертизы в деятельности Европейского Суда по правам человека / Ш.Н. Хазиев. — М.: Компания Спутник +, 2017. — 935 c.
  5. Дубинский, А. Руководствуясь законом; политической литературы Украины, 2013. — 112 c.
Трансграничная передача персональных данных что это
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here