Трансграничная передача данных это

Трансграничная передача персональных данных: что это

Трансграничная передача данных это

Многие из нас порой сталкиваются с явлениями, которых ранее никогда не встречали. Одним из таких явлений можно назвать трансграничную передачу данных – это пересылка сведений, проходящая в особенном формате.

Каком именно, при каких условиях и многое другое – вопросы, которые часто интересуют специалистов, работающих в сфере обеспечения информационной безопасности.

Давайте разберем данную информацию в представленном материале, и ответим на давно интересующие вас вопросы.

Трансграничная передача персональных данных: что это

Что такое трансграничная передача персональных данных

В первую очередь необходимо разобрать, что же таит в себе это непонятное для многих явление – трансграничная передача персональных данных.

Так, под данным термином кроется такая передача персональных данных, при которых оператор направляет их непосредственно через государственную границу нашей страны, при этом, адресатом данной передачи является:

  • какой-либо орган властной структуры иного государства;
  • физическое лицо иностранного государства;
  • юридическое лицо.

Вопрос, касающийся передачи данных через границу, поднялся тогда, когда началось объединение государств Европы. В то время необходимо было сделать следующее:

  • создать унифицированное законодательство в данной области;
  • узаконить передачу данных через границы различных государств.

Персональные данные могут в некоторых случаях передаваться без разрешения на то их субъекта

Благодаря возникновению перечисленных необходимостей, произошло создание так называемой Конвенции, которая урегулировала общие вопросы относительно данного явления.

Однако, требовалось также решить вопрос с защитой персональных данных, точнее, с сохранением ее на должном уровне после того, как они окажутся на территории иностранного государства. Дело в том, что:

  • гражданин конкретной страны имеет реальную возможность отстоять свои права и интересы, находясь на территории государства, к которому он принадлежит;
  • при этом, шансы на осуществление защиты интересов на территории иной страны в реальности крайне малы, сделать это представляется практически невозможно.

Правила трансграничной передачи данных

Каким же образом происходит осуществление так называемой трансграничной передачи информационных сведений?

Какие правила регулируют проведение данной процедуры?

На этот вопрос отвечает одна из статей Федерального закона №152, посредством которого осуществляется регулирование связанных с персональными данными нюансов. Давайте рассмотрим обозначенные в ней установки.

1.

 Прежде чем начать проводить передачу данных, входящих в категорию персональных, через государственную границу, оператор, на которого возлагается данная задача, обязан убедиться в том, что принимающее сведения иностранное государство, через границу которого также будут переданы интересующие нас сведения, находится в процессе обеспечения адекватной защиты прав, имеющихся у субъекта искомых персональных данных.

2.

 Передача персональных сведений, осуществляемая через государственные границы на территорию иностранного государства, которое находится в процессе обеспечения так называемой адекватной (соответствующей требованиям ситуации) защиты прав субъекта рассматриваемых персональных данных, должна в обязательном порядке проводиться согласно Федеральному закону № 152. При этом, такая передача может:

  • запрещаться;
  • ограничиваться.

Целью создания таких ограничений и запретов является защита:

  • основ, на которых был создан конституционный строй нашей страны;
  • нравственности;
  • прав населения нашего государства;
  • здоровья населения Российской Федерации;
  • законных интересов граждан нашей страны
  • обеспечения на должном уровне оборонительной способности и безопасности государства.

3. Осуществление передачи персональной информации трансграничного типа на территорию иностранного государства может производиться без создания и обеспечения адекватного уровня защиты только в тех случаях, когда:

  • так называемый субъект персональных данных (физическое лицо, которое имеет к искомым данным прямое или косвенное отношение) дал письменное согласие на осуществление такой их передачи;
  • такой тип передачи предусматривается согласно заключенным Российской Федерацией международным договорам касательно вопросов о выдаче так называемых виз;
  • когда данные обстоятельства передачи персональных данных предусматриваются заключенными нашей страной международными договорами об оказании помощи гражданам по делам правовой, семейной, уголовной и гражданской категорий;
  • при условии, когда данные обстоятельства передачи предусматриваются на федеральном уровне, при наличии необходимости осуществить передачу ради защиты государства, обеспечения его оборонительной функции, и протекции конституционного строя Российской Федерации;
  • для исполнения заключенного на официальном уровне договора, одной из сторон которого является субъект, имеющий к искомым персональным данным прямое или косвенное отношение;
  • ради защиты здоровья, жизни или интересов субъекта персональных данных, представляющихся жизненно важными, а также ради защиты тех же наименований относительно иных лиц, при условии, что не имелось возможности получить от них письменное подтверждение и разрешение на передачу сведений.

Как видите, список исключений довольно широк, однако, необходимо отметить, что каких-либо противоречий он не вызывает, так как обоснованность каждого из пунктов вполне очевидно.

Федеральный закон «О персональных данных». Статья 12. Трансграничная передача персональных данных

Что же касается правил передачи, при которых не учитываются из ряда вон выходящие обстоятельства, то есть, пересылка сведений в другое государство производится в обычном режиме, чтобы организовать достойный (адекватный ситуации) уровень защиты сведений, необходимо проводить комплексные мероприятия различного типа, которые входят в основную часть работ, направленных на создание безопасной передачи персональных данных. Для этого разрабатываются следующие документы.

1.

 В первую очередь происходит разработка общих положений компании, а именно:

  • определяется ее организационная структуры;
  • разрабатывается список стран, в которые будет осуществляться передача персональных данных;
  • определяются цели передачи и приема с последующей обработкой передаваемых сведений за границей.

2.

 Далее осуществляется разработка и определение так называемых правовых обоснований передачи сведений персональной категории через границу, которые воплощаются в виде нормативно-правовой документации, которую в дальнейшем используют в качестве руководства.

3. Производится подробное описание объекта, подлежащего защите.

4. Устанавливаются конкретные характеристики пересылаемых персональных сведений, то есть определяются:

  • категории пересылаемых в иностранное государство персональных данных;
  • категории субъектов данных сведений;
  • методики обработки данной информации, которые могут быть полностью автоматизированным, не автоматизированными, или комбинированными.

5. Также осуществляется разработка регламента обеспечения безопасного взаимного обмена данными интересующей нас категории с иностранными представительствами компании:

  • описывается информационная система персональных данных, из которой осуществляется передача сведения;
  • описывается информационная система персональных данных, в которую осуществляется передача данных;
  • устанавливаются каналы передачи сведений;
  • определяются стандарты пересылки сведений;
  • прописываются протоколы передачи данных и тому подобное.

6. Производится подробное описание:

  • мероприятий, направленных на обеспечение должного уровня защиты данных;
  • средств, которые используются с той же целью (технические, в том числе из категории криптографических).

7. Также определяется состав законодательных актов иностранного государства, в которое осуществляется пересылка сведений, относительно вопросов, которые отражают защиту персональных данных.

8. Также разрабатываются заключительные положения. Какие шаги это в себя включает, рассмотрим в нижеследующей таблице.

Таблица 1. Этапы разработки заключительных положений

Первый этапВторой этапТретий этап
В первую очередь происходит разработка обязательств зарубежного филиала организации соблюдать законодательные установки, связанные с обработкой персональных данных государства, на территории которого он расположен.Во вторую очередь устанавливаются обязательства, касающиеся обеспечения требуемого уровня защиты сведений персональной категории, которые зарубежными филиалами принимаются и обрабатываются.Проставляются подписи лиц, состоящих:
  • в головном отделе организации;
  • в зарубежном филиале.Данные лица отвечают за выполнение заключительных положений, и именно поэтому обязаны завизировать их в письменном виде личной подписью.
  • Подведем итоги

    Преимущества такой тщательной подготовки состоят в том, что при передаче персональных данных уменьшается риск проявления каких-либо угроз в их сторону за счет существующего руководства, положения которого определены довольно четко.

    Кроме того, происходит повышение ответственности лиц, занимающих какую-либо должность, и отвечающих за соблюдение определенных на законодательном уровне норм информационной безопасности.

    Надеемся, понятие трансграничной передачи данных стало вам немного более понятным. При условии, что остались какие-либо «белые пятна», мы рекомендуем вам еще раз прочесть данный материал, или обратиться к более подробным руководствам, описывающим данное явление.

    Передача сведений через государственные границы проводится согласно законодательным нормам

    Источник: https://nalog-expert.com/grazhdanskoe-pravo/transgranichnaya-peredacha-personalnyh-dannyh-eto.html

    Особенности трансграничной передачи персональных данных: регламент отправки, документы и безопасность

    Трансграничная передача данных это

    Информация является важнейшей основой современных экономики и бизнеса. Всё больше экспертов полагают, что объёмы цифровой торговли и потоков трансграничных сведений будут расти быстрее, чем общие темпы глобальной торговли.

    Однако всё больше государств вводят барьеры, которые делают процесс отправки более дорогостоящим и трудоёмким. Некоторые из них обосновывают своё решение защитой конфиденциальности данных и кибербезопасности.

    Тем не менее, сегодня очевидно, что невозможно полностью оставить распространение информации через границы государств, но нужен баланс между свободным перемещением и безопасностью личных сведений.

    Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер. 

    Если вы хотите узнать, как решить именно Вашу проблему – обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92. Это быстро и бесплатно!

    Скрыть содержание

    Что это такое?

    В российском законодательстве под этим явлением понимается передача персональных данных иностранному государству, иностранному государственному агентству, гражданину иностранного государства или иностранному юридическому лицу. Такое определение прописано в статье 3 редакции 2017 года Федерального Закона “О Персональных данных” от 27.07.2006.

    Регламент отправки

    Касательно регламента отправки, в случае необходимости трансграничной передачи персональных данных за пределы границы РФ любое лицо, выполняющее обработку такой информации, должно удостовериться, что права и интересы субъекта будут соблюдены в достаточной мере, то есть необходимо его согласие. Все страны, которые подписали Страсбургскую Конвенцию считаются способными обеспечивать достаточную защиту прав и интересов субъекта.

    Также существует официальный список, принятый Роскомнадзором, стран, которые тоже удовлетворяют требованиям защиты информации при переводе через границу. В частности, туда входят:

    • Австралия.
    • Аргентина.
    • Израиль.
    • Канада.
    • Мексика.
    • Новая Зеландия.

    Согласно закону “О Персональных данных” передача сведений через границу может быть запрещена по причине:

    • защиты конституционного строя Российской федерации;
    • нравственности;
    • здоровья;
    • прав и законных интересов граждан РФ;
    • национальной безопасности.

    В то же время, трансграничная передача персональных данных в страны, которые не способны обеспечить достаточную защиту такой информации, разрешена только в нескольких случаях:

    1. было получено письменного согласие соответствующего субъекта на трансграничную передачу персональных данных;
    2. трансграничная передача данных разрешена по условиям международным договоров, участником которых является Россия;
    3. перевод информации в другую страну разрешен по условиям принятых законов, если это необходимо для защиты конституционного строя РФ, государственной безопасности, а также поддержания жизнеспособности транспортной системы, защиты интересов лиц, общества, государства в транспортной сфере при незаконном вторжении;
    4. отправка конфиденциальных сведений осуществляется для выполнения контракта, участником которого является субъект;
    5. передача данных через границу требуется для защиты жизни субъекта, его здоровья или иных важных интересов, а получение письменного согласие лица не является возможным.

    Пошаговая инструкция

    Таким образом, для того, чтобы осуществить перевод конфиденциальных сведений в другую страну необходимо:

    Как обеспечить безопасность?

    Для надежной отправки данных необходимо провести защиту каналов передачи персональной информации. Если же эта операция производится через Интернет или через другие незащищённые каналы, то рекомендуется использовать средства шифрования.

    ВНИМАНИЕ. Обычно не требуется регистрация в Роскомнадзоре или одобрение письменного согласия для трансграничной передачи. Согласие должно быть просто подписано соответствующим субъектом. Однако необходимо уведомить Роскомнадзор о трансграничной передаче персональных данных.

    1. Согласие того, чьи данные передаются.
    2. Договор с принимающей стороной.
    3. Письменное уведомление Роскомнадзора.

    Если же об использовании конфиденциальных сведений не будет сообщено в Роскомнадзор, то это будет считаться незаконным переводом информации в другую страну. Это является нарушением статьи 19.

    7 Административного Законодательства РФ, что соответствует наказанию в размере 5 тысяч рублей.

    Если уведомление Роскомнадзора будут совершено после того, как персональные будут обработаны, то это будет таким же правонарушением.

    Оформление согласия

    Правила заполнения этого документа описаны в Федеральном Законе № 152. Его содержание является достаточно произвольным, однако нужно помнить о необходимых элементах заявления:

    1. Фамилия, имя, отчество субъекта, его адрес и серия, номер паспорта или иного документа, удостоверяющее личность гражданина.
    2. Фамилия, имя, отчество лица или название организации, которое, предполагается, будет выполнять обработку.
    3. Цели, для которых выполняется выяснение персональных данных.
    4. Список сведений, которые будут обработаны.
    5. Информация об организации, которая будет совершать дальнейшие операции с данными.
    6. Описание того, какие действия будут происходить с данными.
    7. Срок, в течение которого действует согласие субъекта.
    8. Подпись лица, выполненная лично.

    Также в части 1 статье 9 Закона № 152 описаны критерии, которым должен соответствовать документ о согласии. Главными же из них являются добровольное заполнение заявление и присутствие необходимых элементов в нём.

    Заявление необходимо предоставить строго в письменной форме, но возможно это сделать и через Интернет.

    Общепринятой же формы заполнения не существует, поэтому придется сделать это самостоятельно или при помощи соответствующих служб.

    В заключение можно сказать, что законодательство в сфере защиты персональных данных само по себе является в существенном усовершенствование, так как это довольно молодая сфера.

    Осуществление передачи персональных данных трансграничным способом и перевод подобных данных в другую страну является ещё более сложным явлением, так как зачастую необходимо учитывать законы несколько государств и международных организаций.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему – позвоните прямо сейчас: 

    +7 (499) 938-47-92 (Москва)

    +7 (812) 467-38-62 (Санкт-Петербург) 

    Это быстро и бесплатно!

    Источник: https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/peredacha/transgranichnaya.html

    Правила трансграничной передачи персональных данных по GDPR

    Трансграничная передача данных это

    IT NewsНовости рынкаБезопасность

    | 12.04.2019

    Уже долгое время европейский «Регламент защиты персональных данных» (GeneralDataProtectionRegulation, GDPR) не сходит с первых позицийсредисамых обсуждаемых вопросов, волнующих компании всего мира. Такое внимание документ получил благодаря экстерриториальности действия и крайне высоким штрафам за несоответствие его требованиям.

    Некоторые российские компании ввиду особенностей своего бизнеса также попали под регулирование GDPR, и, соответственно, соблюдение его требований становится для них одной из приоритетных задач.

    Яркий тому пример – Сбербанк, где особое внимание уделили вопросам трансграничной передачи данных ввиду наличия дочерних обществ на территории ЕС.

    В частности, были детально проанализированы способы организации трансграничной передачи персональных данных, установленные GDPR.

    Приведенный в настоящей статье анализ поможет многим российским компаниям найти правильный подход к выбору условий передачи персональных данных между компаниями, входящими в международную группу.

    На сегодняшний день РФ не входит в список стран, гарантирующих, по мнению Европейской комиссии, надлежащий уровень защиты физических лиц при обработке их персональных данных [ЕК включила в него такие страны, как Андорра, Аргентина, Канада (только коммерческие организации), Фарерские острова, Гернси, Израиль, остров Мэн, остров Джерси, Новая Зеландия, Швейцария, Уругвай и США (если обработчик принадлежит Privacy Shield). Официальный сайт Еврокомиссии – https://ec.europa.eu/] В этой связи международные российские компании, которые имеют дочерние общества или аффилированные лица на территории ЕС, вынуждены на постоянной основе использовать такие механизмы трансграничной передачи данных, которые соответствуют установленным GDPR принципам их обработки и гарантируют их надлежащую защиту.

    До выхода GDPR, когда европейское законодательство не носило экстерриториального характера, крупные российские компании выстраивали процесс передачи персональных данных путем заключения договора на передачу и договора на обработку данных.

    Сегодня же им следует пересмотреть свой подход с учетом механизмов соблюдения соответствующих гарантий, предусмотренных нормами GDPR: среди них «Кодекс поведения», «Обязательные корпоративные правила» (Binding Corporate Rules), «Стандартные положения о защите данных» (Standard Contractual Clauses), «Сертификация».

    1

    Механизмы обеспечения соответствующих гарантий при трансграничной передачи персональных данных поGDPR

    «Кодекс поведения»

    «Кодекс поведения» представляет собой совершенно новый механизм, устанавливающий конкретные правила защиты данных в определенном секторе.

    Такой документ разрабатывается торговыми ассоциациями или объединениями, например, представляющими банковский сектор, по согласованию с заинтересованными сторонами – участниками рынка, после чего утверждается европейским регулятором (Data Protection Authority) и главным надзорным органом ЕС по защите данных (European Data Protection Board).

    На сегодняшний день такой кодекс отсутствует в каком-либо секторе деятельности, поэтому рассматривать его как возможный механизм, позволяющий гарантировать надлежащий уровень защиты персональных данных, нецелесообразно в ближайшие 3–5 лет. Инициативы разработки аналогичного документа известны лишь в сфере облачных вычислений и в фармацевтической промышленности.

    «Стандартные положения о защите данных» (StandardContractualClauses,SCC)

    Этот документ разработан задолго до вступления в силу GDPR. Планируется, что обновленные формы уже в соответствии с требованиями GDPR будут опубликованы на сайте ЕС в ближайшее время.

    Особенность таких положений заключается в том, что форма является дополнением к главному договору и в нее нельзя вносить изменения. Многие российские компании в рамках трансграничной передачи данных уже используют SCC в качестве приложения к основному договору, предусматривающему передачу данных.

    Стандартные положения SCC бывают двух видов:

    ·               «Контролер – Обработчик»,

    ·               «Контролер – Контролер».

    Форма «Контролер– Обработчик» подразумевает, что контролер поручает обработку персональных данных обработчику согласно целям, определенным контролером.

    Форма «Контролер – Контролер», в свою очередь, предусматривает, что каждая сторона самостоятельно определяет цель и средства обработки персональных данных.

    SCC детально описывает потоки данных, а также технические и организационные меры безопасности.

    Стандартные положения SCC отлично подходят в случае с малым и средним бизнесом.

    Для компаний-гигантов такой подход представляется не совсем удобным и весьма трудозатратным, поскольку порядок передачи данных в условиях стремительного развития цифровых технологий и постоянного изменения бизнес-процессов подразумевает необходимость заключения бесчисленного количества приложений к SCC с детальным и точным описанием потоков данных.

    «Обязательные корпоративные правила» (BindingCorporateRules,BCR)

    Самым же удобным механизмом трансграничной передачи данных для крупного бизнеса являются «Обязательные корпоративные правила» (Binding Corporate Rules-BCR). Данный документ представляет собой межгрупповой договор (свод правил), закрепляющий правила передачи персональных данных в рамках одной группы компаний.

    BCR предоставляет возможность международной группе компаний обмениваться данными в условиях стремительного развития бизнеса без детального описания в заключаемых SCC постоянно увеличивающихся потоков данных.

    Помимо повышения качественности трансграничного обмена, общие положения о защите персональных данных, закрепленные в BCR, являются фундаментом единого подхода к обработке и защите персональных данных в группе компаний.

    BCR бывает двух типов:

    •      BCR-C используется в рамках передачи персональных данных от контролера, находящегося на территории ЕС, другим контролерам и обработчикам за пределами ЕС.
    •      BCR-P используется в рамках обработки персональных данных, полученных группой (обработчиком) от контролера, учрежденного в ЕС и не входящего в группу.

    Самый распространенный вариант – BCR-C, который позволяет свободно обмениваться персональными данными в рамках одной группы компаний.

    Особенность данного документа заключается в том, что для использования в работе группа должна согласовать текст BCR с европейским регулятором и получить подтверждение главного надзорного органа ЕС (European Data Protection Board) (последнее – при необходимости). Организации, имеющие утвержденный европейским регулятором BCR, считаются в ЕС передовыми и надежными по вопросам защиты данных как клиентами и контрагентами, так и европейским регулятором.

    На сегодняшний день европейский регулятор утвердил 132 BCR, из которых 20% – финансово-кредитные организации, такие как Citigroup, JPMorgan. Однако в списке организаций, имеющих BCR, отсутствуют российские международные компании, имеющие дочерние общества на территории ЕС.

    Это обусловлено тем, что разработка и внедрение единых требований к обработке и защите персональных данных в группе и их дальнейшее практическое применение объективно являются трудоемкой задачей ввиду необходимости анализа и учета требований законодательств, применимых к участникам группы. Для разработки и внедрения BCR российской компании необходимо провести масштабную работу по выработке единых правил, требований и подходов, как организационных, так и технических, к обработке и защите ПДн, обязательных для применения всеми присоединившимися к BCR компаниями.

    Тем не менее экстерриториальный характер GDPR заставил задуматься крупные российские компании, чьи дочерние общества и аффилированные лица находятся на территории ЕС, использовать именно такой подход к трансграничной передаче персональных данных в группе.

    Преимущество BCR для российской группы компаний заключается не только в том, что такой документ позволит не только обеспечить единый подход к защите ПДн в группе и уменьшить трудозатраты на реализацию договорного сопровождения потоков данных по бизнес-процессам, но и существенным образом повысить уровень доверия европейских контрагентов, клиентов, а также европейского регулятора как к группе компаний, так и к России в целом.

    «Сертификация»

    Ст. 42 GDPR предусматривает сертификацию на соответствие требованиям GDPR. Эксперты в области защиты персональных данных уже три года ждут новостей о том, что же это за сертификация, какие требования будут предъявляться и как будет проходить процедура сертификации, кто будет аккредитованными компаниями, и т. д.

    Согласно положению GDPR, для проведения такой сертификации главный надзорный орган ЕС по защите данных должен аккредитовать консалтинговые и аудиторские компании на проведение таких мероприятий. Однако на сегодняшний день European Data Protection Board не аккредитовал ни одну компанию, не говоря уже о том, что не были выдвинуты требования к таким организациям.

    Как и кодексы поведения, вопрос внедрения сертификации и выработки алгоритма действий для организаций, желающих получить подтверждение на соответствие требованиям GDPR, может затянуться на годы.

    Административные штрафы за нарушение правил трансграничной передачи данных

    Нарушение требований к трансграничной передаче данных с территории ЕС может привести к самым высоким санкциям, достигающих €20 млн или 4% глобального годового оборота компании.

    Какой подход выбрать?

    На сегодняшний день российские компании имеют два возможных пути правового сопровождения трансграничной передачи данных с территории ЕС в Россию: использование стандартных положений о защите данных SCC или разработка BCR.

    Первый подход удобен в следующих случаях:

    ·               когда четко определены процессы, в рамках которых передаются персональные данные.

    ·               когда передача данных имеет постоянный характер и не подвержена многочисленным изменениям в результате внедрения новых бизнес-процессов, что больше свойственно малому и среднему бизнесу.

    Разработка BCR, в свою очередь, является более зрелым решением и требует от группы копаний четкого понимания ответственности после принятия и согласования такого документа. При направлении BCR на утверждение европейскому регулятору группа дает гарантию, что организации, входящие в ее состав, следуют единым правилам защиты персональных данных, соответствующим принципам GDPR.

    Сбербанк, будучи лидером на российском финансовом рынке, не боится решать новые сложные задачи в части соответствия требованиям европейского законодательства. Очевидная польза разработки и внедрения BCR в группе «Сбербанк» состоит в стандартизации и повышении уровня зрелости процессов обработки и защиты персональных данных во всех организациях, входящих в группу.

    При выборе ВCR в качестве правового механизма трансграничной передачи данных компании группы должны быть готовы к тому, что согласование обязательных корпоративных правил может занимать от полугода до полутора лет ввиду очереди из международных компаний со всего мира, нацеленных в полной мере соответствовать требованиям GDPR.

    Эльвира ЧАЧЕ,

    менеджер Центра организации обработки и защиты персональных данных Сбербанка

    безопасность российских корпоративных данных, кибербезопасность, информационная безопасность

    Журнал: Журнал IT-News, Подписка на журналы

    Sberbank | Сбербанк

    Источник: https://www.it-world.ru/it-news/security/144620.html

    Трансграничная передача персональных данных это: правила передачи данных и возможные ограничения

    Трансграничная передача данных это

    Трансграничная передача персональных данных – это весьма непростая процедура, в которой участвуют два государства в целях пересылки определенной информации гражданина одной из стран.

    Несмотря на то, что в России на федеральном уровне существует несколько законов, оговаривающих принципы проведения трансграничной передачи данных, на практике этот процесс сталкивается с неизбежными трудностями.

    Основной проблемой является обеспечение полной защиты передаваемых сведений, от которой может зависеть не только благополучие субъекта ТППД, но и всего государства, от которого исходит сообщение. О том, как происходит трансграничная передача персональных данных и какие ограничения она предполагает рассказываем далее.

    Трансграничная передача персональных данных

    Что такое трансграничная передача данных

    Под трансграничной передачей персональных данных (далее по тексту ТППД) подразумевается процесс пересылки определенной информации за пределы Российской Федерации в одно из иностранных государств. Пересылка осуществляется операторами и предназначается органам власти, физлицу или юрлицу соответствующей страны.

    Наиболее полную информацию о ТППД можно подчерпнуть из третьей статьи ФЗ, посвященной персональным данным и способам их существования в информационном пространстве. Также ТППД затрагивается и сто пятьдесят вторым ФЗ, в котором содержится еще одно определение данного явления.

    3 статья ФЗ О персональных данных

    Ограничения

    Государство имеет право наложить запрет на передачу ПД через границу страны в тех случаях, когда утечка данных будет грозить следующими опасными последствиями:

    • нарушения опорных пунктов Конституции;
    • посягательства на нравственность;
    • возможный ущерб здоровью граждан;
    • ущемление прав, а также законных интересов жителей России;
    • угроза безопасности страны;
    • невозможность осуществить полноценную оборону.

    Передача персональных данных через государственные границы сопряжена с рядом опасностей

    Во всех прочих ситуациях законодательством не предусматриваются никакие запреты на пересылки ПД.

    При этом пересылка эта может адресоваться только тем странам, которые способны обеспечить защиту прав граждан РФ.

    К безопасным в отношении передачи данных странам являются те государства, которые считаются сторонами Конвенции или же государства, указанные в специальном перечне, составленном с помощью Роскомнадзора.

    Передача данных небезопасным странам

    Если же говорить о странах, на которые требования Конвенции не распространяются, то они также могут участвовать в ТППД. Однако для того, чтобы осуществить передачу сведений стране, которая не гарантирует безопасность участникам ТППД, потребуется учесть несколько обязательных пунктов:

    • для осуществления передачи данных понадобится согласие от участника ТППД на то, чтобы информация о нем была передана соответствующей стране;
    • передача данных должна быть предусмотрена международным договором Российской Федерации;
    • передача данных предусматривается ФЗ России в ряде случаев, при которых от пересылки информации зависит сохранение конституционного строя, обеспечение личных интересов граждан, сохранение безопасности в стране и так далее;
    • передача данных оговаривается договором, который был заключен с участником ТППД;
    • от передачи данных зависит благополучие того, кому эта информация принадлежит (в таких ситуациях от субъекта ТППД даже не требуется получение письменного согласие на пересылку сведений).

    При передаче данных в небезопасную страну потребуется предварительное заключение договора

    Из всех вышеуказанных пунктов можно сделать вывод о том, что ТППД возможна и при участии стран, не гарантирующих безопасность субъекту передачи данных. Для этого потребуется наличие предварительной договоренности или задокументированного согласия лица, чья сведения будут переданы.

    Для стран, гарантирующих субъекту ТППД защиту его прав, подобные соглашения не требуются. Однако в целях безопасности оператор, отвечающих за пересылку сведений должен заблаговременно сообщить субъекту ПД о том, что его данные будут переданы за пределы РФ. При оповещении субъекта учитываются три опорных пункта:

    • цели, которые планируется достигнуть путем передачи персональных данных субъекта;
    • объем и характер информации, которую собирается отправить оператор;
    • получатели персональных данных.

    При передаче персональных данных лица, само это лицо должно быть в обязательном порядке оповещено о процедуре

    Порядок трансграничной передачи данных

    Трансграничная отправка данных является непростой процедурой, предполагающей целый ряд формальных действий, обязательных к исполнению. Для того, чтобы она была осуществлена на законных основаниях, требуются определенные условия.

    Таблица 1. Трансграничная передача данных поэтапно

    ЭтапОписание
    Уведомление РоскомнадзораПеред отправкой информации в Роскомнадзор отправляется уведомление
    Информирование субъекта ТППДСубъект должен быть осведомлен в том зачем пересылаются его данное и каков их объем
    Составление оператором нормативных документовВ нормативных документах должна подтверждаться законность проводимой процедуры со ссылкой на соответствующие законы
    Заключение договора с организацией-получателем исходных данныхС посредником оговариваются способы передачи данных и степень их защищенности
    Обеспечение должной защиты каналаКанал, по которому произойдет отправка информации, обязан быть зашифрованным

    О каждом из упомянутых условий мы и поговорим в данном разделе.

    Уведомление Роскомнадзора

    Роскомнадзор должен быть первой инстанцией, которая будет поставлена в известность о планирующейся трансграничной передаче данных. Для того, чтобы проинформировать Роскомнадзор потребуется:

    • направить уведомление, касающееся обработки ПД гражданина РФ;
    • перечислить страны, которые примут данное сообщение.

    Роскомнадзор должен быть оповещен о предстоящей передаче персональных данных за пределы РФ

    Информирование субъекта ТППД

    Как уже говорилось, субъект ТППД должен быть оповещен о планирующейся операции еще до того, как она произойдет. Эта информация должна быть зафиксирована в следующих документах:

    • политика в отношении обработки персональных данных;
    • договор, заключенный с субъектом ТППД;
    • любой иной документ, который ставит своей целью донесение до субъекта ТППД планирующейся операции.

    В договоре, который адресуется обладателю персональных данных указываются цели трансграничной передачи

    Составление нормативных документов

    Внутренние нормативные документы, составляемые оператором, осуществляющим передачу данных, должны включать в себя следующие детали:

    • правовую основу, позволяющую проводить ТППД. Под правовой основной подразумевается список конкретных правовых документов, придающих пересылке сведений законный статус;
    • регламент, который обеспечивает безопасный обмен персональными данными;
    • оглашение списка планируемых мер и способов сохранения персональных данных под защитой (к таким средствам защиты относятся всевозможные средства, обеспечивающие криптографическую защиту данных).

    О том, что такое криптографическая защита информации и какие методы она применяет можно прочесть ниже.

    Криптографические методы защиты данных

    Заключение договора с посредником

    Договор с посредником, отвечающим за передачу персональных данных, в обязательном порядке состоит из таких пунктов, как:

    • список манипуляций, которые будут осуществляться компанией-посредником с персональными данными;
    • цели, в которых будет осуществляться обработка данных;
    • обязательства компании-посредника перед Россией и самим субъектом ТППД, заключающиеся в соблюдении принципов конфиденциальности и предоставления полной безопасности субъекту;
    • требования защищенности персональных данных, подлежащих обработке. Сама компания-посредник при осуществлении данной процедуры основывается на законодательных нормах, принятых в стране ее расположения.

    Компания-посредник должна обеспечить полную безопасность передаваемых данных в силу своих возможностей

    Защита канала

    Под защитой канала понимается предотвращение всех случайных или злонамеренных попыток получить доступ к охраняемой информации. Особого внимания требует передача данных, осуществляющаяся посредством интернета – в таких ситуациях операторы обязаны использовать специальные способы шифровки сведений.

    Иногда допускается практикование средств криптографической защиты, не прошедших необходимую по закону сертификацию ввиду:

    • требований, изложенные в Конвенции ETS номер 108, которая налагает запрет на создание ограничений и контролирование циркуляции персональных данных, направляющихся в другие страны, руководствуясь соображениями защиты личной сферы субъекта ТППД;
    • присутствия лимитов на вывоз оборудования, в составе которых наличествуют способы шифрования с российских территорий;
    • нюансов законодательных норм иностранных государств, которые выступают получателями криптографического оборудования, а также согласование данного вопроса со службами страны, в которую перевозится соответствующее оборудование.

    Конвенция 108 EST оговаривает особенности охраны персональных данных

    Нововведения

    Отдельного внимания заслуживают изменения, которые были внесены Федеральным законом 242 пятилетней давности, дополняющий 152 закон. 242 ФЗ, прежде всего, специализируется на области информационно-коммуникационных сетей, в связи с чем добавляет к уже существующему закону важный пункт. Дополнение это заключается в том, что отныне на операторов возлагаются следующие задачи:

    • запись персональных данных;
    • систематизация;
    • накопление;
    • сохранение;
    • обновление или внесение изменений по мере необходимости.

    Также данный закон предусматривает получение ПД россиян при помощи баз данных, располагающихся на территории данной страны.

    242 ФЗ Статья 1

    Несмотря на то, что 152 закону удается прояснить некоторые детали, в свое время он породил бурные обсуждения, после которых многие вопросы остаются без ответа и по сей день. Среди таких дискуссионных моментов значатся следующие:

    • каково будущее трансграничной передачи персональных данных в контексте новых законов? Запрет, налагаемый на хранение персональных данных всех жителей Российской Федерации, предполагает запрет на саму ТППД, что приводит к сложному выбору;
    • как оператор сможет понять, что те или иные персональные данные закреплены за россиянином;
    • смогут ли найти «общий язык» 152 закон и Конвенция ETS номер 108? Учитывая взаимоисключающие положения, поиск общих оснований будет даваться нелегко;
    • каким образом регуляторы собираются определять физическое местонахождение персональных данных граждан России;
    • какое влияние принятый закон будет оказывать на иностранные фирмы, специализирующиеся на обработке персональных данных при опоре на законодательство своей страны и на вышеупомянутую Конвенцию.

    На данный момент продолжаются активные обсуждения вопроса о том, как обеспечить безопасную трансграничную передачу данных

    В связи с всеобщим недовольством 242 статьей, члены Государственной Думы уже рассматривали возможные поправки и законопроекты, которые смогли бы внести ясность в сложившуюся противоречивую ситуацию. Однако на данный момент у властей нет исчерпывающих ответов на вопрос о том, каким образом будут хранится и подвергаться обработке персональные данные россиян.

    Весьма закономерно, что упомянутые сложности поведут за собой неизбежное увеличение издержек для операторов, чьи базы данных находятся за пределами России. Стараясь усилить охрану персональных данных россиян, законодатели тем самым неизбежно сужают возможности ее использования и передачи. В связи с этим многие специалисты советуют операторам переносить свои базы данных на территорию России.

    : Что такое персональные данные

    Источник: https://yr-expert.com/transgranichnaya-peredacha-personalnyh-dannyh-eto/

    Кабинет Юриста
    Добавить комментарий