Трансграничная передача персональных данных год. Что такое трансграничная передача персональных данных

В российском законодательстве под этим явлением понимается передача персональных данных иностранному государству, иностранному государственному агентству, гражданину иностранного государства или иностранному юридическому лицу. Такое определение прописано в статье 3 редакции 2017 года Федерального Закона “О Персональных данных” от 27.07.2006 .

Регламент отправки

Касательно регламента отправки, в случае необходимости трансграничной передачи персональных данных за пределы границы РФ любое лицо, выполняющее обработку такой информации, должно удостовериться, что права и интересы субъекта будут соблюдены в достаточной мере, то есть необходимо его согласие. Все страны, которые подписали Страсбургскую Конвенцию считаются способными обеспечивать достаточную защиту прав и интересов субъекта.

Также существует официальный список, принятый Роскомнадзором, стран, которые тоже удовлетворяют требованиям защиты информации при переводе через границу. В частности, туда входят:

  • Австралия.
  • Аргентина.
  • Израиль.
  • Канада.
  • Мексика.
  • Новая Зеландия.

Согласно закону “О Персональных данных” передача сведений через границу может быть запрещена по причине :

В то же время, трансграничная передача персональных данных в страны, которые не способны обеспечить достаточную защиту такой информации, разрешена только в нескольких случаях:

Пошаговая инструкция

Таким образом, для того, чтобы осуществить перевод конфиденциальных сведений в другую страну необходимо :

  1. Удостовериться в Роскомнадзоре, является ли страна, в которую планируется перевод, участником Страсбургской Конвенции или же находится в приказе Роскомнадзора “Об утверждении Перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных” .
  2. Получить согласие соответствующего субъекта персональных данных на их обработку для выполнения трансграничной передачи.
  3. Подписать договор со стороной, которая становится получателем данных.
  4. Проверить каналы передачи информации.

Как обеспечить безопасность?

Для надежной отправки данных необходимо провести защиту каналов передачи персональной информации . Если же эта операция производится через Интернет или через другие незащищённые каналы, то рекомендуется использовать средства шифрования.

ВНИМАНИЕ . Обычно не требуется регистрация в Роскомнадзоре или одобрение письменного согласия для трансграничной передачи. Согласие должно быть просто подписано соответствующим субъектом. Однако необходимо уведомить Роскомнадзор о трансграничной передаче персональных данных.

Какие документы сопровождают процедуру?

  1. Согласие того, чьи данные передаются.
  2. Договор с принимающей стороной.
  3. Письменное уведомление Роскомнадзора.

Ответственность за незаконные действия

Если же об использовании конфиденциальных сведений не будет сообщено в Роскомнадзор, то это будет считаться незаконным переводом информации в другую страну. Это является нарушением статьи 19.7 Административного Законодательства РФ , что соответствует наказанию в размере 5 тысяч рублей. Если уведомление Роскомнадзора будут совершено после того, как персональные будут обработаны, то это будет таким же правонарушением.

Оформление согласия

Правила заполнения этого документа описаны в Федеральном Законе № 152 . Его содержание является достаточно произвольным, однако нужно помнить о необходимых элементах заявления :


Также в части 1 статье 9 Закона № 152 описаны критерии, которым должен соответствовать документ о согласии. Главными же из них являются добровольное заполнение заявление и присутствие необходимых элементов в нём.

Заявление необходимо предоставить строго в письменной форме, но возможно это сделать и через Интернет.

Общепринятой же формы заполнения не существует , поэтому придется сделать это самостоятельно или при помощи соответствующих служб.

В заключение можно сказать, что законодательство в сфере защиты персональных данных само по себе является в существенном усовершенствование, так как это довольно молодая сфера. Осуществление передачи персональных данных трансграничным способом и перевод подобных данных в другую страну является ещё более сложным явлением, так как зачастую необходимо учитывать законы несколько государств и международных организаций.

Трансграничная передача персональных данных осуществляется при соблюдении требований, установленных настоящим Федеральным законом
к обработке и передаче персональных данных, с учетом особенностей, установленных настоящей статьей. Трансграничная передача персональных данных может быть запрещена или ограничена нормативным правовым актом Российской Федерации: если такая трансграничная передача создает угрозу национальной безопасности Российской Федерации; при наличии явной угрозы нарушения прав субъектов персональных данных либо предоставления пониженных гарантий прав субъектов персональных данных по сравнению с гарантиями, установленными законодательством Российской Федерации, включая гарантии соблюдения конфиденциальности персональных данных. При трансграничной передаче персональных данных оператор должен убедиться в том, что в соответствии с международными договорами либо законодательством другого государства, органу власти или лицу которого передаются персональные данные, обеспечивается адекватный уровень защиты прав субъектов персональных данных. Оператор вправе передавать персональные данные органу власти или лицу другого государства, не обеспечивающего адекватный уровень защиты прав субъектов персональных данных, только при условии получения письменного согласия субъекта персональных данных на эту передачу либо в случае, если получение такого согласия физически невозможно, а передача персональных данных необходима для защиты жизни и здоровья субъекта персональных данных.
Глава 3. Права субъекта персональных данных
Статья 12. Право на доступ к персональным данным Субъект персональных данных имеет право знать о наличии у оператора относящихся к нему персональных данных, быть с ними ознакомлен, а также требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
Оператор обязан бесплатно предоставить субъекту персональных данных возможность ознакомления с его персональными данными, а также внести в них необходимые уточнения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, включенные в информационную систему персональных данных, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О произведенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных и третьих лиц, которым персональные данные этого субъекта были переданы. Информация о наличии персональных данных должна быть предоставлена субъекту персональных данных оператором в доступной форме и не должна содержать персональных данных, относящихся к другим субъектам персональных данных. Предоставление персональных данных субъекту персональных данных производится оператором на основании письменного запроса и по предъявлении документа, удостоверяющего личность субъекта персональных данных.
Информация о наличии персональных данных и сами персональные данные предоставляются субъекту персональных данных в срок, не превышающий 10 рабочих дней с даты получения оператором соответствующего запроса, если при этом не возникает необходимости запросить требуемую информацию у третьих лиц. При необходимости запросить требуемую информацию у третьих лиц срок предоставления ее субъекту персональных данных не может быть более одного месяца. Субъект персональных данных имеет право на получение по запросу следующей информации: подтверждение факта обработки персональных данных, а также цель данной обработки; способы обработки персональных данных; сведения о лицах, имеющих доступ к его персональным данным; перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных;
сведения о том, какие правовые последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных. Право доступа субъекта персональных данных к персональным данным о себе ограничивается: в отношении персональных данных, обрабатываемых в целях обороны страны, безопасности государства и охраны правопорядка, в том числе в отношении персональных данных, полученных в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности; в отношении персональных данных, обрабатываемых органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения.

призывник 15 августа 2011 в 15:56

Панацея: трансграничная передача персональных данных

  • Чулан *

Периодически натыкаюсь в разных Интернетах на «гениальные» догадки о том, как освободиться от «бремени» исполнения законодательства о персональных данных путем «выхода» из под национальной юрисдикции. Сами вопросы «бремени», на сколько можно судить по публикациям и их комментариям, довольно плохо понимаются авторами - все свалено в одну кучу: что понимать под персональными данными, какие правила обработки соблюдать, что «защищать»… Из этой кучи не проясненного рождаются самые настоящие фантазии-франкенштейны вызывающие буквально панический страх у новоиспеченных (да и у староиспеченных тоже) операторов персональных данных и приводят к методическому запугиванию друг друга с поиском таких вот гениальных по своей простоте решений в лучших традициях язычества. Вместо того, что бы использовать данные законом правовые инструменты по их назначению, им придается какой-то сакральный смысл. Так в свое время сакрализовали институт согласия, совершенно не обращая внимания на его основной смысл: свобода дать и отозвать свое согласие в любое время без объяснения причин. Бумажку с письменным согласием превратили в самую настоящую индульгенцию (да, пусть вас не смущает, что индульгенция имеет вполне себе католические корни, а не языческие. Языческими были те стереотипы мышления, особенности картины мира, которые и привели к всеобщей вере в индульгенцию как простому решению сложных проблем).

Сакрализация трансграничной передачи конечно не была такой масштабной, как всеобщая вера во всемогущество согласия. Модель, по которой предлагалось решить все свои «проблемы с законом» владельцам интернет-сервисов, была невероятно проста:
1) Переносим сайт с базой на хостинг в Евросоюзе.
2) PROFIT!!!
Основным преимуществом при этом называлось то, что в Евросоюзе не установлены «драконовские» требования по обеспечению безопасности персональных данных при их обработке. Хотя от части это действительной так, «вывоз» базы за кордон, без смены российского владельца - не выводит ее из под юрисдикции РФ. Иными словами, обязанность исполнять российский закон сохраняется, так как сам оператор никуда от него не делся .
Кроме того, такой простой «вывоз» по закону и не является трансграничной передачей персональных данных.

Как говорит нам собственно закон : трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу .
То есть, трансграничной передачей является только передача оператору персональных данных (controller of the file), не попадающему под юрисдикцию Российской федерации .
Иностранное юридическое лицо (действующее официально) или российское юридическое лицо, собирающие персональные данные на территории России - попадают под действие закона о персональных данных не зависимо от того, где данные в конечном счете обрабатываются. Передача за границу российскому юридическому лицу - также не является трансграничной передачей ПДн.

Трансграничная передача персональных данных накладывает на оператора дополнительные условия, связанные с законностью и целесообразностью такой передачи, так что попытка таким способом «обойти» закон рискует закончится весьма печально. Когда же будет принята новая нормативка касающаяся обеспечения безопасности ПДн при их обработке в ИСПДн , наверняка мы и в ней найдем кучу дополнительных ограничений и условий на перемещение данных через госграницу.

Теги: персональные данные, трансграничная передача

В сфере информационной безопасности актуальным явлением становится охрана персональных данных. Вместе с ростом объёмов интернет-торговли, цифровых операций и прочего возникает угроза для компаний и даже экономики целых государств. Специалисты уделяют внимание не только вопросу хранения, но и передачи.

Дорогие читатели! Статья рассказывает о типовых способах решения юридических вопросов, но каждый случай индивидуален. Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь к консультанту:

ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ .

Это быстро и БЕСПЛАТНО !

Что это такое

В данном случае имеется в виду передача любых личных данных физического лица через границу Российской Федерации иностранному получателю.

В качестве получателя могут выступать:

Сегодня сталкиваются два явления — глобализация и рост онлайн-торговли, а также опасность киберпреступлений. Стремление обеспечить безопасность приводит к затруднению общения, торговли, обмена информации. Проблемой занимаются на государственном уровне.

Персональные данные — любая информация, прямо или косвенно относящаяся к человеку. Субъектом выступает физическое лицо. По закону это понятие в сети не ограничивается чисто техническим статусом, а приобретает юридическую силу.

Под трансграничную передачу попадает любая пересылка личной информации при следующих ситуациях:

  • бронирование номеров в зарубежных отелях;
  • покупка авиа- и ж/д билетов в других странах;
  • покупка в иностранных интернет-магазинах;
  • оформление документов, разрешений, пропусков и т.д.

Подобные ситуации происходят всё чаще, потому что граждане России контактируют с иностранными компаниями, магазинами, заказывают услуги и многое другое. Как только персональные данные отправляются иностранному получателю в силу вступает закон о защите.

Какая преследуется цель

Вопрос на государственном уровне начали активно обсуждать после объединения стран Европы, создания Евросоюза и развития информационных технологий.

Перед экспертами поставлены конкретные цели:

  1. Создание универсальных правил и понятий, позволяющих сформировать законодательные акты для международного права.
  2. Определение чёткого юридического статуса и узаконивание хранения, обработки и передачи персональных данных.

После осознания необходимости и изучения вопроса была создана Конвенция, регулирующая подобные вопросы и явления, связанные с этим.

Для рядовых граждан появляются конкретные преимущества:

  • реальная возможность отстоять права и защитить личные данные даже в другой стране;
  • уверенность в сохранности и защите от третьих лиц.

Как осуществляется

Сейчас трансграничная передача персональных данных осуществляется на основе правил, сформированных Федеральным законом №152. Российская Федерация вводит собственные требования, но также учитывает международную практику.

Юристы для упрощения оперируют понятием «адекватная защита», предполагающего использование доступных возможностей для обеспечения безопасности.

Передача осуществляется следующим образом:

  • прорабатывается организационная структура и определяется перечень стран, куда отправляются данные;
  • определяются цели и особенности дальнейшей обработки;
  • оператор берёт на себя обязательства по обеспечению безопасности и следит за тем, чтобы принимающая сторона обеспечила адекватную защиту;
  • подлежащий защите объект описывается, для него формируются обоснования.
  • определяются характеристики персональных данных;
  • процесс согласовывается в соответствии с нормативными актами, принятыми в стране получателя;
  • осуществляется пересылка информации.

На данный момент имеются стандарты, позволяющие упростить и ускорить процесс, но в каждом отдельном случае требования формируются с учётом конкретной ситуации. При передаче персональных данных граждан России через границу РФ иностранному получателю операторы ориентируются на Федеральный Закон №152.

Если необходимая защита не обеспечена, то оператор может заблокировать передачу или ограничить её. Телекоммуникационная компания несёт ответственность, поэтому несоблюдение законных требований ведёт к административному наказанию.

Сегодня гораздо выгодней развивать информационную безопасность, иначе это грозит запретом на предоставление услуг или оттоком клиентов.

Передача данных через границу РФ может осуществляться без создания адекватной защиты возможно в следующих ситуациях:

  • физическое лицо, которому принадлежат персональные данные, подписал письменное согласие;
  • процесс затрагивает оформление виз (в соответствии с международными договорами);
  • обстоятельства касаются решения правовых, уголовных, семейных вопросов;
  • передача данных осуществляется на федеральному уровне и касается государственной безопасности;
  • обеспечение защиты жизни и здоровья субъекта персональных данных.

Таким образом, требуется адекватная защита или письменное согласие на осуществление трансграничной передачи данных, если это не касается более серьёзных правовых или государственных вопросов. Некоторые вопросы ставятся выше стандартных международных договоров, но это только исключение из правил.

Согласие

Уже упомянутый ФЗ №152 описывает общие требования, на основе которых создан документ для письменного согласия. Подробнее об этом рассказывается в пункте №9. Содержание регламентируется не строго, а произвольно.

Однако есть перечень пунктов, обязательных для заполнения:

  1. ФИО гражданина.
  2. Серия, номер паспорта, прописка (или иной документ, удостоверяющий личность).
  3. ФИО получателя или полное название организации, обрабатывающей данные.
  4. Цели запроса персональных данных со стороны иностранного получателя.
  5. Список данных для отправки и обработки, описание действий.
  6. Дополнительная информация об организации, берущей на себя обязательства по обработке.
  7. Срок действия письменного согласия.

На подобном документе необходимо указать число и поставить подпись субъекта. На данный момент есть возможность воспользоваться стандартным бланком или использовать тот, который предоставляет оператор.

Строгих требований по заполнению нет, за исключением обязательных пунктов. Ещё одним требованием является добровольное заполнение документа.

Договор

Договор исполняется при наличии:

  • письменного согласия на передачу, обработку и хранение персональных данных от субъекта (физического лица);
  • договора, заключённого с принимающей стороной, подтверждающего соблюдение стандартов информационной безопасности;
  • письменное уведомление Роскомнадзора.

Оператор, предоставляющий услуги пересылки, имеет на руках согласие субъекта и разрешение на осуществление деятельности. Однако в дополнении к этому следует заключить договор с принимающей стороной.

Ситуация обоснована необходимостью обеспечить защиту. При наличии договоров и официальных документов со стороны отправляющей и принимающей стороны повышает ответственность, а также создаёт базу для отстаивания интересов граждан.

Как обеспечить безопасность

Ведущие эксперты в сфере информационной безопасности заявляют о необходимости защиты непосредственно процесса трансграничной передачи получателю, располагающемуся на территории другого государства.

В этот момент требуется максимальное внимание, причём выше, чем при хранении и обработке. Все действия со стороны формируют современный комплекс.

Эффективная защита в момент передачи возможна при реализации рекомендуемых мер, соответствующие выполняемым процессам. В этом случае учитывается:

  • характеристики передаваемой информации;
  • общие положения и требуемые действия в соответствии с международным правом;
  • возможности для повышения коэффициента безопасности.

Принятие мер, направленных на повышение безопасности, возможно только с учётом специфики данных, направления передачи и других особенностей. В связи с этим оператор учитывает такие моменты.

К конкретным методам защиты относят:

  1. Защита используемых каналов передачи данных в зависимости от их особенностей.
  2. Методы шифрования при использовании только сети Интернет.
  3. Исключение посредников, занятых в промежуточной обработке.

Таким образом, всё сводится к повышению надёжности каналов. В настоящее время основным является Интернет. Отправка осуществляется через электронную почту, мессенджеры, социальные сети и т.д. При заполнении форм важно использовать каналы, защищённые надёжными протоколами шифрования.

По сложившейся практике не требуется регистрировать в Роскомнодзоре факт передачи, также как не требуется дожидаться подтверждения согласия на обработке и пересыл. Операторы без лишнего контроля должны принимать необходимые меры, чтобы обеспечить нужный уровень безопасности.

Ответственность за нарушения

Если передача данных организована с нарушениями и без уведомления Роскомнадзора, то это расценивается как незаконная отправка личной информации.

В этом случае предусмотрено административное наказание в соответствии со статьёй 19.7 АК РФ. На оператора накладывается штраф 5 000 рублей. Уведомление «задним числом» уже после отправки персональных данных расценивается аналогичным образом.

Таким образом, сегодня трансграничная передача становится актуальным явлением. Операторы должны учитывать действующее законодательство РФ и другой страны, куда отправляется информация.

Основной задачей становится защита канала передачи методами шифрования в сети или иными способами. Сами граждане должны только дать согласия на отправку и никаких иных действий от них не требуется.