Трансграничные персональные данные

Что это такое?

В российском законодательстве под этим явлением понимается передача персональных данных иностранному государству, иностранному государственному агентству, гражданину иностранного государства или иностранному юридическому лицу. Такое определение прописано в статье 3 редакции 2017 года Федерального Закона «О Персональных данных” от 27.07.2006.

Регламент отправки

Касательно регламента отправки, в случае необходимости трансграничной передачи персональных данных за пределы границы РФ любое лицо, выполняющее обработку такой информации, должно удостовериться, что права и интересы субъекта будут соблюдены в достаточной мере, то есть необходимо его согласие. Все страны, которые подписали Страсбургскую Конвенцию считаются способными обеспечивать достаточную защиту прав и интересов субъекта.

Также существует официальный список, принятый Роскомнадзором, стран, которые тоже удовлетворяют требованиям защиты информации при переводе через границу. В частности, туда входят:

  • Австралия.
  • Аргентина.
  • Израиль.
  • Канада.
  • Мексика.
  • Новая Зеландия.

Согласно закону «О Персональных данных” передача сведений через границу может быть запрещена по причине:

  • защиты конституционного строя Российской федерации;
  • нравственности;
  • здоровья;
  • прав и законных интересов граждан РФ;
  • национальной безопасности.

В то же время, трансграничная передача персональных данных в страны, которые не способны обеспечить достаточную защиту такой информации, разрешена только в нескольких случаях:

  1. было получено письменного согласие соответствующего субъекта на трансграничную передачу персональных данных;
  2. трансграничная передача данных разрешена по условиям международным договоров, участником которых является Россия;
  3. перевод информации в другую страну разрешен по условиям принятых законов, если это необходимо для защиты конституционного строя РФ, государственной безопасности, а также поддержания жизнеспособности транспортной системы, защиты интересов лиц, общества, государства в транспортной сфере при незаконном вторжении;
  4. отправка конфиденциальных сведений осуществляется для выполнения контракта, участником которого является субъект;
  5. передача данных через границу требуется для защиты жизни субъекта, его здоровья или иных важных интересов, а получение письменного согласие лица не является возможным.

Правовое регулирование

На данный момент в российском законодательстве отсутствуют строгие условия обмена информацией с иностранными резидентами.

Ранее использовался лишь закон о коммуникациях № 152-ФЗ. Однако в 2014 году был разработан и утвержден еще один закон № 242-ФЗ. В дальнейшем, с некоторыми корректировками, он вступил в юридическую силу в начале 2015 года и остается актуальным по сей день.

Ограничения и исключения

В законе № 152-ФЗ определены запреты, которые распространяются на трансграничную передачу данных. Ограничения действуют в целях обеспечения конституционных положений, нравственности, прав граждан и для поддержания обороноспособности страны.

В то же время в данном законе отсутствуют какие-либо иные правила. В частности, в нем не отражены условия, при которых государствам, реализующим механизмы защиты личной информации, могла бы ограничиваться передача. В качестве таких стран выступают члены конвенции ETS № 108, а также иные, утвержденные Роскомнадзором в приказе № 274.

При этом в ФЗ № 152 установлены ситуации, когда заинтересованным лицом может производиться направление персональных данных даже при отсутствии достаточной защиты:

  • если предоставление информации является необходимым для обеспечения защиты конституции, прав и интересов общества и личности, поддержания обороноспособности страны и исключения незаконного вмешательства в данные направления;
  • когда выполняются положения договора, одна из сторон которого является носителем сведений;
  • когда возникла необходимость в обеспечении защиты здоровья, жизни и интересов гражданина, а также иных участников процесса при невозможности приобрести разрешение первого;
  • в случаях, указанные в международных соглашениях;
  • при получении согласия на обработку данных от субъекта.

Учитывая достаточную «молодость» законодательства в сфере коммуникаций, возможно возникновение неадекватных указаний.

Правила трансграничной передачи

Трансграничная передача может быть осуществлена лишь при выполнении установленных правил. В частности, перед тем, как начать процесс обработки персональной информации, оператор должен подтвердить, что принимающая сторона проводит политику защиту личных данных при реализации процедуры.

Также важно, что действия отправителя не должны противоречить положениям, установленным законом № 152-ФЗ. В противном случае передача может быть либо ограничена, либо полностью запрещена (не распространяется на рассмотренные выше случаи).

Если рассматривать правила передачи в обычном режиме, то считается достаточным выстроить достойный уровень защиты сведений.

Чтобы сделать это, считается необходимым разработать следующую документацию:

  • общие положения фирмы, куда входит ее организационная структура, перечень государств, с которыми будет производиться передача сведений, цели процесса с моментами об обработке информации за границей;
  • правовые обоснования;
  • подробное описание объекта;
  • конкретизация характеристик данных через уточнение категории пересылаемых данных, категории субъектов ПДн, методики обработки информации;
  • регламент обеспечения и поддержания безопасности в процессе взаимного обмена вместе с описанием стандартов пересылки, протоколов и каналов передачи;
  • описание мероприятий и средств, суть которых заключается в установлении достойного уровня защиты;
  • правовая регламентация трансграничной передачи в стране, принимающей сведения.

Также допускается разработка и внедрение иных положений, если была установлена необходимость в выделении дополнительного регламента.

Какие нужно предпринять действия

Просто так совершить трансграничную передачу не допускается законодательством страны.

Так, отправитель должен предпринять следующие действия:

  1. Сообщить в Роскомнадзор о необходимости реализации данной процедуры, заполнив при этом уведомление о согласии на обработку персональных сведений и отразив государства, куда будет направлена информация.
  2. Донести до субъекта ПДн до того, как будет активирована обработка его данных, о проведении трансграничной передачи. Данный момент должен быть указан в одном из документов, с которым субъект может ознакомиться перед передачей сведений (в качестве носителя могут выступать Политика в отношении обработки ПДн или договор между участниками процессе).
  3. В нормативных бумагах оператора прописать:
    • обоснование необходимости трансграничной передачи в соответствии с действующим законодательством;
    • порядок поддержания механизма безопасности обмена ПДн;
    • регламент мероприятий, направленных на обеспечение защиты ПДн. Это же относится к технически средствам и инструментам криптографии.
  4. Оформить соглашение с фирмой, информация о которой передается, где указать:
    • список действий, которые будут проведены с данными;
    • конечная цель деятельности;
    • обязанность обработчика соответствовать требованием по обеспечению конфиденциальности и безопасности при совершении действий с ПДн;
    • критерии по защите ПДн. Важно: фирма, в которую направляется информация для проведения обработки будет выстраивать свою деятельность в соответствии с законодательством государства пребывания.
  5. Обеспечить защиту канала передачи сведений. Для этого является необходимым использовать эффективные средства шифрования. Допускается применение несертифицированных механизмов криптографии, в связи с:
    • положениями Конвенции ETS № 108 (статья 12.2), которые исключают возникновение ограничений и создание контрольных мер над информационными потоками ПДн, если они передаются между государствами – обусловлено это в первую очередь потребностью в защите неприкосновенности личных сведений;
    • наличием запретов на вывоз с территории Российской Федерации средств, имеющих в своей структуре средства шифрования;
    • нюансами законодательства того государства, куда происходит ввоз криптографических инструментов и где выдается разрешения соответствующих органов на ввоз подобного оборудования.

Не каждый гражданин без подготовки может совершить весь порядок действий и не допустить ошибку.

Как обеспечить безопасность

В целях обеспечения надежной передачи данных из одного государства в другое, важно реализовать ряд мероприятий, направленных на защиту каналов отправки персональных сведений.

Если данная операция осуществляется через Интернет, телефонные сети и иные незащищенные каналы, то является обязательным использовать специальные средства шифрования.

На данный момент существует множество методик, способных поддерживать защиту информации на виртуальных ресурсах. Однако в каждом случае все равно существует вероятность взлома механизмов и получения доступа к файлам. Поэтому не рекомендуется экономить на программном обеспечении, поддерживающим безопасность пересылки.

Ответственность за нарушения

Если перед тем как будет осуществлена трансграничная передача персональных данных, своевременно не уведомить Роскомнадзор, то данное бездействие будет носить характер незаконного деяния.

Такое правонарушение попадает под ст. 19.6 Административного кодекса Российской Федерации. Виновный привлекается к ответственности и уплате штрафа в размере 5 тысяч рублей.

Следует уточнить, что направление сообщения в Роскомнадзор после совершения операции также приравнивается к несоблюдению установленного регламента.

Пошаговая инструкция

Таким образом, для того, чтобы осуществить перевод конфиденциальных сведений в другую страну необходимо:

  1. Удостовериться в Роскомнадзоре, является ли страна, в которую планируется перевод, участником Страсбургской Конвенции или же находится в приказе Роскомнадзора «Об утверждении Перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных”.
  2. Получить согласие соответствующего субъекта персональных данных на их обработку для выполнения трансграничной передачи.
  3. Подписать договор со стороной, которая становится получателем данных.
  4. Проверить каналы передачи информации.

Как обеспечить безопасность?

Для надежной отправки данных необходимо провести защиту каналов передачи персональной информации. Если же эта операция производится через Интернет или через другие незащищённые каналы, то рекомендуется использовать средства шифрования.

ВНИМАНИЕ. Обычно не требуется регистрация в Роскомнадзоре или одобрение письменного согласия для трансграничной передачи. Согласие должно быть просто подписано соответствующим субъектом. Однако необходимо уведомить Роскомнадзор о трансграничной передаче персональных данных.

Какие документы сопровождают процедуру?

  1. Согласие того, чьи данные передаются.
  2. Договор с принимающей стороной.
  3. Письменное уведомление Роскомнадзора.

Ответственность за незаконные действия

Если же об использовании конфиденциальных сведений не будет сообщено в Роскомнадзор, то это будет считаться незаконным переводом информации в другую страну. Это является нарушением статьи 19.7 Административного Законодательства РФ, что соответствует наказанию в размере 5 тысяч рублей. Если уведомление Роскомнадзора будут совершено после того, как персональные будут обработаны, то это будет таким же правонарушением.

Оформление согласия

Правила заполнения этого документа описаны в Федеральном Законе № 152. Его содержание является достаточно произвольным, однако нужно помнить о необходимых элементах заявления:

  1. Фамилия, имя, отчество субъекта, его адрес и серия, номер паспорта или иного документа, удостоверяющее личность гражданина.
  2. Фамилия, имя, отчество лица или название организации, которое, предполагается, будет выполнять обработку.
  3. Цели, для которых выполняется выяснение персональных данных.
  4. Список сведений, которые будут обработаны.
  5. Информация об организации, которая будет совершать дальнейшие операции с данными.
  6. Описание того, какие действия будут происходить с данными.
  7. Срок, в течение которого действует согласие субъекта.
  8. Подпись лица, выполненная лично.

Также в части 1 статье 9 Закона № 152 описаны критерии, которым должен соответствовать документ о согласии. Главными же из них являются добровольное заполнение заявление и присутствие необходимых элементов в нём.

Заявление необходимо предоставить строго в письменной форме, но возможно это сделать и через Интернет.

Общепринятой же формы заполнения не существует, поэтому придется сделать это самостоятельно или при помощи соответствующих служб.

В заключение можно сказать, что законодательство в сфере защиты персональных данных само по себе является в существенном усовершенствование, так как это довольно молодая сфера. Осуществление передачи персональных данных трансграничным способом и перевод подобных данных в другую страну является ещё более сложным явлением, так как зачастую необходимо учитывать законы несколько государств и международных организаций.

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *