Международные договоры рф о трансграничной передаче персональных данных

Правила трансграничной передачи персональных данных по GDPR

Международные договоры рф о трансграничной передаче персональных данных

IT NewsНовости рынкаБезопасность

| 12.04.2019

Уже долгое время европейский «Регламент защиты персональных данных» (GeneralDataProtectionRegulation, GDPR) не сходит с первых позицийсредисамых обсуждаемых вопросов, волнующих компании всего мира. Такое внимание документ получил благодаря экстерриториальности действия и крайне высоким штрафам за несоответствие его требованиям.

Некоторые российские компании ввиду особенностей своего бизнеса также попали под регулирование GDPR, и, соответственно, соблюдение его требований становится для них одной из приоритетных задач.

Яркий тому пример – Сбербанк, где особое внимание уделили вопросам трансграничной передачи данных ввиду наличия дочерних обществ на территории ЕС.

В частности, были детально проанализированы способы организации трансграничной передачи персональных данных, установленные GDPR.

Приведенный в настоящей статье анализ поможет многим российским компаниям найти правильный подход к выбору условий передачи персональных данных между компаниями, входящими в международную группу.

На сегодняшний день РФ не входит в список стран, гарантирующих, по мнению Европейской комиссии, надлежащий уровень защиты физических лиц при обработке их персональных данных [ЕК включила в него такие страны, как Андорра, Аргентина, Канада (только коммерческие организации), Фарерские острова, Гернси, Израиль, остров Мэн, остров Джерси, Новая Зеландия, Швейцария, Уругвай и США (если обработчик принадлежит Privacy Shield). Официальный сайт Еврокомиссии – https://ec.europa.eu/] В этой связи международные российские компании, которые имеют дочерние общества или аффилированные лица на территории ЕС, вынуждены на постоянной основе использовать такие механизмы трансграничной передачи данных, которые соответствуют установленным GDPR принципам их обработки и гарантируют их надлежащую защиту.

До выхода GDPR, когда европейское законодательство не носило экстерриториального характера, крупные российские компании выстраивали процесс передачи персональных данных путем заключения договора на передачу и договора на обработку данных.

Сегодня же им следует пересмотреть свой подход с учетом механизмов соблюдения соответствующих гарантий, предусмотренных нормами GDPR: среди них «Кодекс поведения», «Обязательные корпоративные правила» (Binding Corporate Rules), «Стандартные положения о защите данных» (Standard Contractual Clauses), «Сертификация».

1

Механизмы обеспечения соответствующих гарантий при трансграничной передачи персональных данных поGDPR

«Кодекс поведения»

«Кодекс поведения» представляет собой совершенно новый механизм, устанавливающий конкретные правила защиты данных в определенном секторе.

Такой документ разрабатывается торговыми ассоциациями или объединениями, например, представляющими банковский сектор, по согласованию с заинтересованными сторонами – участниками рынка, после чего утверждается европейским регулятором (Data Protection Authority) и главным надзорным органом ЕС по защите данных (European Data Protection Board).

На сегодняшний день такой кодекс отсутствует в каком-либо секторе деятельности, поэтому рассматривать его как возможный механизм, позволяющий гарантировать надлежащий уровень защиты персональных данных, нецелесообразно в ближайшие 3–5 лет. Инициативы разработки аналогичного документа известны лишь в сфере облачных вычислений и в фармацевтической промышленности.

«Стандартные положения о защите данных» (StandardContractualClauses,SCC)

Этот документ разработан задолго до вступления в силу GDPR. Планируется, что обновленные формы уже в соответствии с требованиями GDPR будут опубликованы на сайте ЕС в ближайшее время.

Особенность таких положений заключается в том, что форма является дополнением к главному договору и в нее нельзя вносить изменения. Многие российские компании в рамках трансграничной передачи данных уже используют SCC в качестве приложения к основному договору, предусматривающему передачу данных.

Стандартные положения SCC бывают двух видов:

·               «Контролер – Обработчик»,

·               «Контролер – Контролер».

Форма «Контролер– Обработчик» подразумевает, что контролер поручает обработку персональных данных обработчику согласно целям, определенным контролером.

Форма «Контролер – Контролер», в свою очередь, предусматривает, что каждая сторона самостоятельно определяет цель и средства обработки персональных данных.

SCC детально описывает потоки данных, а также технические и организационные меры безопасности.

Стандартные положения SCC отлично подходят в случае с малым и средним бизнесом.

Для компаний-гигантов такой подход представляется не совсем удобным и весьма трудозатратным, поскольку порядок передачи данных в условиях стремительного развития цифровых технологий и постоянного изменения бизнес-процессов подразумевает необходимость заключения бесчисленного количества приложений к SCC с детальным и точным описанием потоков данных.

«Обязательные корпоративные правила» (BindingCorporateRules,BCR)

Самым же удобным механизмом трансграничной передачи данных для крупного бизнеса являются «Обязательные корпоративные правила» (Binding Corporate Rules-BCR). Данный документ представляет собой межгрупповой договор (свод правил), закрепляющий правила передачи персональных данных в рамках одной группы компаний.

BCR предоставляет возможность международной группе компаний обмениваться данными в условиях стремительного развития бизнеса без детального описания в заключаемых SCC постоянно увеличивающихся потоков данных.

Помимо повышения качественности трансграничного обмена, общие положения о защите персональных данных, закрепленные в BCR, являются фундаментом единого подхода к обработке и защите персональных данных в группе компаний.

BCR бывает двух типов:

•      BCR-C используется в рамках передачи персональных данных от контролера, находящегося на территории ЕС, другим контролерам и обработчикам за пределами ЕС.
•      BCR-P используется в рамках обработки персональных данных, полученных группой (обработчиком) от контролера, учрежденного в ЕС и не входящего в группу.

Самый распространенный вариант – BCR-C, который позволяет свободно обмениваться персональными данными в рамках одной группы компаний.

Особенность данного документа заключается в том, что для использования в работе группа должна согласовать текст BCR с европейским регулятором и получить подтверждение главного надзорного органа ЕС (European Data Protection Board) (последнее – при необходимости). Организации, имеющие утвержденный европейским регулятором BCR, считаются в ЕС передовыми и надежными по вопросам защиты данных как клиентами и контрагентами, так и европейским регулятором.

На сегодняшний день европейский регулятор утвердил 132 BCR, из которых 20% – финансово-кредитные организации, такие как Citigroup, JPMorgan. Однако в списке организаций, имеющих BCR, отсутствуют российские международные компании, имеющие дочерние общества на территории ЕС.

Это обусловлено тем, что разработка и внедрение единых требований к обработке и защите персональных данных в группе и их дальнейшее практическое применение объективно являются трудоемкой задачей ввиду необходимости анализа и учета требований законодательств, применимых к участникам группы. Для разработки и внедрения BCR российской компании необходимо провести масштабную работу по выработке единых правил, требований и подходов, как организационных, так и технических, к обработке и защите ПДн, обязательных для применения всеми присоединившимися к BCR компаниями.

Тем не менее экстерриториальный характер GDPR заставил задуматься крупные российские компании, чьи дочерние общества и аффилированные лица находятся на территории ЕС, использовать именно такой подход к трансграничной передаче персональных данных в группе.

Преимущество BCR для российской группы компаний заключается не только в том, что такой документ позволит не только обеспечить единый подход к защите ПДн в группе и уменьшить трудозатраты на реализацию договорного сопровождения потоков данных по бизнес-процессам, но и существенным образом повысить уровень доверия европейских контрагентов, клиентов, а также европейского регулятора как к группе компаний, так и к России в целом.

«Сертификация»

Ст. 42 GDPR предусматривает сертификацию на соответствие требованиям GDPR. Эксперты в области защиты персональных данных уже три года ждут новостей о том, что же это за сертификация, какие требования будут предъявляться и как будет проходить процедура сертификации, кто будет аккредитованными компаниями, и т. д.

Согласно положению GDPR, для проведения такой сертификации главный надзорный орган ЕС по защите данных должен аккредитовать консалтинговые и аудиторские компании на проведение таких мероприятий. Однако на сегодняшний день European Data Protection Board не аккредитовал ни одну компанию, не говоря уже о том, что не были выдвинуты требования к таким организациям.

Как и кодексы поведения, вопрос внедрения сертификации и выработки алгоритма действий для организаций, желающих получить подтверждение на соответствие требованиям GDPR, может затянуться на годы.

Административные штрафы за нарушение правил трансграничной передачи данных

Нарушение требований к трансграничной передаче данных с территории ЕС может привести к самым высоким санкциям, достигающих €20 млн или 4% глобального годового оборота компании.

Какой подход выбрать?

На сегодняшний день российские компании имеют два возможных пути правового сопровождения трансграничной передачи данных с территории ЕС в Россию: использование стандартных положений о защите данных SCC или разработка BCR.

Первый подход удобен в следующих случаях:

·               когда четко определены процессы, в рамках которых передаются персональные данные.

·               когда передача данных имеет постоянный характер и не подвержена многочисленным изменениям в результате внедрения новых бизнес-процессов, что больше свойственно малому и среднему бизнесу.

Разработка BCR, в свою очередь, является более зрелым решением и требует от группы копаний четкого понимания ответственности после принятия и согласования такого документа. При направлении BCR на утверждение европейскому регулятору группа дает гарантию, что организации, входящие в ее состав, следуют единым правилам защиты персональных данных, соответствующим принципам GDPR.

Сбербанк, будучи лидером на российском финансовом рынке, не боится решать новые сложные задачи в части соответствия требованиям европейского законодательства. Очевидная польза разработки и внедрения BCR в группе «Сбербанк» состоит в стандартизации и повышении уровня зрелости процессов обработки и защиты персональных данных во всех организациях, входящих в группу.

При выборе ВCR в качестве правового механизма трансграничной передачи данных компании группы должны быть готовы к тому, что согласование обязательных корпоративных правил может занимать от полугода до полутора лет ввиду очереди из международных компаний со всего мира, нацеленных в полной мере соответствовать требованиям GDPR.

Эльвира ЧАЧЕ,

менеджер Центра организации обработки и защиты персональных данных Сбербанка

Ключевые слова: безопасность российских корпоративных данных, кибербезопасность, информационная безопасность

Журнал: Журнал IT-News, Подписка на журналы

Компания: Sberbank | Сбербанк

Источник: https://www.it-world.ru/it-news/security/144620.html

Трансграничная передача персональных данных это: правила передачи данных и возможные ограничения

Международные договоры рф о трансграничной передаче персональных данных

Трансграничная передача персональных данных – это весьма непростая процедура, в которой участвуют два государства в целях пересылки определенной информации гражданина одной из стран.

Несмотря на то, что в России на федеральном уровне существует несколько законов, оговаривающих принципы проведения трансграничной передачи данных, на практике этот процесс сталкивается с неизбежными трудностями.

Основной проблемой является обеспечение полной защиты передаваемых сведений, от которой может зависеть не только благополучие субъекта ТППД, но и всего государства, от которого исходит сообщение. О том, как происходит трансграничная передача персональных данных и какие ограничения она предполагает рассказываем далее.

Трансграничная передача персональных данных

Что такое трансграничная передача данных

Под трансграничной передачей персональных данных (далее по тексту ТППД) подразумевается процесс пересылки определенной информации за пределы Российской Федерации в одно из иностранных государств. Пересылка осуществляется операторами и предназначается органам власти, физлицу или юрлицу соответствующей страны.

Наиболее полную информацию о ТППД можно подчерпнуть из третьей статьи ФЗ, посвященной персональным данным и способам их существования в информационном пространстве. Также ТППД затрагивается и сто пятьдесят вторым ФЗ, в котором содержится еще одно определение данного явления.

3 статья ФЗ О персональных данных

Ограничения

Государство имеет право наложить запрет на передачу ПД через границу страны в тех случаях, когда утечка данных будет грозить следующими опасными последствиями:

  • нарушения опорных пунктов Конституции;
  • посягательства на нравственность;
  • возможный ущерб здоровью граждан;
  • ущемление прав, а также законных интересов жителей России;
  • угроза безопасности страны;
  • невозможность осуществить полноценную оборону.

Передача персональных данных через государственные границы сопряжена с рядом опасностей

Во всех прочих ситуациях законодательством не предусматриваются никакие запреты на пересылки ПД.

При этом пересылка эта может адресоваться только тем странам, которые способны обеспечить защиту прав граждан РФ.

К безопасным в отношении передачи данных странам являются те государства, которые считаются сторонами Конвенции или же государства, указанные в специальном перечне, составленном с помощью Роскомнадзора.

Передача данных небезопасным странам

Если же говорить о странах, на которые требования Конвенции не распространяются, то они также могут участвовать в ТППД. Однако для того, чтобы осуществить передачу сведений стране, которая не гарантирует безопасность участникам ТППД, потребуется учесть несколько обязательных пунктов:

  • для осуществления передачи данных понадобится согласие от участника ТППД на то, чтобы информация о нем была передана соответствующей стране;
  • передача данных должна быть предусмотрена международным договором Российской Федерации;
  • передача данных предусматривается ФЗ России в ряде случаев, при которых от пересылки информации зависит сохранение конституционного строя, обеспечение личных интересов граждан, сохранение безопасности в стране и так далее;
  • передача данных оговаривается договором, который был заключен с участником ТППД;
  • от передачи данных зависит благополучие того, кому эта информация принадлежит (в таких ситуациях от субъекта ТППД даже не требуется получение письменного согласие на пересылку сведений).

При передаче данных в небезопасную страну потребуется предварительное заключение договора

Из всех вышеуказанных пунктов можно сделать вывод о том, что ТППД возможна и при участии стран, не гарантирующих безопасность субъекту передачи данных. Для этого потребуется наличие предварительной договоренности или задокументированного согласия лица, чья сведения будут переданы.

Для стран, гарантирующих субъекту ТППД защиту его прав, подобные соглашения не требуются. Однако в целях безопасности оператор, отвечающих за пересылку сведений должен заблаговременно сообщить субъекту ПД о том, что его данные будут переданы за пределы РФ. При оповещении субъекта учитываются три опорных пункта:

  • цели, которые планируется достигнуть путем передачи персональных данных субъекта;
  • объем и характер информации, которую собирается отправить оператор;
  • получатели персональных данных.

При передаче персональных данных лица, само это лицо должно быть в обязательном порядке оповещено о процедуре

Порядок трансграничной передачи данных

Трансграничная отправка данных является непростой процедурой, предполагающей целый ряд формальных действий, обязательных к исполнению. Для того, чтобы она была осуществлена на законных основаниях, требуются определенные условия.

Таблица 1. Трансграничная передача данных поэтапно

ЭтапОписание
Уведомление РоскомнадзораПеред отправкой информации в Роскомнадзор отправляется уведомление
Информирование субъекта ТППДСубъект должен быть осведомлен в том зачем пересылаются его данное и каков их объем
Составление оператором нормативных документовВ нормативных документах должна подтверждаться законность проводимой процедуры со ссылкой на соответствующие законы
Заключение договора с организацией-получателем исходных данныхС посредником оговариваются способы передачи данных и степень их защищенности
Обеспечение должной защиты каналаКанал, по которому произойдет отправка информации, обязан быть зашифрованным

О каждом из упомянутых условий мы и поговорим в данном разделе.

Уведомление Роскомнадзора

Роскомнадзор должен быть первой инстанцией, которая будет поставлена в известность о планирующейся трансграничной передаче данных. Для того, чтобы проинформировать Роскомнадзор потребуется:

  • направить уведомление, касающееся обработки ПД гражданина РФ;
  • перечислить страны, которые примут данное сообщение.

Роскомнадзор должен быть оповещен о предстоящей передаче персональных данных за пределы РФ

Информирование субъекта ТППД

Как уже говорилось, субъект ТППД должен быть оповещен о планирующейся операции еще до того, как она произойдет. Эта информация должна быть зафиксирована в следующих документах:

  • политика в отношении обработки персональных данных;
  • договор, заключенный с субъектом ТППД;
  • любой иной документ, который ставит своей целью донесение до субъекта ТППД планирующейся операции.

В договоре, который адресуется обладателю персональных данных указываются цели трансграничной передачи

Составление нормативных документов

Внутренние нормативные документы, составляемые оператором, осуществляющим передачу данных, должны включать в себя следующие детали:

  • правовую основу, позволяющую проводить ТППД. Под правовой основной подразумевается список конкретных правовых документов, придающих пересылке сведений законный статус;
  • регламент, который обеспечивает безопасный обмен персональными данными;
  • оглашение списка планируемых мер и способов сохранения персональных данных под защитой (к таким средствам защиты относятся всевозможные средства, обеспечивающие криптографическую защиту данных).

О том, что такое криптографическая защита информации и какие методы она применяет можно прочесть ниже.

https://www.youtube.com/watch?v=GZLsd4Z6s0k

Криптографические методы защиты данных

Заключение договора с посредником

Договор с посредником, отвечающим за передачу персональных данных, в обязательном порядке состоит из таких пунктов, как:

  • список манипуляций, которые будут осуществляться компанией-посредником с персональными данными;
  • цели, в которых будет осуществляться обработка данных;
  • обязательства компании-посредника перед Россией и самим субъектом ТППД, заключающиеся в соблюдении принципов конфиденциальности и предоставления полной безопасности субъекту;
  • требования защищенности персональных данных, подлежащих обработке. Сама компания-посредник при осуществлении данной процедуры основывается на законодательных нормах, принятых в стране ее расположения.

Компания-посредник должна обеспечить полную безопасность передаваемых данных в силу своих возможностей

Защита канала

Под защитой канала понимается предотвращение всех случайных или злонамеренных попыток получить доступ к охраняемой информации. Особого внимания требует передача данных, осуществляющаяся посредством интернета – в таких ситуациях операторы обязаны использовать специальные способы шифровки сведений.

Иногда допускается практикование средств криптографической защиты, не прошедших необходимую по закону сертификацию ввиду:

  • требований, изложенные в Конвенции ETS номер 108, которая налагает запрет на создание ограничений и контролирование циркуляции персональных данных, направляющихся в другие страны, руководствуясь соображениями защиты личной сферы субъекта ТППД;
  • присутствия лимитов на вывоз оборудования, в составе которых наличествуют способы шифрования с российских территорий;
  • нюансов законодательных норм иностранных государств, которые выступают получателями криптографического оборудования, а также согласование данного вопроса со службами страны, в которую перевозится соответствующее оборудование.

Конвенция 108 EST оговаривает особенности охраны персональных данных

Нововведения

Отдельного внимания заслуживают изменения, которые были внесены Федеральным законом 242 пятилетней давности, дополняющий 152 закон. 242 ФЗ, прежде всего, специализируется на области информационно-коммуникационных сетей, в связи с чем добавляет к уже существующему закону важный пункт. Дополнение это заключается в том, что отныне на операторов возлагаются следующие задачи:

  • запись персональных данных;
  • систематизация;
  • накопление;
  • сохранение;
  • обновление или внесение изменений по мере необходимости.

Также данный закон предусматривает получение ПД россиян при помощи баз данных, располагающихся на территории данной страны.

242 ФЗ Статья 1

Несмотря на то, что 152 закону удается прояснить некоторые детали, в свое время он породил бурные обсуждения, после которых многие вопросы остаются без ответа и по сей день. Среди таких дискуссионных моментов значатся следующие:

  • каково будущее трансграничной передачи персональных данных в контексте новых законов? Запрет, налагаемый на хранение персональных данных всех жителей Российской Федерации, предполагает запрет на саму ТППД, что приводит к сложному выбору;
  • как оператор сможет понять, что те или иные персональные данные закреплены за россиянином;
  • смогут ли найти «общий язык» 152 закон и Конвенция ETS номер 108? Учитывая взаимоисключающие положения, поиск общих оснований будет даваться нелегко;
  • каким образом регуляторы собираются определять физическое местонахождение персональных данных граждан России;
  • какое влияние принятый закон будет оказывать на иностранные фирмы, специализирующиеся на обработке персональных данных при опоре на законодательство своей страны и на вышеупомянутую Конвенцию.

На данный момент продолжаются активные обсуждения вопроса о том, как обеспечить безопасную трансграничную передачу данных

В связи с всеобщим недовольством 242 статьей, члены Государственной Думы уже рассматривали возможные поправки и законопроекты, которые смогли бы внести ясность в сложившуюся противоречивую ситуацию. Однако на данный момент у властей нет исчерпывающих ответов на вопрос о том, каким образом будут хранится и подвергаться обработке персональные данные россиян.

Весьма закономерно, что упомянутые сложности поведут за собой неизбежное увеличение издержек для операторов, чьи базы данных находятся за пределами России. Стараясь усилить охрану персональных данных россиян, законодатели тем самым неизбежно сужают возможности ее использования и передачи. В связи с этим многие специалисты советуют операторам переносить свои базы данных на территорию России.

: Что такое персональные данные

Источник: https://yr-expert.com/transgranichnaya-peredacha-personalnyh-dannyh-eto/

Трансграничная передача персональных данных – это, осуществление, согласие, пример, цель

Международные договоры рф о трансграничной передаче персональных данных

1   0   1577

В сфере информационной безопасности актуальным явлением становится охрана персональных данных. Вместе с ростом объёмов интернет-торговли, цифровых операций и прочего возникает угроза для компаний и даже экономики целых государств. Специалисты уделяют внимание не только вопросу хранения, но и передачи.

Что это такое

В данном случае имеется в виду передача любых личных данных физического лица через границу Российской Федерации иностранному получателю.

В качестве получателя могут выступать:

  • органы государственной власти или силовые структуры;
  • физические лица;
  • юридические лица.

Сегодня сталкиваются два явления — глобализация и рост онлайн-торговли, а также опасность киберпреступлений. Стремление обеспечить безопасность приводит к затруднению общения, торговли, обмена информации. Проблемой занимаются на государственном уровне.

Персональные данные — любая информация, прямо или косвенно относящаяся к человеку. Субъектом выступает физическое лицо. По закону это понятие в сети не ограничивается чисто техническим статусом, а приобретает юридическую силу.

Под трансграничную передачу попадает любая пересылка личной информации при следующих ситуациях:

  • бронирование номеров в зарубежных отелях;
  • покупка авиа- и ж/д билетов в других странах;
  • покупка в иностранных интернет-магазинах;
  • оформление документов, разрешений, пропусков и т.д.

Подобные ситуации происходят всё чаще, потому что граждане России контактируют с иностранными компаниями, магазинами, заказывают услуги и многое другое. Как только персональные данные отправляются иностранному получателю в силу вступает закон о защите.

Какая преследуется цель

Вопрос на государственном уровне начали активно обсуждать после объединения стран Европы, создания Евросоюза и развития информационных технологий.

Перед экспертами поставлены конкретные цели:

  1. Создание универсальных правил и понятий, позволяющих сформировать законодательные акты для международного права.
  2. Определение чёткого юридического статуса и узаконивание хранения, обработки и передачи персональных данных.

После осознания необходимости и изучения вопроса была создана Конвенция, регулирующая подобные вопросы и явления, связанные с этим.

Для рядовых граждан появляются конкретные преимущества:

  • реальная возможность отстоять права и защитить личные данные даже в другой стране;
  • уверенность в сохранности и защите от третьих лиц.

Как осуществляется

Сейчас трансграничная передача персональных данных осуществляется на основе правил, сформированных Федеральным законом №152. Российская Федерация вводит собственные требования, но также учитывает международную практику.

Юристы для упрощения оперируют понятием «адекватная защита», предполагающего использование доступных возможностей для обеспечения безопасности.

Передача осуществляется следующим образом:

  • прорабатывается организационная структура и определяется перечень стран, куда отправляются данные;
  • определяются цели и особенности дальнейшей обработки;
  • оператор берёт на себя обязательства по обеспечению безопасности и следит за тем, чтобы принимающая сторона обеспечила адекватную защиту;
  • подлежащий защите объект описывается, для него формируются обоснования.
  • определяются характеристики персональных данных;
  • процесс согласовывается в соответствии с нормативными актами, принятыми в стране получателя;
  • осуществляется пересылка информации.

На данный момент имеются стандарты, позволяющие упростить и ускорить процесс, но в каждом отдельном случае требования формируются с учётом конкретной ситуации. При передаче персональных данных граждан России через границу РФ иностранному получателю операторы ориентируются на Федеральный Закон №152.

Если необходимая защита не обеспечена, то оператор может заблокировать передачу или ограничить её. Телекоммуникационная компания несёт ответственность, поэтому несоблюдение законных требований ведёт к административному наказанию.

Сегодня гораздо выгодней развивать информационную безопасность, иначе это грозит запретом на предоставление услуг или оттоком клиентов.

Передача данных через границу РФ может осуществляться без создания адекватной защиты возможно в следующих ситуациях:

  • физическое лицо, которому принадлежат персональные данные, подписал письменное согласие;
  • процесс затрагивает оформление виз (в соответствии с международными договорами);
  • обстоятельства касаются решения правовых, уголовных, семейных вопросов;
  • передача данных осуществляется на федеральному уровне и касается государственной безопасности;
  • обеспечение защиты жизни и здоровья субъекта персональных данных.

Таким образом, требуется адекватная защита или письменное согласие на осуществление трансграничной передачи данных, если это не касается более серьёзных правовых или государственных вопросов. Некоторые вопросы ставятся выше стандартных международных договоров, но это только исключение из правил.

Уже упомянутый ФЗ №152 описывает общие требования, на основе которых создан документ для письменного согласия. Подробнее об этом рассказывается в пункте №9. регламентируется не строго, а произвольно.

Примерный бланк можно скачать здесь.

Однако есть перечень пунктов, обязательных для заполнения:

  1. ФИО гражданина.
  2. Серия, номер паспорта, прописка (или иной документ, удостоверяющий личность).
  3. ФИО получателя или полное название организации, обрабатывающей данные.
  4. Цели запроса персональных данных со стороны иностранного получателя.
  5. Список данных для отправки и обработки, описание действий.
  6. Дополнительная информация об организации, берущей на себя обязательства по обработке.
  7. Срок действия письменного согласия.

На подобном документе необходимо указать число и поставить подпись субъекта. На данный момент есть возможность воспользоваться стандартным бланком или использовать тот, который предоставляет оператор.

Строгих требований по заполнению нет, за исключением обязательных пунктов. Ещё одним требованием является добровольное заполнение документа.

Договор

Договор исполняется при наличии:

  • письменного согласия на передачу, обработку и хранение персональных данных от субъекта (физического лица);
  • договора, заключённого с принимающей стороной, подтверждающего соблюдение стандартов информационной безопасности;
  • письменное уведомление Роскомнадзора.

Оператор, предоставляющий услуги пересылки, имеет на руках согласие субъекта и разрешение на осуществление деятельности. Однако в дополнении к этому следует заключить договор с принимающей стороной.

Ситуация обоснована необходимостью обеспечить защиту. При наличии договоров и официальных документов со стороны отправляющей и принимающей стороны повышает ответственность, а также создаёт базу для отстаивания интересов граждан.

Примерный бланк можно скачать по ссылке.

Ведущие эксперты в сфере информационной безопасности заявляют о необходимости защиты непосредственно процесса трансграничной передачи получателю, располагающемуся на территории другого государства.

В этот момент требуется максимальное внимание, причём выше, чем при хранении и обработке. Все действия со стороны формируют современный комплекс.

Эффективная защита в момент передачи возможна при реализации рекомендуемых мер, соответствующие выполняемым процессам. В этом случае учитывается:

  • характеристики передаваемой информации;
  • общие положения и требуемые действия в соответствии с международным правом;
  • возможности для повышения коэффициента безопасности.

Принятие мер, направленных на повышение безопасности, возможно только с учётом специфики данных, направления передачи и других особенностей. В связи с этим оператор учитывает такие моменты.

К конкретным методам защиты относят:

  1. Защита используемых каналов передачи данных в зависимости от их особенностей.
  2. Методы шифрования при использовании только сети Интернет.
  3. Исключение посредников, занятых в промежуточной обработке.

Таким образом, всё сводится к повышению надёжности каналов. В настоящее время основным является Интернет. Отправка осуществляется через электронную почту, мессенджеры, социальные сети и т.д. При заполнении форм важно использовать каналы, защищённые надёжными протоколами шифрования.

По сложившейся практике не требуется регистрировать в Роскомнодзоре факт передачи, также как не требуется дожидаться подтверждения согласия на обработке и пересыл.  Операторы без лишнего контроля должны принимать необходимые меры, чтобы обеспечить нужный уровень безопасности.

Если передача данных организована с нарушениями и без уведомления Роскомнадзора, то это расценивается как незаконная отправка личной информации.

В этом случае предусмотрено административное наказание в соответствии со статьёй 19.7 АК РФ. На оператора накладывается штраф 5 000 рублей. Уведомление «задним числом» уже после отправки персональных данных расценивается аналогичным образом.

Таким образом, сегодня трансграничная передача становится актуальным явлением. Операторы должны учитывать действующее законодательство РФ и другой страны, куда отправляется информация.

Основной задачей становится защита канала передачи методами шифрования в сети или иными способами. Сами граждане должны только дать согласия на отправку и никаких иных действий от них не требуется.

по теме:

Внимание!

  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов. Базовая информация не гарантирует решение именно Ваших проблем.

Поэтому для вас круглосуточно работают БЕСПЛАТНЫЕ эксперты-консультанты!

ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.

Источник: https://juristampro.ru/transgranichnaja-peredacha-personalnyh-dannyh/

Адвокат Cагулин
Добавить комментарий