Как оформить передачу персональных данных за границу?

Содержание
  1. Трансграничная передача персональных данных – это, осуществление, согласие, пример, цель
  2. Что это такое
  3. Какая преследуется цель
  4. Как осуществляется
  5. Договор
  6. по теме:
  7. Передача персональных данных третьим лицам в 2019 году
  8. В каких случаях требуется передача персональных данных работника третьим лицам
  9. Как оформляется передача данных
  10. Как составить согласие на передачу персональных данных третьим лицам
  11. Ответственность за нарушения
  12. Трансграничная передача персональных данных
  13. Что такое трансграничная передача ПДн?
  14. Необходимые действия при трансграничной передаче
  15. Трансграничная передача персональных данных: что это
  16. Что такое трансграничная передача персональных данных
  17. Правила трансграничной передачи данных
  18. Подведем итоги
  19. Трансграничная передача персональных данных – в 2019 году
  20. Правила трансграничной передачи
  21. Какие нужно предпринять действия
  22. Как обеспечить безопасность

Трансграничная передача персональных данных – это, осуществление, согласие, пример, цель

Как оформить передачу персональных данных за границу?

1   0   955

В сфере информационной безопасности актуальным явлением становится охрана персональных данных. Вместе с ростом объёмов интернет-торговли, цифровых операций и прочего возникает угроза для компаний и даже экономики целых государств. Специалисты уделяют внимание не только вопросу хранения, но и передачи.

Что это такое

В данном случае имеется в виду передача любых личных данных физического лица через границу Российской Федерации иностранному получателю.

В качестве получателя могут выступать:

  • органы государственной власти или силовые структуры;
  • физические лица;
  • юридические лица.

Сегодня сталкиваются два явления — глобализация и рост онлайн-торговли, а также опасность киберпреступлений. Стремление обеспечить безопасность приводит к затруднению общения, торговли, обмена информации. Проблемой занимаются на государственном уровне.

Персональные данные — любая информация, прямо или косвенно относящаяся к человеку. Субъектом выступает физическое лицо. По закону это понятие в сети не ограничивается чисто техническим статусом, а приобретает юридическую силу.

Под трансграничную передачу попадает любая пересылка личной информации при следующих ситуациях:

  • бронирование номеров в зарубежных отелях;
  • покупка авиа- и ж/д билетов в других странах;
  • покупка в иностранных интернет-магазинах;
  • оформление документов, разрешений, пропусков и т.д.

Подобные ситуации происходят всё чаще, потому что граждане России контактируют с иностранными компаниями, магазинами, заказывают услуги и многое другое. Как только персональные данные отправляются иностранному получателю в силу вступает закон о защите.

Какая преследуется цель

Вопрос на государственном уровне начали активно обсуждать после объединения стран Европы, создания Евросоюза и развития информационных технологий.

Перед экспертами поставлены конкретные цели:

  1. Создание универсальных правил и понятий, позволяющих сформировать законодательные акты для международного права.
  2. Определение чёткого юридического статуса и узаконивание хранения, обработки и передачи персональных данных.

После осознания необходимости и изучения вопроса была создана Конвенция, регулирующая подобные вопросы и явления, связанные с этим.

Для рядовых граждан появляются конкретные преимущества:

  • реальная возможность отстоять права и защитить личные данные даже в другой стране;
  • уверенность в сохранности и защите от третьих лиц.

Как осуществляется

Сейчас трансграничная передача персональных данных осуществляется на основе правил, сформированных Федеральным законом №152. Российская Федерация вводит собственные требования, но также учитывает международную практику.

Юристы для упрощения оперируют понятием «адекватная защита», предполагающего использование доступных возможностей для обеспечения безопасности.

Передача осуществляется следующим образом:

  • прорабатывается организационная структура и определяется перечень стран, куда отправляются данные;
  • определяются цели и особенности дальнейшей обработки;
  • оператор берёт на себя обязательства по обеспечению безопасности и следит за тем, чтобы принимающая сторона обеспечила адекватную защиту;
  • подлежащий защите объект описывается, для него формируются обоснования.
  • определяются характеристики персональных данных;
  • процесс согласовывается в соответствии с нормативными актами, принятыми в стране получателя;
  • осуществляется пересылка информации.

На данный момент имеются стандарты, позволяющие упростить и ускорить процесс, но в каждом отдельном случае требования формируются с учётом конкретной ситуации. При передаче персональных данных граждан России через границу РФ иностранному получателю операторы ориентируются на Федеральный Закон №152.

Если необходимая защита не обеспечена, то оператор может заблокировать передачу или ограничить её. Телекоммуникационная компания несёт ответственность, поэтому несоблюдение законных требований ведёт к административному наказанию.

https://www.youtube.com/watch?v=yppNqlTFr04

Сегодня гораздо выгодней развивать информационную безопасность, иначе это грозит запретом на предоставление услуг или оттоком клиентов.

Передача данных через границу РФ может осуществляться без создания адекватной защиты возможно в следующих ситуациях:

  • физическое лицо, которому принадлежат персональные данные, подписал письменное согласие;
  • процесс затрагивает оформление виз (в соответствии с международными договорами);
  • обстоятельства касаются решения правовых, уголовных, семейных вопросов;
  • передача данных осуществляется на федеральному уровне и касается государственной безопасности;
  • обеспечение защиты жизни и здоровья субъекта персональных данных.

Таким образом, требуется адекватная защита или письменное согласие на осуществление трансграничной передачи данных, если это не касается более серьёзных правовых или государственных вопросов. Некоторые вопросы ставятся выше стандартных международных договоров, но это только исключение из правил.

Уже упомянутый ФЗ №152 описывает общие требования, на основе которых создан документ для письменного согласия. Подробнее об этом рассказывается в пункте №9. регламентируется не строго, а произвольно.

Примерный бланк можно скачать здесь.

Однако есть перечень пунктов, обязательных для заполнения:

  1. ФИО гражданина.
  2. Серия, номер паспорта, прописка (или иной документ, удостоверяющий личность).
  3. ФИО получателя или полное название организации, обрабатывающей данные.
  4. Цели запроса персональных данных со стороны иностранного получателя.
  5. Список данных для отправки и обработки, описание действий.
  6. Дополнительная информация об организации, берущей на себя обязательства по обработке.
  7. Срок действия письменного согласия.

На подобном документе необходимо указать число и поставить подпись субъекта. На данный момент есть возможность воспользоваться стандартным бланком или использовать тот, который предоставляет оператор.

Строгих требований по заполнению нет, за исключением обязательных пунктов. Ещё одним требованием является добровольное заполнение документа.

Договор

Договор исполняется при наличии:

  • письменного согласия на передачу, обработку и хранение персональных данных от субъекта (физического лица);
  • договора, заключённого с принимающей стороной, подтверждающего соблюдение стандартов информационной безопасности;
  • письменное уведомление Роскомнадзора.

Оператор, предоставляющий услуги пересылки, имеет на руках согласие субъекта и разрешение на осуществление деятельности. Однако в дополнении к этому следует заключить договор с принимающей стороной.

Ситуация обоснована необходимостью обеспечить защиту. При наличии договоров и официальных документов со стороны отправляющей и принимающей стороны повышает ответственность, а также создаёт базу для отстаивания интересов граждан.

Примерный бланк можно скачать по ссылке.

Ведущие эксперты в сфере информационной безопасности заявляют о необходимости защиты непосредственно процесса трансграничной передачи получателю, располагающемуся на территории другого государства.

В этот момент требуется максимальное внимание, причём выше, чем при хранении и обработке. Все действия со стороны формируют современный комплекс.

Эффективная защита в момент передачи возможна при реализации рекомендуемых мер, соответствующие выполняемым процессам. В этом случае учитывается:

  • характеристики передаваемой информации;
  • общие положения и требуемые действия в соответствии с международным правом;
  • возможности для повышения коэффициента безопасности.

Принятие мер, направленных на повышение безопасности, возможно только с учётом специфики данных, направления передачи и других особенностей. В связи с этим оператор учитывает такие моменты.

К конкретным методам защиты относят:

  1. Защита используемых каналов передачи данных в зависимости от их особенностей.
  2. Методы шифрования при использовании только сети Интернет.
  3. Исключение посредников, занятых в промежуточной обработке.

Таким образом, всё сводится к повышению надёжности каналов. В настоящее время основным является Интернет. Отправка осуществляется через электронную почту, мессенджеры, социальные сети и т.д. При заполнении форм важно использовать каналы, защищённые надёжными протоколами шифрования.

По сложившейся практике не требуется регистрировать в Роскомнодзоре факт передачи, также как не требуется дожидаться подтверждения согласия на обработке и пересыл.  Операторы без лишнего контроля должны принимать необходимые меры, чтобы обеспечить нужный уровень безопасности.

Если передача данных организована с нарушениями и без уведомления Роскомнадзора, то это расценивается как незаконная отправка личной информации.

В этом случае предусмотрено административное наказание в соответствии со статьёй 19.7 АК РФ. На оператора накладывается штраф 5 000 рублей. Уведомление «задним числом» уже после отправки персональных данных расценивается аналогичным образом.

Таким образом, сегодня трансграничная передача становится актуальным явлением. Операторы должны учитывать действующее законодательство РФ и другой страны, куда отправляется информация.

Основной задачей становится защита канала передачи методами шифрования в сети или иными способами. Сами граждане должны только дать согласия на отправку и никаких иных действий от них не требуется.

по теме:

Внимание!

  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов. Базовая информация не гарантирует решение именно Ваших проблем.

Поэтому для вас круглосуточно работают БЕСПЛАТНЫЕ эксперты-консультанты!

Источник: https://juristampro.ru/transgranichnaja-peredacha-personalnyh-dannyh/

Передача персональных данных третьим лицам в 2019 году

Как оформить передачу персональных данных за границу?

В 2019 году работодателю необходимо получить согласие работников на передачу их персональных данных третьему лицу. Поводов для передачи данных может быть много, например, заключение договоров ДМС или получение “зарплатных” карт. Читайте о том, как оформляется процедура, скачайте готовый образец документа

В каких случаях требуется передача персональных данных работника третьим лицам

Законодательство в сфере персональных данных с каждым годом предъявляет все более жесткие требования к их защите. Очевидно, что операторы собирают их не только для того, чтобы хранить и оберегать; обработка подразумевает и их передачу.

Статьей 88 ТК РФ определено, что в общих случаях передача персональных данных третьим лицам осуществляться не может. За исключением двух вариантов:

1. Служащий дал письменное согласие на передачу, при этом его предварительно проинформировали, кому и для чего понадобилась его личная информация.

2. Конфиденциальные данные передаются без согласия их субъекта в особых случаях:

  • в госорганы;
  • при угрозе жизни и здоровью человека;
  • в случаях, определенных федеральным законом.

Если с первым пунктом всё понятно, то второй нуждается в пояснениях.

Что касается госорганов, то работодатель не может не передавать им сведения о сотрудниках. Это:

  • Фонд соцстрахования;
  • Пенсионный фонд;
  • Налоговые органы;
  • Трудовая инспекция;
  • Органы исполнительной власти, расследующие несчастные случаи в компании.

Очевидно, что отказ служащего от посредничества нанимателя во взаимодействии с этими учреждениями невозможен.

Кредитные учреждения, банки, страховые компании в этот перечень не входит. Им информация предоставляется только с письменного согласия служащего.

► Что касается передачи ПДн при угрозе жизни и здоровью – это вопрос приоритетности безопасности человеческой жизни. Например, при внезапном ухудшении здоровья, распространении инфекций, неоднократных отравлениях нанимателю придется по запросу передать в медучреждение имеющуюся у него информацию о здоровье служащего.

https://www.youtube.com/watch?v=1d_p545nH3c

Также в некоторых отраслях от сотрудников требуется предварительное медобследование (медкнижка), результаты которого предъявляются контролирующим органами при проверках.

► Что касается случаев, определяемых федеральным законом к ним можно отнести, например, ч. 5 ст. 20 ФЗ № 79-ФЗ от 27.07.2004 г, который обязывает опубликовывать в СМИ по их обращениям информацию о доходах и имуществе госслужащих.

Есть еще несколько ситуаций, в которых у работодателя возникают сомнения: можно передавать ПДн или нет.

► Передача между структурными подразделениями (от кадровика к бухгалтеру или в отдел безопасности). Данная процедура необходима, и она возможна, но должна быть оговорена в Положении о защите ПДН, с которым служащий ознакомлен. Обмен данными происходит между лицами, включенными в приказ о сотрудниках, имеющих допуск к ПДн персонала.

► Передача родственникам служащего. Несмотря на близкие связи, они в данной ситуации являются третьими лицами, и без согласия сотрудника получить его данные не могут.

► Передача сведений в профсоюз – с письменного согласия сотрудника.

Как оформляется передача данных

При заключении трудового договора получить у работника письменное согласие на предоставление его персональных данных третьим лицам во всех необходимых ситуациях до момента увольнения – нельзя.

Алгоритм передачи персональных данных третьим лицам в 2019 такой:

Шаг 1. От инстанции нанимателю пришел письменный запрос. Основной его критерий – мотивированность. Документ должен включать в себя указание цели запроса, ссылку на правовые основания запроса, перечень запрашиваемой информации.

Шаг 2. Проанализировав полученную бумагу, наниматель может сразу отказать в выдаче ПДн, если у него возникнут сомнения, аргументировав отказ тем, что запрашиваемые сведения отнесены законом к информации с ограниченным доступом.

Шаг 3. Если запрос закономерен, руководитель направляет служащему уведомление о необходимости дать согласие с указанием названия учреждения, запросившего данные и целей их использования.

Шаг 4. Сотрудник пишет согласие или отказ в передаче сведений.

Шаг 5. Если согласие получено, наниматель отправляет заявителю необходимую информацию, напоминая ему об ответственности и с просьбой предоставить отчет об использовании данных согласно означенным целям.

Шаг 6. Запросившая информацию инстанция по окончании проведения манипуляций с ней высылает начальнику служащего подтверждение того, что использовала ее в строгом соответствии с целями, указанными в первоначальном запросе.

Все упомянутые бумаги составляются в вольной форме, поскольку унифицированных бланков не существует.

Как составить согласие на передачу персональных данных третьим лицам

Документ прост в составлении, его можно оформить в печатном или рукописном виде. Пишется на имя руководителя от служащего (ФИО, паспорт, прописка).

Суть документа раскрывается в первом предложении: человек дает согласие своему работодателю на предоставление персональных данных третьей стороне (название учреждения) для определенной цели.

Далее следует перечисление тех сведений, которые передаются.

При составлении документа будет целесообразным указать, в течение какого времени настоящее согласие будет действительно. Заканчивается согласие подписью служащего и датой составления.

Скачать образец >>>

Ответственность за нарушения

Несогласованная передача персональных данных третьим лицам в 2019 считается их разглашением и влечет за собой ответственность:

1. Дисциплинарную (замечание, выговор, увольнение).

2. Административную (ст. 13 КоАП) в виде штрафа:

  • 1-3 тыс.руб. для граждан;
  • 5-10 тыс.руб. для должностных лиц;
  • 20-50 тыс.руб. для организаций.

3. Уголовную (ст. 137 УК РФ), если будет доказано, что передача была умышленной, в виде:

  • штрафа 200 тыс.руб.;
  • обязательных работ 120-180 ч.;
  • исполнительных работ до 12 мес.;
  • ареста на срок до 4 мес.

4. Гражданско-правовую. По решению суда нарушителю вменяется в обязанность выплатить пострадавшему компенсацию за моральный ущерб.

Источник: https://www.pro-personal.ru/article/1098072-18-m10-peredacha-personalnyh-dannyh-tretim-litsam-v-2019-godu

Трансграничная передача персональных данных

Как оформить передачу персональных данных за границу?

Несмотря на санкции наших западных соседей число российских компаний, ведущих деятельность с иностранными контрагентами растет. При этом отсутствие территориальных рамок требует единых правил работы.

Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года ETS N 108 (далее – Конвенция ETS N 108) регламентирует рабочий процесс с персональными данными.

Конвенция ETS N 108 предусматривает устранение ограничений в передаче персональных данных на территорию стран, являющихся сторонами Конвенции, и обеспечение возможности их передачи между сторонами Конвенции, поскольку эти страны принимают в национальном законодательстве нормы, обеспечивающие защиту прав субъектов персональных данных.  В России был принят Федеральный закон N 152-ФЗ «О персональных данных» (далее – 152-ФЗ), который в базовых положениях повторяет, международный акт.

Что такое трансграничная передача ПДн?

152-ФЗ определяет понятие трансграничная передача персональных данных, как «передачу персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу».

Помимо возможности запрета трансграничной передачи ПДн в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, никаких ограничений на передачу персональных данных странам обеспечивающим адекватную защиту прав субъектов в законе нет.

Под странами обеспечивающими адекватную защиту понимаются страны, являющиеся сторонами Конвенции, а также иностранные государства, перечень которых установил Роскомнадзор в Приказе № 274 «Об утверждении Перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных».

В отношении стран, не обеспечивающих адекватную защиту прав субъектов ПДн, согласно 152-ФЗ осуществление трансграничной передачи данных возможно в определенных случаях:

  1. наличие согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн;
  2. предусмотренных международными договорами РФ;
  3. предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
  4. исполнения договора, стороной которого является субъект ПДн;
  5. защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц при невозможности получения согласия в письменной форме субъекта ПДн. 

Таким образом, при наличии письменного согласия субъекта или договора с субъектом ПДн, закон 152-ФЗ разрешает передавать персональные данные в любую страну. 

При этом несмотря на то, что получение отдельного согласия субъекта ПДн на трансграничную передачу ПДн в страны обеспечивающие адекватную защиту прав субъектов персональных данных, не требуется, важно чтобы оператор проинформировал субъекта ПДн о трансграничной передаче его ПДн. Для этого стоит в общедоступной политике в отношении обработки ПДн указать цели трансграничной передачи ПДн, объем передаваемых данных и лиц, которым эти данные передаются.

Необходимые действия при трансграничной передаче

  1. Уведомить Роскомнадзор о осуществляемой трансграничной передаче, заполнив (внеся изменения) уведомление об обработке персональных данных и указав страны, в которые будет осуществляться передача.
  2. Проинформировать субъекта ПДн до начала обработки его ПДн об осуществляемой трансграничной передаче, указав это в Политике в отношении обработки ПДн, договоре с клиентом или в другом документе с которым субъект сможет ознакомиться перед передачей своих ПДн.
  3. Отразить во внутренних нормативных документах оператора:
  • Правовое обоснование трансграничной передачи персональных данных (перечень нормативно – правовых документов, на основании которых осуществляется передача и обработка ПДн);
  • Регламент обеспечения безопасного обмена ПДн;
  • Описание мероприятий и средств обеспечения защиты передаваемых ПДн; (организационные мероприятия; технические средства защиты информации, в том числе средства криптографической защиты информации);
  1. Заключить договор с компанией, которой данные передаются, где указать
  • перечень действий, осуществляемых с персональными данными;
  • цели обработки;
  • обязанность обработчика соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке;
  • требования к защите обрабатываемых ПДн. При этом, организация, которой передаются ПДн при организации обработки будет руководствоваться законодательством страны пребывания;
  1. Защитить канал передачи данных. Для защиты ПДн от неправомерного или случайного доступа к ним, при передаче по открытым (незащищенным) каналам связи и сети Интернет необходимо применять средства шифрования. При этом является допустимым использование несертифицированных средств криптографической защиты информации, ввиду:
  • требования Конвенции ETS N 108 (статья 12.2) запрещающей создавать ограничения и ставить под специальный контроль информационные потоки ПДн, идущие на территорию иностранного государства, исходя исключительно из соображений защиты неприкосновенности личной сферы
  • наличия ограничений на вывоз средств, содержащих в своем составе средства шифрования с территории РФ
  • особенностей законодательства иностранного государства, на территорию которого осуществляется ввоз криптографического оборудования, и получение разрешение соответствующих служб иностранного государства на ввоз такого оборудования

21.07.2014 Государственной думой был принят Федеральный закон N 242-ФЗ от “О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях” (далее – 242-ФЗ), который дополняет 152-ФЗ требованием:

“При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети “Интернет”, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ».

Принятие данного закона породило множество вопросов, связанных с его возможной реализацией и последствиями за нарушения требований, в том числе:

  1. Что будет с трансграничной передачей? Ведь передача невозможна без дальнейшего хранения(обработки), а при запрете хранения ПДн на территории иностранного государства получается термин трансграничная передача теряет свой смысл.
  2. Достаточно ли будет хранить на территории Российской Федерации только копию базы с ПДн россиян и продолжать обрабатывать часть данных на территории иностранных государств?
  3. Как оператору определять, что персональные данные принадлежат россиянину?
  4. Как будет уживаться 152-ФЗ в новой редакции и Конвенция ETS N 108?  Ведь ратифицировав Конвенцию Россия согласилась, что она как сторона Конвенции «не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой Стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы». Приняв же этот закон государство устанавливает искусственные ограничения на передачу ПДн. При этом в соответствии п.4 ст.4 152-ФЗ правила международного договора являются приоритетными в случае различия правил.
  5. Как регуляторы будут контролировать где физически хранятся ПДн россиян?
  6. Как российский закон касается иностранных компании обрабатывающих ПДн в соответствии с требованиями своих нормативных актов по защите ПДн, в том числе в соответствии с Конвенцией ETS N 108?

В принятом виде 242-ФЗ вступает в силу 01.09.

2016, однако, в настоящее время в Государственную думу внесен на рассмотрение Законопроект № 596277-6 «О внесении изменения в статью 4 Федерального закона “О внесении изменений в отельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях” предусматривающий перенесение даты вступления в силу 242-ФЗ на 1 января 2015 года. По мнению законодателей такое изменение будет способствовать более оперативному и эффективному обеспечению прав граждан Российской Федерации на сохранность персональных данных и соблюдение тайны переписки в информационно-телекоммуникационных сетях. Данный законопроект уже принят в двух чтениях и о вступлении в силу 242-ФЗ с 1 января можно уже говорить, как о свершившемся факте.

Однако, ускоряя вступление 242-ФЗ в силу, законодатели не предоставляют методик разъясняющих как конкретно должны храниться и обрабатываться ПДн россиян. Разработка новых методик и технических требований занимает у регулирующих органов значительное время и к 1 января 2015 года скорее всего таких документов не будет.

При этом компаниям нужно время, чтобы перестроить технические процессы так, чтобы выполнить требования закона и в то же время не допустить снижения качества предоставляемых услуг клиентам.

В данный момент трансграничная передача ПДн является удобным инструментом, который при правильном применении позволяет операторам снизить издержки при обработке ПДн на территории России, однако принятый 242-ФЗ может в корне изменить эту ситуацию.

Несмотря на то, что эксперты сходятся во мнении, что данный закон предназначен в первую очередь для возможности ограничения доступа к сайтам обрабатывающих ПДн россиян (в частности социальным сетям), операторам, имеющим базы данных на территории иностранных государств и осуществляющих трансграничную передачу ПДн, стоит уже сейчас изучить свои бизнес-процессы с точки зрения возможности переноса данных на территорию России. Так как цели принятого законопроекта и дальнейшая практика его применения у нас в стране могут отличаться.

Источник: http://www.4by4.ru/analytics/transgranichnaya-peredacha-personalnyh-dannyh

Трансграничная передача персональных данных: что это

Как оформить передачу персональных данных за границу?

Многие из нас порой сталкиваются с явлениями, которых ранее никогда не встречали. Одним из таких явлений можно назвать трансграничную передачу данных – это пересылка сведений, проходящая в особенном формате.

Каком именно, при каких условиях и многое другое – вопросы, которые часто интересуют специалистов, работающих в сфере обеспечения информационной безопасности.

Давайте разберем данную информацию в представленном материале, и ответим на давно интересующие вас вопросы.

Трансграничная передача персональных данных: что это

Что такое трансграничная передача персональных данных

В первую очередь необходимо разобрать, что же таит в себе это непонятное для многих явление – трансграничная передача персональных данных.

Так, под данным термином кроется такая передача персональных данных, при которых оператор направляет их непосредственно через государственную границу нашей страны, при этом, адресатом данной передачи является:

  • какой-либо орган властной структуры иного государства;
  • физическое лицо иностранного государства;
  • юридическое лицо.

Вопрос, касающийся передачи данных через границу, поднялся тогда, когда началось объединение государств Европы. В то время необходимо было сделать следующее:

  • создать унифицированное законодательство в данной области;
  • узаконить передачу данных через границы различных государств.

Персональные данные могут в некоторых случаях передаваться без разрешения на то их субъекта

Благодаря возникновению перечисленных необходимостей, произошло создание так называемой Конвенции, которая урегулировала общие вопросы относительно данного явления.

Однако, требовалось также решить вопрос с защитой персональных данных, точнее, с сохранением ее на должном уровне после того, как они окажутся на территории иностранного государства. Дело в том, что:

  • гражданин конкретной страны имеет реальную возможность отстоять свои права и интересы, находясь на территории государства, к которому он принадлежит;
  • при этом, шансы на осуществление защиты интересов на территории иной страны в реальности крайне малы, сделать это представляется практически невозможно.

Правила трансграничной передачи данных

Каким же образом происходит осуществление так называемой трансграничной передачи информационных сведений?

Какие правила регулируют проведение данной процедуры?

На этот вопрос отвечает одна из статей Федерального закона №152, посредством которого осуществляется регулирование связанных с персональными данными нюансов. Давайте рассмотрим обозначенные в ней установки.

1.

 Прежде чем начать проводить передачу данных, входящих в категорию персональных, через государственную границу, оператор, на которого возлагается данная задача, обязан убедиться в том, что принимающее сведения иностранное государство, через границу которого также будут переданы интересующие нас сведения, находится в процессе обеспечения адекватной защиты прав, имеющихся у субъекта искомых персональных данных.

2.

 Передача персональных сведений, осуществляемая через государственные границы на территорию иностранного государства, которое находится в процессе обеспечения так называемой адекватной (соответствующей требованиям ситуации) защиты прав субъекта рассматриваемых персональных данных, должна в обязательном порядке проводиться согласно Федеральному закону № 152. При этом, такая передача может:

  • запрещаться;
  • ограничиваться.

Целью создания таких ограничений и запретов является защита:

  • основ, на которых был создан конституционный строй нашей страны;
  • нравственности;
  • прав населения нашего государства;
  • здоровья населения Российской Федерации;
  • законных интересов граждан нашей страны
  • обеспечения на должном уровне оборонительной способности и безопасности государства.

3. Осуществление передачи персональной информации трансграничного типа на территорию иностранного государства может производиться без создания и обеспечения адекватного уровня защиты только в тех случаях, когда:

  • так называемый субъект персональных данных (физическое лицо, которое имеет к искомым данным прямое или косвенное отношение) дал письменное согласие на осуществление такой их передачи;
  • такой тип передачи предусматривается согласно заключенным Российской Федерацией международным договорам касательно вопросов о выдаче так называемых виз;
  • когда данные обстоятельства передачи персональных данных предусматриваются заключенными нашей страной международными договорами об оказании помощи гражданам по делам правовой, семейной, уголовной и гражданской категорий;
  • при условии, когда данные обстоятельства передачи предусматриваются на федеральном уровне, при наличии необходимости осуществить передачу ради защиты государства, обеспечения его оборонительной функции, и протекции конституционного строя Российской Федерации;
  • для исполнения заключенного на официальном уровне договора, одной из сторон которого является субъект, имеющий к искомым персональным данным прямое или косвенное отношение;
  • ради защиты здоровья, жизни или интересов субъекта персональных данных, представляющихся жизненно важными, а также ради защиты тех же наименований относительно иных лиц, при условии, что не имелось возможности получить от них письменное подтверждение и разрешение на передачу сведений.

Как видите, список исключений довольно широк, однако, необходимо отметить, что каких-либо противоречий он не вызывает, так как обоснованность каждого из пунктов вполне очевидно.

Федеральный закон «О персональных данных». Статья 12. Трансграничная передача персональных данных

Что же касается правил передачи, при которых не учитываются из ряда вон выходящие обстоятельства, то есть, пересылка сведений в другое государство производится в обычном режиме, чтобы организовать достойный (адекватный ситуации) уровень защиты сведений, необходимо проводить комплексные мероприятия различного типа, которые входят в основную часть работ, направленных на создание безопасной передачи персональных данных. Для этого разрабатываются следующие документы.

1.

 В первую очередь происходит разработка общих положений компании, а именно:

  • определяется ее организационная структуры;
  • разрабатывается список стран, в которые будет осуществляться передача персональных данных;
  • определяются цели передачи и приема с последующей обработкой передаваемых сведений за границей.

2.

 Далее осуществляется разработка и определение так называемых правовых обоснований передачи сведений персональной категории через границу, которые воплощаются в виде нормативно-правовой документации, которую в дальнейшем используют в качестве руководства.

3. Производится подробное описание объекта, подлежащего защите.

4. Устанавливаются конкретные характеристики пересылаемых персональных сведений, то есть определяются:

  • категории пересылаемых в иностранное государство персональных данных;
  • категории субъектов данных сведений;
  • методики обработки данной информации, которые могут быть полностью автоматизированным, не автоматизированными, или комбинированными.

5. Также осуществляется разработка регламента обеспечения безопасного взаимного обмена данными интересующей нас категории с иностранными представительствами компании:

  • описывается информационная система персональных данных, из которой осуществляется передача сведения;
  • описывается информационная система персональных данных, в которую осуществляется передача данных;
  • устанавливаются каналы передачи сведений;
  • определяются стандарты пересылки сведений;
  • прописываются протоколы передачи данных и тому подобное.

6. Производится подробное описание:

  • мероприятий, направленных на обеспечение должного уровня защиты данных;
  • средств, которые используются с той же целью (технические, в том числе из категории криптографических).

7. Также определяется состав законодательных актов иностранного государства, в которое осуществляется пересылка сведений, относительно вопросов, которые отражают защиту персональных данных.

8. Также разрабатываются заключительные положения. Какие шаги это в себя включает, рассмотрим в нижеследующей таблице.

Таблица 1. Этапы разработки заключительных положений

Первый этапВторой этапТретий этап
В первую очередь происходит разработка обязательств зарубежного филиала организации соблюдать законодательные установки, связанные с обработкой персональных данных государства, на территории которого он расположен. Во вторую очередь устанавливаются обязательства, касающиеся обеспечения требуемого уровня защиты сведений персональной категории, которые зарубежными филиалами принимаются и обрабатываются. Проставляются подписи лиц, состоящих:
  • в головном отделе организации;
  • в зарубежном филиале.Данные лица отвечают за выполнение заключительных положений, и именно поэтому обязаны завизировать их в письменном виде личной подписью.
  • Подведем итоги

    Преимущества такой тщательной подготовки состоят в том, что при передаче персональных данных уменьшается риск проявления каких-либо угроз в их сторону за счет существующего руководства, положения которого определены довольно четко.

    Кроме того, происходит повышение ответственности лиц, занимающих какую-либо должность, и отвечающих за соблюдение определенных на законодательном уровне норм информационной безопасности.

    Надеемся, понятие трансграничной передачи данных стало вам немного более понятным. При условии, что остались какие-либо «белые пятна», мы рекомендуем вам еще раз прочесть данный материал, или обратиться к более подробным руководствам, описывающим данное явление.

    Передача сведений через государственные границы проводится согласно законодательным нормам

    Источник: https://nalog-expert.com/grazhdanskoe-pravo/transgranichnaya-peredacha-personalnyh-dannyh-eto.html

    Трансграничная передача персональных данных – в 2019 году

    Как оформить передачу персональных данных за границу?

    Стремительное развитие сети Интернет и эффект глобализации подразумевает нивелирование территориальных ограничений между государствами, что способствует формированию оптимальных условий для осуществления международной коммерческой деятельности.

    Несмотря на довольно сложную внешнеполитическую обстановку в отношении России, число российских организаций, заключивших различные соглашения с иностранными резидентами, с каждым годом лишь возрастает.

    Постепенное стирание границ между государствами делает очевидной необходимость в создании единого законодательства для всего мира. Однако значительно затрудняет процесс объединения нормативно-правовые системы государств – каждое Правительство по-своему формирует регламент для той или иной процедуры.

    В некоторых случаях правила проведения какого-либо процесса в соответствии с критериями одного субъекта, приобретают совершенно противоположный оттенок для этой же операции за границей.

    Однако все же деятельность по выделению общих положений ведется – в отдельных ситуациях очень медленно, но все же она есть. Стоит рассмотреть так называемую трансграничную передачу персональных данных, в которую активно вмешивается государство, подкрепляя это тем, что нерегулируемая процедура может стать причиной снижения уровня безопасности для всей России.

    Трансграничная передача персональных данных – это процесс передачи сведений личного характера, в ходе которого оператор переправляет их через государственную границу Российской Федерации.

    Адресатом в данном случае может вступать:

    • какая-либо властная структура иной страны;
    • физическое лицо, имеющее другое гражданство;
    • юридическое лицо, ведущее свою деятельность на территории чужого государства.

    Необходимость в обеспечении передачи информации через границу стало актуальным после того, как началось объединение Европы. Для проведения таких операций нужно было создать законодательство, регламентирующее порядок реализации и возможные проблемы.

    На данный момент в российском законодательстве отсутствуют строгие условия обмена информацией с иностранными резидентами.

    Ранее использовался лишь закон о коммуникациях № 152-ФЗ. Однако в 2014 году был разработан и утвержден еще один закон № 242-ФЗ. В дальнейшем, с некоторыми корректировками, он вступил в юридическую силу в начале 2015 года и остается актуальным по сей день.

    В законе № 152-ФЗ определены запреты, которые распространяются на трансграничную передачу данных. Ограничения действуют в целях обеспечения конституционных положений, нравственности, прав граждан и для поддержания обороноспособности страны.

    В то же время в данном законе отсутствуют какие-либо иные правила. В частности, в нем не отражены условия, при которых государствам, реализующим механизмы защиты личной информации, могла бы ограничиваться передача. В качестве таких стран выступают члены конвенции ETS № 108, а также иные, утвержденные Роскомнадзором в приказе № 274.

    При этом в ФЗ № 152 установлены ситуации, когда заинтересованным лицом может производиться направление персональных данных даже при отсутствии достаточной защиты:

    • если предоставление информации является необходимым для обеспечения защиты конституции, прав и интересов общества и личности, поддержания обороноспособности страны и исключения незаконного вмешательства в данные направления;
    • когда выполняются положения договора, одна из сторон которого является носителем сведений;
    • когда возникла необходимость в обеспечении защиты здоровья, жизни и интересов гражданина, а также иных участников процесса при невозможности приобрести разрешение первого;
    • в случаях, указанные в международных соглашениях;
    • при получении согласия на обработку данных от субъекта.

    Учитывая достаточную «молодость» законодательства в сфере коммуникаций, возможно возникновение неадекватных указаний.

    Правила трансграничной передачи

    Трансграничная передача может быть осуществлена лишь при выполнении установленных правил. В частности, перед тем, как начать процесс обработки персональной информации, оператор должен подтвердить, что принимающая сторона проводит политику защиту личных данных при реализации процедуры.

    https://www.youtube.com/watch?v=pr3I5D2Achs

    Также важно, что действия отправителя не должны противоречить положениям, установленным законом № 152-ФЗ. В противном случае передача может быть либо ограничена, либо полностью запрещена (не распространяется на рассмотренные выше случаи).

    Если рассматривать правила передачи в обычном режиме, то считается достаточным выстроить достойный уровень защиты сведений.

    Чтобы сделать это, считается необходимым разработать следующую документацию:

    • общие положения фирмы, куда входит ее организационная структура, перечень государств, с которыми будет производиться передача сведений, цели процесса с моментами об обработке информации за границей;
    • правовые обоснования;
    • подробное описание объекта;
    • конкретизация характеристик данных через уточнение категории пересылаемых данных, категории субъектов ПДн, методики обработки информации;
    • регламент обеспечения и поддержания безопасности в процессе взаимного обмена вместе с описанием стандартов пересылки, протоколов и каналов передачи;
    • описание мероприятий и средств, суть которых заключается в установлении достойного уровня защиты;
    • правовая регламентация трансграничной передачи в стране, принимающей сведения.

    Также допускается разработка и внедрение иных положений, если была установлена необходимость в выделении дополнительного регламента.

    Какие нужно предпринять действия

    Просто так совершить трансграничную передачу не допускается законодательством страны.

    Так, отправитель должен предпринять следующие действия:

    1. Сообщить в Роскомнадзор о необходимости реализации данной процедуры, заполнив при этом уведомление о согласии на обработку персональных сведений и отразив государства, куда будет направлена информация.
    2. Донести до субъекта ПДн до того, как будет активирована обработка его данных, о проведении трансграничной передачи. Данный момент должен быть указан в одном из документов, с которым субъект может ознакомиться перед передачей сведений (в качестве носителя могут выступать Политика в отношении обработки ПДн или договор между участниками процессе).
    3. В нормативных бумагах оператора прописать:
      • обоснование необходимости трансграничной передачи в соответствии с действующим законодательством;
      • порядок поддержания механизма безопасности обмена ПДн;
      • регламент мероприятий, направленных на обеспечение защиты ПДн. Это же относится к технически средствам и инструментам криптографии.
    4. Оформить соглашение с фирмой, информация о которой передается, где указать:
      • список действий, которые будут проведены с данными;
      • конечная цель деятельности;
      • обязанность обработчика соответствовать требованием по обеспечению конфиденциальности и безопасности при совершении действий с ПДн;
      • критерии по защите ПДн. Важно: фирма, в которую направляется информация для проведения обработки будет выстраивать свою деятельность в соответствии с законодательством государства пребывания.
    5. Обеспечить защиту канала передачи сведений. Для этого является необходимым использовать эффективные средства шифрования. Допускается применение несертифицированных механизмов криптографии, в связи с:
      • положениями Конвенции ETS № 108 (статья 12.2), которые исключают возникновение ограничений и создание контрольных мер над информационными потоками ПДн, если они передаются между государствами – обусловлено это в первую очередь потребностью в защите неприкосновенности личных сведений;
      • наличием запретов на вывоз с территории Российской Федерации средств, имеющих в своей структуре средства шифрования;
      • нюансами законодательства того государства, куда происходит ввоз криптографических инструментов и где выдается разрешения соответствующих органов на ввоз подобного оборудования.

    Не каждый гражданин без подготовки может совершить весь порядок действий и не допустить ошибку.

    Как обеспечить безопасность

    В целях обеспечения надежной передачи данных из одного государства в другое, важно реализовать ряд мероприятий, направленных на защиту каналов отправки персональных сведений.

    https://www.youtube.com/watch?v=Lq1PpX5-dLg

    Если данная операция осуществляется через Интернет, телефонные сети и иные незащищенные каналы, то является обязательным использовать специальные средства шифрования.

    На данный момент существует множество методик, способных поддерживать защиту информации на виртуальных ресурсах. Однако в каждом случае все равно существует вероятность взлома механизмов и получения доступа к файлам. Поэтому не рекомендуется экономить на программном обеспечении, поддерживающим безопасность пересылки.

    Центр права
    Добавить комментарий