IT NewsНовости рынкаБезопасность
| 12.04.2021
Уже долгое время европейский «Регламент защиты персональных данных» (GeneralDataProtectionRegulation, GDPR) не сходит с первых позицийсредисамых обсуждаемых вопросов, волнующих компании всего мира. Такое внимание документ получил благодаря экстерриториальности действия и крайне высоким штрафам за несоответствие его требованиям.
Некоторые российские компании ввиду особенностей своего бизнеса также попали под регулирование GDPR, и, соответственно, соблюдение его требований становится для них одной из приоритетных задач.
Яркий тому пример – Сбербанк, где особое внимание уделили вопросам трансграничной передачи данных ввиду наличия дочерних обществ на территории ЕС.
В частности, были детально проанализированы способы организации трансграничной передачи персональных данных, установленные GDPR.
Приведенный в настоящей статье анализ поможет многим российским компаниям найти правильный подход к выбору условий передачи персональных данных между компаниями, входящими в международную группу.
На сегодняшний день РФ не входит в список стран, гарантирующих, по мнению Европейской комиссии, надлежащий уровень защиты физических лиц при обработке их персональных данных [ЕК включила в него такие страны, как Андорра, Аргентина, Канада (только коммерческие организации), Фарерские острова, Гернси, Израиль, остров Мэн, остров Джерси, Новая Зеландия, Швейцария, Уругвай и США (если обработчик принадлежит Privacy Shield). Официальный сайт Еврокомиссии – https://ec.europa.eu/] В этой связи международные российские компании, которые имеют дочерние общества или аффилированные лица на территории ЕС, вынуждены на постоянной основе использовать такие механизмы трансграничной передачи данных, которые соответствуют установленным GDPR принципам их обработки и гарантируют их надлежащую защиту.
До выхода GDPR, когда европейское законодательство не носило экстерриториального характера, крупные российские компании выстраивали процесс передачи персональных данных путем заключения договора на передачу и договора на обработку данных.
Сегодня же им следует пересмотреть свой подход с учетом механизмов соблюдения соответствующих гарантий, предусмотренных нормами GDPR: среди них «Кодекс поведения», «Обязательные корпоративные правила» (Binding Corporate Rules), «Стандартные положения о защите данных» (Standard Contractual Clauses), «Сертификация».
1
Механизмы обеспечения соответствующих гарантий при трансграничной передачи персональных данных поGDPR
- «Кодекс поведения»
- «Стандартные положения о защите данных» (StandardContractualClauses,SCC)
- «Обязательные корпоративные правила» (BindingCorporateRules,BCR)
- Административные штрафы за нарушение правил трансграничной передачи данных
- Какой подход выбрать?
- Трансграничная передача персональных данных это: правила передачи данных и возможные ограничения
- Что такое трансграничная передача данных
- Ограничения
- Передача данных небезопасным странам
- Порядок трансграничной передачи данных
- Уведомление Роскомнадзора
- Информирование субъекта ТППД
- Составление нормативных документов
- Заключение договора с посредником
- Защита канала
- Нововведения
- : Что такое персональные данные
- Трансграничная передача персональных данных: что это
- Что такое трансграничная передача персональных данных
- Правила трансграничной передачи данных
- Подведем итоги
- Для чего нужна трансграничная передача данных. Особенности трансграничной передачи персональных данных: регламент отправки, документы и безопасность
- Трансграничная передача
- Что означает «адекватная защита»?
- Ответственность за нарушение правил трансграничной передачи
- Совет операторам, осуществляющим трансграничную передачу ПДн
- 🎦 Видео
«Кодекс поведения»
«Кодекс поведения» представляет собой совершенно новый механизм, устанавливающий конкретные правила защиты данных в определенном секторе.
Такой документ разрабатывается торговыми ассоциациями или объединениями, например, представляющими банковский сектор, по согласованию с заинтересованными сторонами – участниками рынка, после чего утверждается европейским регулятором (Data Protection Authority) и главным надзорным органом ЕС по защите данных (European Data Protection Board).
На сегодняшний день такой кодекс отсутствует в каком-либо секторе деятельности, поэтому рассматривать его как возможный механизм, позволяющий гарантировать надлежащий уровень защиты персональных данных, нецелесообразно в ближайшие 3–5 лет. Инициативы разработки аналогичного документа известны лишь в сфере облачных вычислений и в фармацевтической промышленности.
«Стандартные положения о защите данных» (StandardContractualClauses,SCC)
Этот документ разработан задолго до вступления в силу GDPR. Планируется, что обновленные формы уже в соответствии с требованиями GDPR будут опубликованы на сайте ЕС в ближайшее время.
https://www.youtube.com/watch?v=ojg2muYQtwU
Особенность таких положений заключается в том, что форма является дополнением к главному договору и в нее нельзя вносить изменения. Многие российские компании в рамках трансграничной передачи данных уже используют SCC в качестве приложения к основному договору, предусматривающему передачу данных.
Стандартные положения SCC бывают двух видов:
· «Контролер – Обработчик»,
· «Контролер – Контролер».
Форма «Контролер– Обработчик» подразумевает, что контролер поручает обработку персональных данных обработчику согласно целям, определенным контролером.
Форма «Контролер – Контролер», в свою очередь, предусматривает, что каждая сторона самостоятельно определяет цель и средства обработки персональных данных.
SCC детально описывает потоки данных, а также технические и организационные меры безопасности.
Стандартные положения SCC отлично подходят в случае с малым и средним бизнесом.
Для компаний-гигантов такой подход представляется не совсем удобным и весьма трудозатратным, поскольку порядок передачи данных в условиях стремительного развития цифровых технологий и постоянного изменения бизнес-процессов подразумевает необходимость заключения бесчисленного количества приложений к SCC с детальным и точным описанием потоков данных.
«Обязательные корпоративные правила» (BindingCorporateRules,BCR)
Самым же удобным механизмом трансграничной передачи данных для крупного бизнеса являются «Обязательные корпоративные правила» (Binding Corporate Rules-BCR). Данный документ представляет собой межгрупповой договор (свод правил), закрепляющий правила передачи персональных данных в рамках одной группы компаний.
BCR предоставляет возможность международной группе компаний обмениваться данными в условиях стремительного развития бизнеса без детального описания в заключаемых SCC постоянно увеличивающихся потоков данных.
Помимо повышения качественности трансграничного обмена, общие положения о защите персональных данных, закрепленные в BCR, являются фундаментом единого подхода к обработке и защите персональных данных в группе компаний.
BCR бывает двух типов:
• BCR-C используется в рамках передачи персональных данных от контролера, находящегося на территории ЕС, другим контролерам и обработчикам за пределами ЕС. |
• BCR-P используется в рамках обработки персональных данных, полученных группой (обработчиком) от контролера, учрежденного в ЕС и не входящего в группу. |
Самый распространенный вариант – BCR-C, который позволяет свободно обмениваться персональными данными в рамках одной группы компаний.
Особенность данного документа заключается в том, что для использования в работе группа должна согласовать текст BCR с европейским регулятором и получить подтверждение главного надзорного органа ЕС (European Data Protection Board) (последнее – при необходимости). Организации, имеющие утвержденный европейским регулятором BCR, считаются в ЕС передовыми и надежными по вопросам защиты данных как клиентами и контрагентами, так и европейским регулятором.
На сегодняшний день европейский регулятор утвердил 132 BCR, из которых 20% – финансово-кредитные организации, такие как Citigroup, JPMorgan. Однако в списке организаций, имеющих BCR, отсутствуют российские международные компании, имеющие дочерние общества на территории ЕС.
Это обусловлено тем, что разработка и внедрение единых требований к обработке и защите персональных данных в группе и их дальнейшее практическое применение объективно являются трудоемкой задачей ввиду необходимости анализа и учета требований законодательств, применимых к участникам группы. Для разработки и внедрения BCR российской компании необходимо провести масштабную работу по выработке единых правил, требований и подходов, как организационных, так и технических, к обработке и защите ПДн, обязательных для применения всеми присоединившимися к BCR компаниями.
https://www.youtube.com/watch?v=1C6rcr_GVaM
Тем не менее экстерриториальный характер GDPR заставил задуматься крупные российские компании, чьи дочерние общества и аффилированные лица находятся на территории ЕС, использовать именно такой подход к трансграничной передаче персональных данных в группе.
Преимущество BCR для российской группы компаний заключается не только в том, что такой документ позволит не только обеспечить единый подход к защите ПДн в группе и уменьшить трудозатраты на реализацию договорного сопровождения потоков данных по бизнес-процессам, но и существенным образом повысить уровень доверия европейских контрагентов, клиентов, а также европейского регулятора как к группе компаний, так и к России в целом.
«Сертификация»
Ст. 42 GDPR предусматривает сертификацию на соответствие требованиям GDPR. Эксперты в области защиты персональных данных уже три года ждут новостей о том, что же это за сертификация, какие требования будут предъявляться и как будет проходить процедура сертификации, кто будет аккредитованными компаниями, и т. д.
Согласно положению GDPR, для проведения такой сертификации главный надзорный орган ЕС по защите данных должен аккредитовать консалтинговые и аудиторские компании на проведение таких мероприятий. Однако на сегодняшний день European Data Protection Board не аккредитовал ни одну компанию, не говоря уже о том, что не были выдвинуты требования к таким организациям.
Как и кодексы поведения, вопрос внедрения сертификации и выработки алгоритма действий для организаций, желающих получить подтверждение на соответствие требованиям GDPR, может затянуться на годы.
Административные штрафы за нарушение правил трансграничной передачи данных
Нарушение требований к трансграничной передаче данных с территории ЕС может привести к самым высоким санкциям, достигающих €20 млн или 4% глобального годового оборота компании.
Какой подход выбрать?
На сегодняшний день российские компании имеют два возможных пути правового сопровождения трансграничной передачи данных с территории ЕС в Россию: использование стандартных положений о защите данных SCC или разработка BCR.
Первый подход удобен в следующих случаях:
· когда четко определены процессы, в рамках которых передаются персональные данные.
· когда передача данных имеет постоянный характер и не подвержена многочисленным изменениям в результате внедрения новых бизнес-процессов, что больше свойственно малому и среднему бизнесу.
Разработка BCR, в свою очередь, является более зрелым решением и требует от группы копаний четкого понимания ответственности после принятия и согласования такого документа. При направлении BCR на утверждение европейскому регулятору группа дает гарантию, что организации, входящие в ее состав, следуют единым правилам защиты персональных данных, соответствующим принципам GDPR.
Сбербанк, будучи лидером на российском финансовом рынке, не боится решать новые сложные задачи в части соответствия требованиям европейского законодательства. Очевидная польза разработки и внедрения BCR в группе «Сбербанк» состоит в стандартизации и повышении уровня зрелости процессов обработки и защиты персональных данных во всех организациях, входящих в группу.
При выборе ВCR в качестве правового механизма трансграничной передачи данных компании группы должны быть готовы к тому, что согласование обязательных корпоративных правил может занимать от полугода до полутора лет ввиду очереди из международных компаний со всего мира, нацеленных в полной мере соответствовать требованиям GDPR.
Эльвира ЧАЧЕ,
менеджер Центра организации обработки и защиты персональных данных Сбербанка
безопасность российских корпоративных данных, кибербезопасность, информационная безопасность
Журнал: Журнал IT-News, Подписка на журналы
Sberbank | Сбербанк
Видео:Обработка персональных данных от А до ЯСкачать
Трансграничная передача персональных данных это: правила передачи данных и возможные ограничения
Трансграничная передача персональных данных – это весьма непростая процедура, в которой участвуют два государства в целях пересылки определенной информации гражданина одной из стран.
Несмотря на то, что в России на федеральном уровне существует несколько законов, оговаривающих принципы проведения трансграничной передачи данных, на практике этот процесс сталкивается с неизбежными трудностями.
Основной проблемой является обеспечение полной защиты передаваемых сведений, от которой может зависеть не только благополучие субъекта ТППД, но и всего государства, от которого исходит сообщение. О том, как происходит трансграничная передача персональных данных и какие ограничения она предполагает рассказываем далее.
Трансграничная передача персональных данных
Что такое трансграничная передача данных
Под трансграничной передачей персональных данных (далее по тексту ТППД) подразумевается процесс пересылки определенной информации за пределы Российской Федерации в одно из иностранных государств. Пересылка осуществляется операторами и предназначается органам власти, физлицу или юрлицу соответствующей страны.
https://www.youtube.com/watch?v=_RdDKCV7VAI
Наиболее полную информацию о ТППД можно подчерпнуть из третьей статьи ФЗ, посвященной персональным данным и способам их существования в информационном пространстве. Также ТППД затрагивается и сто пятьдесят вторым ФЗ, в котором содержится еще одно определение данного явления.
3 статья ФЗ О персональных данных
Ограничения
Государство имеет право наложить запрет на передачу ПД через границу страны в тех случаях, когда утечка данных будет грозить следующими опасными последствиями:
- нарушения опорных пунктов Конституции;
- посягательства на нравственность;
- возможный ущерб здоровью граждан;
- ущемление прав, а также законных интересов жителей России;
- угроза безопасности страны;
- невозможность осуществить полноценную оборону.
Передача персональных данных через государственные границы сопряжена с рядом опасностей
Во всех прочих ситуациях законодательством не предусматриваются никакие запреты на пересылки ПД.
При этом пересылка эта может адресоваться только тем странам, которые способны обеспечить защиту прав граждан РФ.
К безопасным в отношении передачи данных странам являются те государства, которые считаются сторонами Конвенции или же государства, указанные в специальном перечне, составленном с помощью Роскомнадзора.
Передача данных небезопасным странам
Если же говорить о странах, на которые требования Конвенции не распространяются, то они также могут участвовать в ТППД. Однако для того, чтобы осуществить передачу сведений стране, которая не гарантирует безопасность участникам ТППД, потребуется учесть несколько обязательных пунктов:
- для осуществления передачи данных понадобится согласие от участника ТППД на то, чтобы информация о нем была передана соответствующей стране;
- передача данных должна быть предусмотрена международным договором Российской Федерации;
- передача данных предусматривается ФЗ России в ряде случаев, при которых от пересылки информации зависит сохранение конституционного строя, обеспечение личных интересов граждан, сохранение безопасности в стране и так далее;
- передача данных оговаривается договором, который был заключен с участником ТППД;
- от передачи данных зависит благополучие того, кому эта информация принадлежит (в таких ситуациях от субъекта ТППД даже не требуется получение письменного согласие на пересылку сведений).
При передаче данных в небезопасную страну потребуется предварительное заключение договора
Из всех вышеуказанных пунктов можно сделать вывод о том, что ТППД возможна и при участии стран, не гарантирующих безопасность субъекту передачи данных. Для этого потребуется наличие предварительной договоренности или задокументированного согласия лица, чья сведения будут переданы.
Для стран, гарантирующих субъекту ТППД защиту его прав, подобные соглашения не требуются. Однако в целях безопасности оператор, отвечающих за пересылку сведений должен заблаговременно сообщить субъекту ПД о том, что его данные будут переданы за пределы РФ. При оповещении субъекта учитываются три опорных пункта:
- цели, которые планируется достигнуть путем передачи персональных данных субъекта;
- объем и характер информации, которую собирается отправить оператор;
- получатели персональных данных.
При передаче персональных данных лица, само это лицо должно быть в обязательном порядке оповещено о процедуре
Порядок трансграничной передачи данных
Трансграничная отправка данных является непростой процедурой, предполагающей целый ряд формальных действий, обязательных к исполнению. Для того, чтобы она была осуществлена на законных основаниях, требуются определенные условия.
Таблица 1. Трансграничная передача данных поэтапно
Уведомление Роскомнадзора | Перед отправкой информации в Роскомнадзор отправляется уведомление |
Информирование субъекта ТППД | Субъект должен быть осведомлен в том зачем пересылаются его данное и каков их объем |
Составление оператором нормативных документов | В нормативных документах должна подтверждаться законность проводимой процедуры со ссылкой на соответствующие законы |
Заключение договора с организацией-получателем исходных данных | С посредником оговариваются способы передачи данных и степень их защищенности |
Обеспечение должной защиты канала | Канал, по которому произойдет отправка информации, обязан быть зашифрованным |
О каждом из упомянутых условий мы и поговорим в данном разделе.
Уведомление Роскомнадзора
Роскомнадзор должен быть первой инстанцией, которая будет поставлена в известность о планирующейся трансграничной передаче данных. Для того, чтобы проинформировать Роскомнадзор потребуется:
- направить уведомление, касающееся обработки ПД гражданина РФ;
- перечислить страны, которые примут данное сообщение.
Роскомнадзор должен быть оповещен о предстоящей передаче персональных данных за пределы РФ
Информирование субъекта ТППД
Как уже говорилось, субъект ТППД должен быть оповещен о планирующейся операции еще до того, как она произойдет. Эта информация должна быть зафиксирована в следующих документах:
- политика в отношении обработки персональных данных;
- договор, заключенный с субъектом ТППД;
- любой иной документ, который ставит своей целью донесение до субъекта ТППД планирующейся операции.
В договоре, который адресуется обладателю персональных данных указываются цели трансграничной передачи
Составление нормативных документов
Внутренние нормативные документы, составляемые оператором, осуществляющим передачу данных, должны включать в себя следующие детали:
- правовую основу, позволяющую проводить ТППД. Под правовой основной подразумевается список конкретных правовых документов, придающих пересылке сведений законный статус;
- регламент, который обеспечивает безопасный обмен персональными данными;
- оглашение списка планируемых мер и способов сохранения персональных данных под защитой (к таким средствам защиты относятся всевозможные средства, обеспечивающие криптографическую защиту данных).
О том, что такое криптографическая защита информации и какие методы она применяет можно прочесть ниже.
https://www.youtube.com/watch?v=b68ruosWiOo
Криптографические методы защиты данных
Заключение договора с посредником
Договор с посредником, отвечающим за передачу персональных данных, в обязательном порядке состоит из таких пунктов, как:
- список манипуляций, которые будут осуществляться компанией-посредником с персональными данными;
- цели, в которых будет осуществляться обработка данных;
- обязательства компании-посредника перед Россией и самим субъектом ТППД, заключающиеся в соблюдении принципов конфиденциальности и предоставления полной безопасности субъекту;
- требования защищенности персональных данных, подлежащих обработке. Сама компания-посредник при осуществлении данной процедуры основывается на законодательных нормах, принятых в стране ее расположения.
Компания-посредник должна обеспечить полную безопасность передаваемых данных в силу своих возможностей
Защита канала
Под защитой канала понимается предотвращение всех случайных или злонамеренных попыток получить доступ к охраняемой информации. Особого внимания требует передача данных, осуществляющаяся посредством интернета – в таких ситуациях операторы обязаны использовать специальные способы шифровки сведений.
Иногда допускается практикование средств криптографической защиты, не прошедших необходимую по закону сертификацию ввиду:
- требований, изложенные в Конвенции ETS номер 108, которая налагает запрет на создание ограничений и контролирование циркуляции персональных данных, направляющихся в другие страны, руководствуясь соображениями защиты личной сферы субъекта ТППД;
- присутствия лимитов на вывоз оборудования, в составе которых наличествуют способы шифрования с российских территорий;
- нюансов законодательных норм иностранных государств, которые выступают получателями криптографического оборудования, а также согласование данного вопроса со службами страны, в которую перевозится соответствующее оборудование.
Конвенция 108 EST оговаривает особенности охраны персональных данных
Нововведения
Отдельного внимания заслуживают изменения, которые были внесены Федеральным законом 242 пятилетней давности, дополняющий 152 закон. 242 ФЗ, прежде всего, специализируется на области информационно-коммуникационных сетей, в связи с чем добавляет к уже существующему закону важный пункт. Дополнение это заключается в том, что отныне на операторов возлагаются следующие задачи:
- запись персональных данных;
- систематизация;
- накопление;
- сохранение;
- обновление или внесение изменений по мере необходимости.
Также данный закон предусматривает получение ПД россиян при помощи баз данных, располагающихся на территории данной страны.
242 ФЗ Статья 1
Несмотря на то, что 152 закону удается прояснить некоторые детали, в свое время он породил бурные обсуждения, после которых многие вопросы остаются без ответа и по сей день. Среди таких дискуссионных моментов значатся следующие:
- каково будущее трансграничной передачи персональных данных в контексте новых законов? Запрет, налагаемый на хранение персональных данных всех жителей Российской Федерации, предполагает запрет на саму ТППД, что приводит к сложному выбору;
- как оператор сможет понять, что те или иные персональные данные закреплены за россиянином;
- смогут ли найти «общий язык» 152 закон и Конвенция ETS номер 108? Учитывая взаимоисключающие положения, поиск общих оснований будет даваться нелегко;
- каким образом регуляторы собираются определять физическое местонахождение персональных данных граждан России;
- какое влияние принятый закон будет оказывать на иностранные фирмы, специализирующиеся на обработке персональных данных при опоре на законодательство своей страны и на вышеупомянутую Конвенцию.
На данный момент продолжаются активные обсуждения вопроса о том, как обеспечить безопасную трансграничную передачу данных
В связи с всеобщим недовольством 242 статьей, члены Государственной Думы уже рассматривали возможные поправки и законопроекты, которые смогли бы внести ясность в сложившуюся противоречивую ситуацию. Однако на данный момент у властей нет исчерпывающих ответов на вопрос о том, каким образом будут хранится и подвергаться обработке персональные данные россиян.
https://www.youtube.com/watch?v=kpCSOTIhk3g
Весьма закономерно, что упомянутые сложности поведут за собой неизбежное увеличение издержек для операторов, чьи базы данных находятся за пределами России. Стараясь усилить охрану персональных данных россиян, законодатели тем самым неизбежно сужают возможности ее использования и передачи. В связи с этим многие специалисты советуют операторам переносить свои базы данных на территорию России.
: Что такое персональные данные
Видео:Трансграничная передача и локализация персональных данных 2023Скачать
Трансграничная передача персональных данных: что это
Многие из нас порой сталкиваются с явлениями, которых ранее никогда не встречали. Одним из таких явлений можно назвать трансграничную передачу данных – это пересылка сведений, проходящая в особенном формате.
Каком именно, при каких условиях и многое другое – вопросы, которые часто интересуют специалистов, работающих в сфере обеспечения информационной безопасности.
Давайте разберем данную информацию в представленном материале, и ответим на давно интересующие вас вопросы.
Трансграничная передача персональных данных: что это
Что такое трансграничная передача персональных данных
В первую очередь необходимо разобрать, что же таит в себе это непонятное для многих явление – трансграничная передача персональных данных.
Так, под данным термином кроется такая передача персональных данных, при которых оператор направляет их непосредственно через государственную границу нашей страны, при этом, адресатом данной передачи является:
- какой-либо орган властной структуры иного государства;
- физическое лицо иностранного государства;
- юридическое лицо.
Вопрос, касающийся передачи данных через границу, поднялся тогда, когда началось объединение государств Европы. В то время необходимо было сделать следующее:
- создать унифицированное законодательство в данной области;
- узаконить передачу данных через границы различных государств.
Персональные данные могут в некоторых случаях передаваться без разрешения на то их субъекта
Благодаря возникновению перечисленных необходимостей, произошло создание так называемой Конвенции, которая урегулировала общие вопросы относительно данного явления.
Однако, требовалось также решить вопрос с защитой персональных данных, точнее, с сохранением ее на должном уровне после того, как они окажутся на территории иностранного государства. Дело в том, что:
- гражданин конкретной страны имеет реальную возможность отстоять свои права и интересы, находясь на территории государства, к которому он принадлежит;
- при этом, шансы на осуществление защиты интересов на территории иной страны в реальности крайне малы, сделать это представляется практически невозможно.
Правила трансграничной передачи данных
Каким же образом происходит осуществление так называемой трансграничной передачи информационных сведений?
Какие правила регулируют проведение данной процедуры?
На этот вопрос отвечает одна из статей Федерального закона №152, посредством которого осуществляется регулирование связанных с персональными данными нюансов. Давайте рассмотрим обозначенные в ней установки.
1.
Прежде чем начать проводить передачу данных, входящих в категорию персональных, через государственную границу, оператор, на которого возлагается данная задача, обязан убедиться в том, что принимающее сведения иностранное государство, через границу которого также будут переданы интересующие нас сведения, находится в процессе обеспечения адекватной защиты прав, имеющихся у субъекта искомых персональных данных.
2.
Передача персональных сведений, осуществляемая через государственные границы на территорию иностранного государства, которое находится в процессе обеспечения так называемой адекватной (соответствующей требованиям ситуации) защиты прав субъекта рассматриваемых персональных данных, должна в обязательном порядке проводиться согласно Федеральному закону № 152. При этом, такая передача может:
- запрещаться;
- ограничиваться.
Целью создания таких ограничений и запретов является защита:
- основ, на которых был создан конституционный строй нашей страны;
- нравственности;
- прав населения нашего государства;
- здоровья населения Российской Федерации;
- законных интересов граждан нашей страны
- обеспечения на должном уровне оборонительной способности и безопасности государства.
3. Осуществление передачи персональной информации трансграничного типа на территорию иностранного государства может производиться без создания и обеспечения адекватного уровня защиты только в тех случаях, когда:
- так называемый субъект персональных данных (физическое лицо, которое имеет к искомым данным прямое или косвенное отношение) дал письменное согласие на осуществление такой их передачи;
- такой тип передачи предусматривается согласно заключенным Российской Федерацией международным договорам касательно вопросов о выдаче так называемых виз;
- когда данные обстоятельства передачи персональных данных предусматриваются заключенными нашей страной международными договорами об оказании помощи гражданам по делам правовой, семейной, уголовной и гражданской категорий;
- при условии, когда данные обстоятельства передачи предусматриваются на федеральном уровне, при наличии необходимости осуществить передачу ради защиты государства, обеспечения его оборонительной функции, и протекции конституционного строя Российской Федерации;
- для исполнения заключенного на официальном уровне договора, одной из сторон которого является субъект, имеющий к искомым персональным данным прямое или косвенное отношение;
- ради защиты здоровья, жизни или интересов субъекта персональных данных, представляющихся жизненно важными, а также ради защиты тех же наименований относительно иных лиц, при условии, что не имелось возможности получить от них письменное подтверждение и разрешение на передачу сведений.
Как видите, список исключений довольно широк, однако, необходимо отметить, что каких-либо противоречий он не вызывает, так как обоснованность каждого из пунктов вполне очевидно.
Федеральный закон «О персональных данных». Статья 12. Трансграничная передача персональных данных
Что же касается правил передачи, при которых не учитываются из ряда вон выходящие обстоятельства, то есть, пересылка сведений в другое государство производится в обычном режиме, чтобы организовать достойный (адекватный ситуации) уровень защиты сведений, необходимо проводить комплексные мероприятия различного типа, которые входят в основную часть работ, направленных на создание безопасной передачи персональных данных. Для этого разрабатываются следующие документы.
1.
В первую очередь происходит разработка общих положений компании, а именно:
- определяется ее организационная структуры;
- разрабатывается список стран, в которые будет осуществляться передача персональных данных;
- определяются цели передачи и приема с последующей обработкой передаваемых сведений за границей.
2.
Далее осуществляется разработка и определение так называемых правовых обоснований передачи сведений персональной категории через границу, которые воплощаются в виде нормативно-правовой документации, которую в дальнейшем используют в качестве руководства.
3. Производится подробное описание объекта, подлежащего защите.
4. Устанавливаются конкретные характеристики пересылаемых персональных сведений, то есть определяются:
- категории пересылаемых в иностранное государство персональных данных;
- категории субъектов данных сведений;
- методики обработки данной информации, которые могут быть полностью автоматизированным, не автоматизированными, или комбинированными.
5. Также осуществляется разработка регламента обеспечения безопасного взаимного обмена данными интересующей нас категории с иностранными представительствами компании:
- описывается информационная система персональных данных, из которой осуществляется передача сведения;
- описывается информационная система персональных данных, в которую осуществляется передача данных;
- устанавливаются каналы передачи сведений;
- определяются стандарты пересылки сведений;
- прописываются протоколы передачи данных и тому подобное.
6. Производится подробное описание:
- мероприятий, направленных на обеспечение должного уровня защиты данных;
- средств, которые используются с той же целью (технические, в том числе из категории криптографических).
7. Также определяется состав законодательных актов иностранного государства, в которое осуществляется пересылка сведений, относительно вопросов, которые отражают защиту персональных данных.
8. Также разрабатываются заключительные положения. Какие шаги это в себя включает, рассмотрим в нижеследующей таблице.
Таблица 1. Этапы разработки заключительных положений
В первую очередь происходит разработка обязательств зарубежного филиала организации соблюдать законодательные установки, связанные с обработкой персональных данных государства, на территории которого он расположен. | Во вторую очередь устанавливаются обязательства, касающиеся обеспечения требуемого уровня защиты сведений персональной категории, которые зарубежными филиалами принимаются и обрабатываются. | Проставляются подписи лиц, состоящих: |
Подведем итоги
Преимущества такой тщательной подготовки состоят в том, что при передаче персональных данных уменьшается риск проявления каких-либо угроз в их сторону за счет существующего руководства, положения которого определены довольно четко.
Кроме того, происходит повышение ответственности лиц, занимающих какую-либо должность, и отвечающих за соблюдение определенных на законодательном уровне норм информационной безопасности.
Надеемся, понятие трансграничной передачи данных стало вам немного более понятным. При условии, что остались какие-либо «белые пятна», мы рекомендуем вам еще раз прочесть данный материал, или обратиться к более подробным руководствам, описывающим данное явление.
Передача сведений через государственные границы проводится согласно законодательным нормам
Видео:Трансграничная передача персональных данныхСкачать
Для чего нужна трансграничная передача данных. Особенности трансграничной передачи персональных данных: регламент отправки, документы и безопасность
Трансграничная передача персональных данных осуществляется при соблюдении требований, установленных настоящим Федеральным закономк обработке и передаче персональных данных, с учетом особенностей, установленных настоящей статьей.
Трансграничная передача персональных данных может быть запрещена или ограничена нормативным правовым актом Российской Федерации: если такая трансграничная передача создает угрозу национальной безопасности Российской Федерации; при наличии явной угрозы нарушения прав субъектов персональных данных либо предоставления пониженных гарантий прав субъектов персональных данных по сравнению с гарантиями, установленными законодательством Российской Федерации, включая гарантии соблюдения конфиденциальности персональных данных. При трансграничной передаче персональных данных оператор должен убедиться в том, что в соответствии с международными договорами либо законодательством другого государства, органу власти или лицу которого передаются персональные данные, обеспечивается адекватный уровень защиты прав субъектов персональных данных. Оператор вправе передавать персональные данные органу власти или лицу другого государства, не обеспечивающего адекватный уровень защиты прав субъектов персональных данных, только при условии получения письменного согласия субъекта персональных данных на эту передачу либо в случае, если получение такого согласия физически невозможно, а передача персональных данных необходима для защиты жизни и здоровья субъекта персональных данных. Глава 3. Права субъекта персональных данных Статья 12. Право на доступ к персональным данным Субъект персональных данных имеет право знать о наличии у оператора относящихся к нему персональных данных, быть с ними ознакомлен, а также требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Оператор обязан бесплатно предоставить субъекту персональных данных возможность ознакомления с его персональными данными, а также внести в них необходимые уточнения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, включенные в информационную систему персональных данных, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О произведенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных и третьих лиц, которым персональные данные этого субъекта были переданы. Информация о наличии персональных данных должна быть предоставлена субъекту персональных данных оператором в доступной форме и не должна содержать персональных данных, относящихся к другим субъектам персональных данных. Предоставление персональных данных субъекту персональных данных производится оператором на основании письменного запроса и по предъявлении документа, удостоверяющего личность субъекта персональных данных. Информация о наличии персональных данных и сами персональные данные предоставляются субъекту персональных данных в срок, не превышающий 10 рабочих дней с даты получения оператором соответствующего запроса, если при этом не возникает необходимости запросить требуемую информацию у третьих лиц. При необходимости запросить требуемую информацию у третьих лиц срок предоставления ее субъекту персональных данных не может быть более одного месяца. Субъект персональных данных имеет право на получение по запросу следующей информации: подтверждение факта обработки персональных данных, а также цель данной обработки; способы обработки персональных данных; сведения о лицах, имеющих доступ к его персональным данным; перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных;
сведения о том, какие правовые последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных. Право доступа субъекта персональных данных к персональным данным о себе ограничивается: в отношении персональных данных, обрабатываемых в целях обороны страны, безопасности государства и охраны правопорядка, в том числе в отношении персональных данных, полученных в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности; в отношении персональных данных, обрабатываемых органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения.
Сегодня с распространением Интернета территориальных ограничений для ведения бизнеса с каждым днем становится все меньше и меньше.
Число компаний, обращающихся за различного рода услугами к иностранным контрагентам растет, а российский клиент на глобальном рынке становится все более интересным.
С распространением облачных технологий возросло число компаний, размещающих данные на зарубежных серверах.
Несмотря на все преимущества отсутствия территориальных рамок, неизбежно возникают вопросы выбора юрисдикции и права для разрешения вопросов, связанных с отношениями контрагентов из разных стран.
Особенно остро эта проблема возникает при рассмотрении вопроса передачи персональных данных между российскими и зарубежными партнерами.
Трансграничная передача
Напомним, что в соответствии с законодательством оператором признается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
При этом под обработкой понимается любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В соответствии со ст. 12 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления трансграничной передачи персональных данных.
Что означает «адекватная защита»?
Закон не содержит ни перечня мер, подпадающих под адекватную защиту, ни методов определения адекватности.
В п. 1 ст. 12 закона указывается, что иностранные государства, ратифицировавшие , точно обеспечивают так называемую адекватную защиту.
В настоящий момент в число стран, подписавших и ратифицировавших указанную конвенцию, входят: Австрия, Андорра, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Израиль, Ирландия, Исландия, Испания, Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Украина, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония.
Как же быть с остальными странами? Закон говорит, что государство, не являющееся стороной конвенции Совета Европы, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соответствия положениям указанной конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности ПДн.
Обязанность контроля адекватных мер, применяемых к защите персональных данных, лежит на операторе, который должен изучить законодательство с требованиями, предъявляемыми к защите ПДн, и при отсутствии четких критериев еще и принять самостоятельно решение о том, есть или нет адекватная защита.
Согласитесь, подход достаточно субъективный, а ведь оператор, помимо этого, является еще и лицом, заинтересованным в трансграничной передаче. Согласно той же ст.
12 уполномоченный орган (в настоящий момент таким органом является Роскомнадзор) по защите прав субъектов персональных данных утверждает перечень иностранных государств, не являющихся сторонами конвенции, но обеспечивающими адекватную защиту.
На сайте Роскомнадзора опубликован проект приказа, в соответствии с которым к таким странам будут отнесены: Австралия, Аргентина, Израиль, Канада, Марокко, Малайзия, Мексика, Монголия, Новая Зеландия, Ангола, Бенин, Кабо-Верде, Республика Корея, Перу, Сенегал, Тунис, Чили, Специальный административный район Гонконг Китайской Народной Республики, Швейцария. При этом, согласно проекту, актуализацию перечня предполагается осуществлять не реже одного раза в год.
Передача персональных данных в страны, не обеспечивающие адекватную защиту, возможна в следующих случаях (перечень исчерпывающий):
Ответственность за нарушение правил трансграничной передачи
На данный момент законодательно закреплена только «общая» ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных, которая влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей (ст. 13.11 Кодекса об административных правонарушениях Российской Федерации).
Трансграничная передача ПДн – это передача ПДн оператором через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.
По всей видимости, в ближайшем будущем дополнения в ФЗ «О персональных данных» еще будут – и это вызвано прежде всего неоднозначностью толкования российского законодательства и разнородностью нормативно-правовой базы тех стран, на территорию которых передаются персональные данные.
Совет операторам, осуществляющим трансграничную передачу ПДн
Несмотря на незначительность последствий, примите меры по комплексной защите ПДн – это поможет вам в спорной ситуации обосновать адекватность их защиты:
Очень и очень больной вопрос в области ПДн -трансграничная передача данных.
Хотелось бы высказать свои частные соображения по этому вопросу. Итак…
Что такое трансграничная передача данных? Трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства. До начала передачи оператор должен убедиться в том, что на территории иностранного государства обеспечена адекватная защита прав субъектов ПДн.
Камнем преткновения является формулировка «адекватная защита», критерии адекватности не определяются, при этом здравый смысл подсказывает, что адекватной становится защита, которая соответствует российскому законодательству.
Понятное дело, что нигде в мире не существует систем соответствующих российскому законодательству, стало быть, юридически адекватная защита не обеспечивается нигде.
Понятное дело, что такое прямое заключение противоречит «духу закона» (это понятие достаточно часто стало циркулировать в области защиты ПДн), и законодатель, сам того не зная, обрек нас всех на огромную дыру в законе.
Как эту проблему решать, большой вопрос, по моей информации, наши регуляторы уже дали свои рекомендации по внесению поправок в ФЗ №152, как раз по части этого пункта.
🎦 Видео
Новые изменения в ФЗ-152 "О персональных данных" | Защита персональных данных | Новые требованияСкачать
Изменения в обработке персональных данных с 01 марта 2023 годаСкачать
Ответы РКН на вопросы персональных данных 2023Скачать
Вебинар по трансграничной передаче персональных данныхСкачать
Что такое персональные данные (ПДн)? Защита по 152-ФЗ и требования Роскомнадзора в 2022Скачать
Отказ принять запрет на обработку персональных данных Еламед Рязань. Нарушен152-ФЗ "О персон. данн."Скачать
Вопросы и ответы Роскомнадзора по обработке персональных данных 2022Скачать
РЕФОРМА 152 ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» РАЗБОР ПРОБЛЕМНЫХ СИТУАЦИЙ И СПОСОБОВ ИХ РЕШЕНИЯСкачать
Что делать, если... трансграничная передача данных?Скачать
Грустная правда про отзыв персональных данныхСкачать
152-фз что делать для защиты персональных данных и что такое обработка персональных данных на сайтеСкачать
Защита персональных данных на предприятии Что нужно знать ответственному за ПДнСкачать
ПЕРСОНАЛЬНЫЕ ДАННЫЕ. Зачем собирают и что делатьСкачать
Почему нужно отозвать согласие на обработку персональных данныхСкачать
Обработка персональных данных 152-ФЗ: что важно знать в 2022 годуСкачать
Защита Персональных данных С чего начать 210623Скачать
Защита персональных данных по новым правиламСкачать