Что означает трансграничная передача персональных данных. Панацея: трансграничная передача персональных данных
Панацея: трансграничная передача персональных данных
- Чулан *
Периодически натыкаюсь в разных Интернетах на «гениальные» догадки о том, как освободиться от «бремени» исполнения законодательства о персональных данных путем «выхода» из под национальной юрисдикции. Сами вопросы «бремени», на сколько можно судить по публикациям и их комментариям, довольно плохо понимаются авторами - все свалено в одну кучу: что понимать под персональными данными, какие правила обработки соблюдать, что «защищать»… Из этой кучи не проясненного рождаются самые настоящие фантазии-франкенштейны вызывающие буквально панический страх у новоиспеченных (да и у староиспеченных тоже) операторов персональных данных и приводят к методическому запугиванию друг друга с поиском таких вот гениальных по своей простоте решений в лучших традициях язычества. Вместо того, что бы использовать данные законом правовые инструменты по их назначению, им придается какой-то сакральный смысл. Так в свое время сакрализовали институт согласия, совершенно не обращая внимания на его основной смысл: свобода дать и отозвать свое согласие в любое время без объяснения причин. Бумажку с письменным согласием превратили в самую настоящую индульгенцию (да, пусть вас не смущает, что индульгенция имеет вполне себе католические корни, а не языческие. Языческими были те стереотипы мышления, особенности картины мира, которые и привели к всеобщей вере в индульгенцию как простому решению сложных проблем).
Сакрализация трансграничной передачи конечно не была такой масштабной, как всеобщая вера во всемогущество согласия. Модель, по которой предлагалось решить все свои «проблемы с законом» владельцам интернет-сервисов, была невероятно проста:
1) Переносим сайт с базой на хостинг в Евросоюзе.
2) PROFIT!!!
Основным преимуществом при этом называлось то, что в Евросоюзе не установлены «драконовские» требования по обеспечению безопасности персональных данных при их обработке. Хотя от части это действительной так, «вывоз» базы за кордон, без смены российского владельца - не выводит ее из под юрисдикции РФ. Иными словами, обязанность исполнять российский
закон сохраняется, так как сам оператор никуда от него не делся
.
Кроме того, такой простой «вывоз» по закону и не является трансграничной передачей персональных данных.
Как говорит нам собственно закон : трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу
.
То есть, трансграничной передачей является только передача оператору персональных данных (controller of the file), не попадающему под юрисдикцию Российской федерации
.
Иностранное юридическое лицо (действующее официально) или российское юридическое лицо, собирающие персональные данные на территории России - попадают под действие закона о персональных данных не зависимо от того, где данные в конечном счете обрабатываются. Передача за границу российскому юридическому лицу - также не является трансграничной передачей ПДн.
Трансграничная передача персональных данных накладывает на оператора дополнительные условия, связанные с законностью и целесообразностью такой передачи, так что попытка таким способом «обойти» закон рискует закончится весьма печально. Когда же будет принята новая нормативка касающаяся обеспечения безопасности ПДн при их обработке в ИСПДн , наверняка мы и в ней найдем кучу дополнительных ограничений и условий на перемещение данных через госграницу.
Теги: персональные данные, трансграничная передача
Очень и очень больной вопрос в области ПДн -трансграничная передача данных.
Хотелось бы высказать свои частные соображения по этому вопросу. Итак…
Что такое трансграничная передача данных? Трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства. До начала передачи оператор должен убедиться в том, что на территории иностранного государства обеспечена адекватная защита прав субъектов ПДн.
Камнем преткновения является формулировка «адекватная защита», критерии адекватности не определяются, при этом здравый смысл подсказывает, что адекватной становится защита, которая соответствует российскому законодательству.
Понятное дело, что нигде в мире не существует систем соответствующих российскому законодательству, стало быть, юридически адекватная защита не обеспечивается нигде. Понятное дело, что такое прямое заключение противоречит «духу закона» (это понятие достаточно часто стало циркулировать в области защиты ПДн), и законодатель, сам того не зная, обрек нас всех на огромную дыру в законе. Как эту проблему решать, большой вопрос, по моей информации, наши регуляторы уже дали свои рекомендации по внесению поправок в ФЗ №152, как раз по части этого пункта.
Что могут делать операторы если адекватная защита не обеспечена? Приведу весть 3 пункт 12 статьи ФЗ №152 со своими комментариями:
«Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных; (тут все понятно)
2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам; (Если Интерполу необходима информация о международном преступнике, то согласие с преступника никто не попросит)
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства; (тут тоже все понятно)
4) исполнения договора, стороной которого является субъект персональных данных; (если вы решили съездить на охоту, куда-нибудь в африку, то у туристической фирмы должны быть основания забронировать для вас гостиницу, купить авиабилеты…)
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.» (если субъект попал автокатастрофу в Египте и необходимо срочное переливание крови, то просить с него разрешение на пересылку данных из российской больницы, мягко говоря глупо)
Анализируя вышесказанное, единственным способом для большинства операторов выполнить требования 12 статьи - это получение согласия субъекта ПДн в письменной форме.
1. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
7. Трансграничная передача персональных данных на территории иностранных государств осуществляется в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
8. В целях обеспечения защиты персональных данных, хранящихся в личных делах гражданских служащих, гражданские служащие имеют право:
Приказ Росграницы от 13.10.2008 N 101 (ред. от 19.07.2011) "О защите персональных данных федеральных государственных гражданских служащих Федерального агентства по обустройству государственной границы Российской Федерации" (вместе с "Положением об организации работы с персональными данными федерального государственного гражданского служащего Федерального агентства по обустройству государственной границы Российской Федерации и ведении его личного дела") (Зарегистрировано в Минюсте РФ 10.11.2008 N 12596) Правил, производится при осуществлении таможенными органами, организациями международной деятельности в установленном порядке при условии получения письменного согласия указанных лиц на обработку персональных данных, если иное не установлено статьей 12 Федерального закона "О персональных данных".
Возможно, будет полезно почитать:
- Аббатство - это католический монастырь ;
- Самые распространенные расклады ;
- Быт и обычаи Обычаи и нравы 19 века ;
- К чему снятся жабы и лягушки: мужчине, девушке, женщине, беременной – толкования разных сонников ;
- Основные характеристики марса ;
- Должностная инструкция транспортного экспедитора ;
- Татаро-монгольское иго или история о том, как ложь стала правдой ;
- Журавль толкование сонника ;