Трансграничная передача персональных данных это: правила передачи данных и возможные ограничения

IT NewsНовости рынкаБезопасность

| 12.04.2019Трансграничная передача персональных данных это: правила передачи данных и возможные ограниченияТрансграничная передача персональных данных это: правила передачи данных и возможные ограничения

Уже долгое время европейский «Регламент защиты персональных данных» (General Data Protection Regulation, GDPR) не сходит с первых позиций среди самых обсуждаемых вопросов, волнующих компании всего мира. Такое внимание документ получил благодаря экстерриториальности действия и крайне высоким штрафам за несоответствие его требованиям.

Некоторые российские компании ввиду особенностей своего бизнеса также попали под регулирование GDPR, и, соответственно, соблюдение его требований становится для них одной из приоритетных задач.

Яркий тому пример – Сбербанк, где особое внимание уделили вопросам трансграничной передачи данных ввиду наличия дочерних обществ на территории ЕС.

В частности, были детально проанализированы способы организации трансграничной передачи персональных данных, установленные GDPR.

Приведенный в настоящей статье анализ поможет многим российским компаниям найти правильный подход к выбору условий передачи персональных данных между компаниями, входящими в международную группу.

На сегодняшний день РФ не входит в список стран, гарантирующих, по мнению Европейской комиссии, надлежащий уровень защиты физических лиц при обработке их персональных данных [ЕК включила в него такие страны, как Андорра, Аргентина, Канада (только коммерческие организации), Фарерские острова, Гернси, Израиль, остров Мэн, остров Джерси, Новая Зеландия, Швейцария, Уругвай и США (если обработчик принадлежит Privacy Shield). Официальный сайт Еврокомиссии – https://ec.europa.eu/] В этой связи международные российские компании, которые имеют дочерние общества или аффилированные лица на территории ЕС, вынуждены на постоянной основе использовать такие механизмы трансграничной передачи данных, которые соответствуют установленным GDPR принципам их обработки и гарантируют их надлежащую защиту.

  • До выхода GDPR, когда европейское законодательство не носило экстерриториального характера, крупные российские компании выстраивали процесс передачи персональных данных путем заключения договора на передачу и договора на обработку данных.
  • Сегодня же им следует пересмотреть свой подход с учетом механизмов соблюдения соответствующих гарантий, предусмотренных нормами GDPR: среди них «Кодекс поведения», «Обязательные корпоративные правила» (Binding Corporate Rules), «Стандартные положения о защите данных» (Standard Contractual Clauses), «Сертификация».
  • Трансграничная передача персональных данных это: правила передачи данных и возможные ограничения1
  • Механизмы обеспечения соответствующих гарантий при трансграничной передачи персональных данных по GDPR

«Кодекс поведения»

«Кодекс поведения» представляет собой совершенно новый механизм, устанавливающий конкретные правила защиты данных в определенном секторе.

Такой документ разрабатывается торговыми ассоциациями или объединениями, например, представляющими банковский сектор, по согласованию с заинтересованными сторонами – участниками рынка, после чего утверждается европейским регулятором (Data Protection Authority) и главным надзорным органом ЕС по защите данных (European Data Protection Board).

На сегодняшний день такой кодекс отсутствует в каком-либо секторе деятельности, поэтому рассматривать его как возможный механизм, позволяющий гарантировать надлежащий уровень защиты персональных данных, нецелесообразно в ближайшие 3–5 лет. Инициативы разработки аналогичного документа известны лишь в сфере облачных вычислений и в фармацевтической промышленности.

«Стандартные положения о защите данных» (Standard Contractual Clauses, SCC)

Этот документ разработан задолго до вступления в силу GDPR. Планируется, что обновленные формы уже в соответствии с требованиями GDPR будут опубликованы на сайте ЕС в ближайшее время.

Особенность таких положений заключается в том, что форма является дополнением к главному договору и в нее нельзя вносить изменения. Многие российские компании в рамках трансграничной передачи данных уже используют SCC в качестве приложения к основному договору, предусматривающему передачу данных.

  1. Стандартные положения SCC бывают двух видов:
  2. ·               «Контролер – Обработчик»,
  3. ·               «Контролер – Контролер».

Форма «Контролер– Обработчик» подразумевает, что контролер поручает обработку персональных данных обработчику согласно целям, определенным контролером.

Форма «Контролер – Контролер», в свою очередь, предусматривает, что каждая сторона самостоятельно определяет цель и средства обработки персональных данных.

SCC детально описывает потоки данных, а также технические и организационные меры безопасности.

Стандартные положения SCC отлично подходят в случае с малым и средним бизнесом.

Для компаний-гигантов такой подход представляется не совсем удобным и весьма трудозатратным, поскольку порядок передачи данных в условиях стремительного развития цифровых технологий и постоянного изменения бизнес-процессов подразумевает необходимость заключения бесчисленного количества приложений к SCC с детальным и точным описанием потоков данных.

«Обязательные корпоративные правила» (Binding Corporate Rules, BCR)

Самым же удобным механизмом трансграничной передачи данных для крупного бизнеса являются «Обязательные корпоративные правила» (Binding Corporate Rules-BCR). Данный документ представляет собой межгрупповой договор (свод правил), закрепляющий правила передачи персональных данных в рамках одной группы компаний.

BCR предоставляет возможность международной группе компаний обмениваться данными в условиях стремительного развития бизнеса без детального описания в заключаемых SCC постоянно увеличивающихся потоков данных.

Помимо повышения качественности трансграничного обмена, общие положения о защите персональных данных, закрепленные в BCR, являются фундаментом единого подхода к обработке и защите персональных данных в группе компаний.

BCR бывает двух типов:

Трансграничная передача персональных данных это: правила передачи данных и возможные ограничения

•      BCR-C используется в рамках передачи персональных данных от контролера, находящегося на территории ЕС, другим контролерам и обработчикам за пределами ЕС. Трансграничная передача персональных данных это: правила передачи данных и возможные ограничения
•      BCR-P используется в рамках обработки персональных данных, полученных группой (обработчиком) от контролера, учрежденного в ЕС и не входящего в группу.

Самый распространенный вариант – BCR-C, который позволяет свободно обмениваться персональными данными в рамках одной группы компаний.

Особенность данного документа заключается в том, что для использования в работе группа должна согласовать текст BCR с европейским регулятором и получить подтверждение главного надзорного органа ЕС (European Data Protection Board) (последнее – при необходимости). Организации, имеющие утвержденный европейским регулятором BCR, считаются в ЕС передовыми и надежными по вопросам защиты данных как клиентами и контрагентами, так и европейским регулятором.

На сегодняшний день европейский регулятор утвердил 132 BCR, из которых 20% – финансово-кредитные организации, такие как Citigroup, JPMorgan. Однако в списке организаций, имеющих BCR, отсутствуют российские международные компании, имеющие дочерние общества на территории ЕС.

Это обусловлено тем, что разработка и внедрение единых требований к обработке и защите персональных данных в группе и их дальнейшее практическое применение объективно являются трудоемкой задачей ввиду необходимости анализа и учета требований законодательств, применимых к участникам группы. Для разработки и внедрения BCR российской компании необходимо провести масштабную работу по выработке единых правил, требований и подходов, как организационных, так и технических, к обработке и защите ПДн, обязательных для применения всеми присоединившимися к BCR компаниями.

  • Тем не менее экстерриториальный характер GDPR заставил задуматься крупные российские компании, чьи дочерние общества и аффилированные лица находятся на территории ЕС, использовать именно такой подход к трансграничной передаче персональных данных в группе.
  • Преимущество BCR для российской группы компаний заключается не только в том, что такой документ позволит не только обеспечить единый подход к защите ПДн в группе и уменьшить трудозатраты на реализацию договорного сопровождения потоков данных по бизнес-процессам, но и существенным образом повысить уровень доверия европейских контрагентов, клиентов, а также европейского регулятора как к группе компаний, так и к России в целом.
  • Трансграничная передача персональных данных это: правила передачи данных и возможные ограничения
  • «Сертификация»

Ст. 42 GDPR предусматривает сертификацию на соответствие требованиям GDPR. Эксперты в области защиты персональных данных уже три года ждут новостей о том, что же это за сертификация, какие требования будут предъявляться и как будет проходить процедура сертификации, кто будет аккредитованными компаниями, и т. д.

Согласно положению GDPR, для проведения такой сертификации главный надзорный орган ЕС по защите данных должен аккредитовать консалтинговые и аудиторские компании на проведение таких мероприятий. Однако на сегодняшний день European Data Protection Board не аккредитовал ни одну компанию, не говоря уже о том, что не были выдвинуты требования к таким организациям.

Как и кодексы поведения, вопрос внедрения сертификации и выработки алгоритма действий для организаций, желающих получить подтверждение на соответствие требованиям GDPR, может затянуться на годы.

Административные штрафы за нарушение правил трансграничной передачи данных

Нарушение требований к трансграничной передаче данных с территории ЕС может привести к самым высоким санкциям, достигающих €20 млн или 4% глобального годового оборота компании.

Какой подход выбрать?

  1. На сегодняшний день российские компании имеют два возможных пути правового сопровождения трансграничной передачи данных с территории ЕС в Россию: использование стандартных положений о защите данных SCC или разработка BCR.

  2. Первый подход удобен в следующих случаях:
  3. ·               когда четко определены процессы, в рамках которых передаются персональные данные.

  4. ·               когда передача данных имеет постоянный характер и не подвержена многочисленным изменениям в результате внедрения новых бизнес-процессов, что больше свойственно малому и среднему бизнесу.

Разработка BCR, в свою очередь, является более зрелым решением и требует от группы копаний четкого понимания ответственности после принятия и согласования такого документа. При направлении BCR на утверждение европейскому регулятору группа дает гарантию, что организации, входящие в ее состав, следуют единым правилам защиты персональных данных, соответствующим принципам GDPR.

Сбербанк, будучи лидером на российском финансовом рынке, не боится решать новые сложные задачи в части соответствия требованиям европейского законодательства. Очевидная польза разработки и внедрения BCR в группе «Сбербанк» состоит в стандартизации и повышении уровня зрелости процессов обработки и защиты персональных данных во всех организациях, входящих в группу.

  • При выборе ВCR в качестве правового механизма трансграничной передачи данных компании группы должны быть готовы к тому, что согласование обязательных корпоративных правил может занимать от полугода до полутора лет ввиду очереди из международных компаний со всего мира, нацеленных в полной мере соответствовать требованиям GDPR.
  • Трансграничная передача персональных данных это: правила передачи данных и возможные ограничения
  • Эльвира ЧАЧЕ,
  • менеджер Центра организации обработки и защиты персональных данных Сбербанка
  • безопасность российских корпоративных данных, кибербезопасность, информационная безопасность
  • Журнал: Журнал IT-News, Подписка на журналы
  • Sberbank | Сбербанк

Источник: https://www.it-world.ru/it-news/security/144620.html

Хранение персональных данных на зарубежном хостинге: если можно, то как?

После изменения российского законодательства, регулирующего хранение и обработку персональных данных, следом за введением принципа локализации баз персональных данных и блокировкой LinkedIn среди ИТ-специалистов все чаще возникают вопросы о том, какую информацию можно держать на зарубежных серверах. Трансграничная передача персональных данных это: правила передачи данных и возможные ограничения Поспешим успокоить наших свободолюбивых читателей: хранить персональные данные за пределами России все еще разрешено, но с оговорками. И если вы хотите соблюдать российское законодательство и, вместе с тем, обезопасить данные от возможных административных атак недоброжелателей — этот пост для вас. Мы сформулировали основные «правила игры», в соответствии с которыми сегодня осуществляется хранение и трансфер персональных данных граждан Российской Федерации за границу. Понять, чего именно требует российское законодательство, нелегко. Минкомсвязи, правда, подготовило памятку по основным вопросам обработки персональных данных, но ясной и доходчивой ее не назовешь (обращаем ваше внимание, что по данной ссылке любой желающий может задать уточняющий вопрос экспертам министерства, не стоит пренебрегать этой возможностью). Начнем хотя бы с вопроса о том, что такое «персональные данные». Как люди культурные мы должны сперва определить предмет разговора.

Читайте также:  Как сделать себя банкротом: прохождение процедуры банкротства поэтапно

В российском законе о персональных данных сказано следующее:

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу» Это калька со статьи 2 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. Но, в отличие от соответствующей бумаги, данная формулировка не прозрачна. И столь же не современна, как калька. О какой именно информации идет речь? Минкомсвязи и Роскомнадзор избегают уточнять понятие «персональные данные», ссылаясь на отсутствие полномочий. Позиция ведомственных теоретиков от юриспруденции в этом случае сводится к известной шутке: «два юриста — три мнения». Так что желающим разобраться в вопросе на практике приходится самостоятельно изучать юридическую практику и принимать решения на свой страх и риск. Первое, что бросается в глаза, — закон «О персональных данных» защищает только физических лиц. При этом информация о них (с точки зрения закона) становится «персональными данными» только в случае, если ее можно с уверенностью соотнести с конкретным человеком. Как много и какие именно сведения необходимо собрать, чтобы они стали персональными данными, вопрос спорный. В странах Евросоюза персональными данными может стать практически любая информация, если она позволяет как-либо выделить человека, например, из массы пользователей сайта. Хорошей аналогией тут будет детективная работа. Как только информации становится достаточно, чтобы указать на преступника, она превращается в персональные данные, даже если сыщик не знает настоящего имени того высокого джентльмена, что единственный из подозреваемых курит трубку. Трансграничная передача персональных данных это: правила передачи данных и возможные ограничения

Показателен в этом плане и вступающий в силу с 25 мая 2018 года регламент N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС».

В нем под термином «персональные данные» также понимается любая информация, относящаяся к идентифицированному физическому лицу, но этот термин подробно раскрывается: «Идентифицируемое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица». Таким образом, в Европе в качестве персональных могут рассматриваться и большие данные, если их достаточно, чтобы выделить человека из толпы. Отметим, что Евгений Черешнев, руководитель компании Biolink Technologies, ввел в отечественный оборот термин «Цифровая ДНК», которым описывает совокупность «больших данных», позволяющую безошибочно определить данного конкретного пользователя. Я, как исследователь новых медиа, использую для того же явления термин «цифровой след». Российская Федерация разделяет с европейскими странами базовое определение персональных данных, но подход к составлению их перечня в стране долгое время был формальным и от того более узким. Трансграничная передача персональных данных это: правила передачи данных и возможные ограничения Персональными данными признавались фамилия, имя, отчество и номер телефона, дата рождения, дата регистрации, номер паспорта, ИНН, данные трудового договора в различных комбинациях, но не по отдельности.

Кроме того, персональными данными признаются специфические сведения вроде информации об отпечатках пальцев, о геноме человека или о его здоровье.

Но это не все.

Олег Ефимов, управляющий партнер правового партнерства «Ефимов и партнеры», к которому мы обратились за консультацией по практической стороне вопроса, уточняет, что ранее суды этим и ограничивались, но с изменением позиции Роскомнадзора произошел переход к расширительному толкованию термина. Так, например, Роскомнадзор однозначно расценивает в качестве персональных данных сочетание имени и адреса электронной почты.

В обновленном европейском законодательстве предусмотрены также ограничения на обработку персональных данных, «раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, и обработку данных, касающихся состояния здоровья или половой жизни». Для операций с такой информацией необходимо получить отдельное согласие субъекта персональных данных.

Похожая норма закреплена и в статье 10 закона Российской Федерации «О персональных данных».

«Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается». Эти данные можно обрабатывать с письменного согласия лица, которому они принадлежат, а также если они являются общедоступными или обезличенными. Россия входит в число стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 года, — и значит, может обмениваться данными с другими участниками конвенции без дополнительных формальностей. Передача данных в страну, не охваченную конвенцией, требует согласия их владельца. Его можно получить в письменном виде или запросить через форму на сайте. Дополнительно в юридическом поле появляется термин трансграничной передачи данных. Трансграничная передача персональных данных это: правила передачи данных и возможные ограничения

«Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу».

Однако это определение может поменяться.

Наш эксперт Олег Ефимов подсказывает, что на данный момент существует проект Федерального закона, где эта формулировка заметно упрощается: «трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства». Т.е. изменилась привязка с местоположения лица, которому принадлежат сервера, на географическое положение сервера. Сейчас этот проект проходит процедуру оценки регулирующего воздействия.

Согласно разъяснениям Минкомсвязи, при трансграничной передаче персональных данных ответственность за их сохранность несет принимающая сторона. Так, например, два дата-центра, с которыми мы плотно сотрудничаем, находятся в Чехии, подписавшей Конвенцию 1981 года, и принадлежат чешскому юрлицу. И в нашем случае охрана информации будет осуществляться по чешским законам, обеспечивающим более надежную защиту от потенциальных рисков, включая, например, риски изъятия оборудования.

При этом передавать персональные данные можно без дополнительного согласия их обладателей.

Но юристы тут добавляют, что в соответствии со статьей 22 Федерального закона «О персональных данных» оператор персональных данных обязан уведомить Роскомнадзор о наличии трансграничной передачи персональных данных, а их субъект имеет право получить от оператора информацию об осуществленной или о предполагаемой трансграничной передаче данных.

Вернемся к законам. В чем же заключается требование о локализации баз с персональными данными на территории Российской Федерации? Прежде чем ответить на этот вопрос, уточним, что законодательно данными российских граждан признается вся информация, собранная на территории Российской Федерации, если оператор персональных данных специально не уточнял вопрос гражданства.

Оператор «обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».

Олег Ефимов сразу добавляет, что под «обработкой персональных данных» также понимают сбор, использование, обезличивание, блокирование, удаление, уничтожение персональных данных, на которые требования о локализации баз данных не распространяются. При этом для целей профессиональных журналистов, СМИ, научной, литературной или иной творческой деятельности Федеральный закон «О персональных данных» предусматривает исключение из правила. В остальных случаях оператор обязуется создавать базы, содержащие персональные данные российских граждан, и совершать с ними различные операции на территории России.Трансграничная передача персональных данных это: правила передачи данных и возможные ограничения Изображение: NewWay.biz Эту правовую норму придется учитывать при проектировании ИТ-инфраструктуры компании, но она не запрещает передавать базы персональных данных на сервера в других странах. Комментарий экспертов тут таков: Для соблюдения закона важно, чтобы на территории России оставалась основная, наиболее полная и актуальная база персональных данных. На прочих серверах можно размещать ее копии или части. Причем в таких дочерних базах персональные данные можно не только хранить, но и обрабатывать, но при условии, что данные будут использоваться в тех же целях, что и в основной базе данных. Поскольку в российском законодательстве нет узких определений баз данных и точных требований к тому, как именно с технической точки зрения должны храниться персональные данные, у компании, работающей с ними, остается возможность выбора.

Ни гражданский кодекс, ни ГОСТ Р 20886-85, ни Модельный закон о персональных данных никак не ограничивают форму хранения данных и позволяют называть локализованной базой данных все: от полноценного цифрового хранилища любой архитектуры до таблиц в Excel или бумажной картотеки.

Изъятие оборудование, длительные отключения, незаконные блокировки —  этим списком не исчерпываются проблемы, с которыми сталкиваются пользователи российских хостингов. В этом контексте решением проблемы видится зарубежный сервер. Как с точки зрения субъекта персональных данных, так и с позиции компании, оперирующей его данными, то же чешское законодательство как нельзя лучше подходит для размещения баз данных с такой важной информацией, как персональные данные. Например, доступ к любой информации или инфраструктуре клиента, размещенной в этой стране, возможен исключительно по решению чешского суда. Кроме того, местное законодательство позволяет использовать шифрование, которое в Российской Федерации потребовало бы дополнительной сертификации. Действующие в ЕС международные стандарты обеспечивают безопасность баз данных и беспрепятственную работу с ними с территории Российской Федерации, что также не противоречит требованиям российского закона о локализации персональных данных, который направлен на то, чтобы обеспечить присутствие иностранных компаний в России.

Выполнение требований закона для отечественных организаций не столь обременительно и, при грамотном подходе, не мешает использовать иностранные хостинги так, как этого требуют бизнес-процессы и элементарные соображения безопасности бизнеса.

Источник: https://habr.com/post/342332/

Немного о личном и трансграничном

Трансграничная передача персональных данных это: правила передачи данных и возможные ограничения

Как закон о локализации персональных данных влияет на российский рынок

1 сентября исполняется три года с момента вступления в силу изменений в Федеральный закон № 152-ФЗ «О персональных данных» (242-ФЗ).

Помимо существовавших требований ко всем компаниям, организациям и физическим лицам, которые обрабатывают конфиденциальную информацию граждан, нормативно-правовой акт ввел новые обязанности. А именно, теперь они должны хранить персональные данные (ПД) на территории РФ.

Также документ определил создание Реестра нарушителей, вести который доверили уполномоченному органу по защите прав субъектов ПД – Роскомнадзору.

Кому это нужно

Целью законодательных изменений являлось прекращение бесконтрольного использования конфиденциальной информации россиян на территории других государств. Документ потребовал от операторов персональных данных выполнения единственного условия – соответствовать стандартам Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД.

242-ФЗ установил специальные критерии определения «виртуальных» границ России в соответствии с трансграничным и децентрализованным характером интернета. Так, деятельность компаний по обработке ПД может быть отнесена к осуществляемой на территории России, если:

1) у сайта есть русскоязычная версия;2) доменное имя связано с РФ (.ru, .рф и т. д.);3) исполнение заключенного на таком сайте договора (доставка товара, оказание услуги, пользование цифровым контентом) производится в российских рублях;

Читайте также:  Уход за пожилым человеком старше 80 лет: выплаты, оформление

4) реклама показывается пользователю на русском языке.

  • Минкомсвязь в своих разъяснениях пишет, что у компаний могут быть и иные обстоятельства, «явно свидетельствующие о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию».
  • Изменения, внесенные 242-ФЗ, не затронули положений о трансграничной передаче данных.

ТРАНСФЕР ПД ЗА ПРЕДЕЛЫ РОССИИ ОСТАЛСЯ ВОЗМОЖЕН С СОБЛЮДЕНИЕМ УСЛОВИЙ ЗАКОНА

Как отмечали некоторые российские эксперты, Роскомнадзору удалось найти решение, позволяющее осуществлять и локализацию персональных данных, и их трансграничную передачу.

Суть решения состояла в том, чтобы разделить все базы на две группы. ПД должны быть первоначально записаны и сохранены на территории России («первичная база данных»). После этого информация из них может быть скопирована за пределы страны во «вторичную базу данных» с соблюдением условий трансграничной передачи.

Трансграничная передача персональных данных это: правила передачи данных и возможные ограничения

«Другими словами, главная копия личных данных российских граждан, собранных в России, должна быть расположена в России, так же как последующие обновления и дополнения к этим личным данным.

Технические решения, в которых первичная база данных находится за рубежом и создается только русская копия («копия» или «зеркало») такой зарубежной базы данных, не соответствуют закону», – пишет в своем исследовании юрист компании IBM (Россия/СНГ), старший научный сотрудник НИУ ВШЭ, член Консультативного совета при Роскомнадзоре Александр Савельев.

Важно, что новый порядок обработки ПД начал действовать только для тех баз с данными российских пользователей, которые были собраны после 1 сентября 2015 года. Хранилища конфиденциальной информации, созданные до даты вступления в силу закона, под требования не попали. Таким образом, компаниям дали время на подготовку к новым изменениям без ущерба для своей деятельности.

ОБНОВИТЬ И ДОПОЛНИТЬ СТАРЫЕ БАЗЫ БЕЗ ИХ ЛОКАЛИЗАЦИИ НА ТЕРРИТОРИИ РОССИИ, СОГЛАСНО 242-ФЗ, СТАЛО НЕВОЗМОЖНО

Закон также дал расширенные права российским интернет-пользователям по контролю за использованием их ПД. В случае неправомерной обработки граждане вправе обратиться в Роскомнадзор или суд.

Если компания игнорирует нормы 152-ФЗ, ее внесут в Реестр нарушителей прав субъектов персональных данных, а к сервисам будет ограничен доступ на территории России.

За несоблюдение требований 242-ФЗ предусмотрена аналогичная ответственность.

Что общего с GDPR

Российский 152-ФЗ и новый Генеральный регламент о защите персональных данных (англ. General Data Protection Regulation, GDPR) имеют самостоятельную территориальную и юрисдикционную сферу применения в пространстве, по кругу лиц и во времени.

Так, 152-ФЗ не обладает экстерриториальным действием, не распространяется на нерезидентов, собирающих ПД российских граждан за границей (в случае если они не осуществляют деятельность в интернете, направленную на Российскую Федерацию).

GDPR же не ограничивает сферу действия права о персональных данных по «национальному принципу». Защита персональных данных осуществляется на территории Евросоюза и в государствах-членах независимо от гражданства или места проживания.

РОССИЙСКИЙ И ЕВРОПЕЙСКИЙ ЗАКОНЫ ПОХОЖИ В ПОДХОДАХ РЕГУЛИРОВАНИЯ ТРАНСГРАНИЧНОЙ ПЕРЕДАЧИ ДАННЫХ

Глава V Регламента GDPR регулирует порядок перемещения ПД за пределы ЕС.

Передача данных может иметь место, когда Европейская комиссия сделала вывод о надлежащем обеспечении гарантий защиты ПД третьей стороной (страной, ее субъектами или международной организацией).

Решение о передаче данных может быть отменено, изменено или приостановлено в случае низкой оценки уровня защиты. Критерии оценки, из которых должна исходить Европейская комиссия, закреплены в ст. 45 Регламента GDPR.

152-ФЗ разрешает трансграничную передачу ПД в страны, которые являются сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Государства, не являющихся сторонами Конвенции, также могут осуществлять трансграничную передачу, если Роскомнадзор включит их в перечень иностранных государств с адекватной защитой прав субъектов персональных данных.

Сейчас в списке находятся 23 страны.

Трансграничная передача может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

Тем не менее схожие положения отечественного и европейского законов не дают оснований делать вывод относительно их «гармонизации», пишет Институт развития интернета в своем исследовании.

«Для российских компаний, деятельность которых связана со сферой персональных данных, ориентированных на пользователей в Евросоюзе, имеющих договорно-правовые обязательства с контрагентами ЕС, – это означает «двойное обременение»».

Кто хочет – ищет способ

Закон вызвал противоречивую реакцию крупных организаций и торговых ассоциаций. Члены КСИИ и АЕБ просили уточнить некоторые понятия в законодательном акте и перенести сроки его вступления в силу, пишут издания «Коммерсантъ» и «РБК».

Такой поступок эксперты объясняли выжидательной позицией компаний.

По мнению главного аналитика Российской ассоциации электронных коммуникаций (РАЭК) Карена Казаряна, часть IT-компаний были готовы к исполнению закона, но ждали примеров его правоприменения, на основе которых будут определять масштабы размещения в России.

Их сомнения, отмечал К. Казарян, также могли быть связаны с «неспособностью российских дата-центров удовлетворить высокие требования западных компаний к уровню сервиса SLA (Service Level Agreements)».

В то же время компании Aliexpress, Booking.com, Ebay, PayPal, Uber, Samsung и др. подтвердили свою готовность исполнять новые требования после встреч с Роскомнадзором и разъяснений РАЭК.

Глава комитета Госдумы по информационной политике, информационным технологиям и связи Леонид Левин заявлял: «Времени подготовиться к вступлению 242-ФЗ в силу было достаточно.

Тем более что Роскомнадзор постоянно ведет консультации с заинтересованными компаниями и нехватки мощностей в дата-центрах не предвидится».

  1. О том, что локализация данных – новый тренд развития интернета, в свое время рассказывала заместитель главы Роскомнадзора Антонина Приезжева.
  2. Как это помогает бизнесу
  3. Рост рынка коммерческих дата-центров в России эксперты прогнозировали сразу после принятия закона.

О местах для переноса и хранения баз данных говорил ведущий аналитик в области промышленных систем IDC Russia Михаил Попов. По сведениям эксперта, мощностей для такого объема информации должно хватить всем операторам ПД, а внедрение этого закона поможет развитию российской отрасли дата-центров.

«Безопасность российских ЦОДов определяется законодательством и технической документацией. Есть требования ФСТЕК и ФСБ, которые необходимо соблюдать для получения лицензии.

Таким образом, дата-центры любого типа, которые предоставляют услуги хранения данных, сертифицированы, и все они предоставляют более или менее равные по степени защищенности услуги.

На сегодня требований указанных выше ведомств достаточно, и сертификаты имеют все крупные, большинство средних и достаточное количество малых ЦОДов», – считает М. Попов.

В исследовании 2017 года эксперты iKS-Consulting отметили рост российского рынка ЦОДов на 20 процентов. Тогда его объем уже составил 16,8 млрд рублей.

По прогнозу «ТМТ Консалтинг», рынок продолжит расти еще на 9%, до 39,6 тыс. стойко-мест, при выручке в 26,7 млрд рублей.

ПЕРСПЕКТИВНЫМ СЕГМЕНТОМ ОСТАЮТСЯ МЕЖДУНАРОДНЫЕ КОМПАНИИ, КОТОРЫЕ РАЗМЕЩАЮТ В РОССИЙСКИХ ДАТА-ЦЕНТРАХ БИЗНЕС-РЕШЕНИЯ, ИСПОЛЬЗУЮЩИЕ ПД ПОЛЬЗОВАТЕЛЕЙ РФ

К 2018 году наметилось несколько тенденций развития рынка:

Популяризация cloud-решений. Перевод в «облака» информационных систем бизнеса и госструктур спровоцировано нестабильной экономической ситуацией. Отсюда и желание компаний минимизировать расходы, сохранив при этом эффективность.

Появление новых клиентов. Услуги коммерческих ЦОДов пользуются спросом среди IT-гигантов. Принятие новых законов – 242-ФЗ, GDPR, «Закон Яровой» – стали причиной смены поставщика услуг дата-центров с иностранных на отечественных.

Развитие государственных проектов. Государство проявляет интерес к развитию собственной IT-среды. Реализация государственной программы «Цифровая экономика РФ» позволит увеличить количество дата-центров в России и выработать единую схему их распределения по стране.

***

С момента реализации 242-ФЗ, как сообщил Роскомнадзор, проведено более 3 тыс. плановых проверок в отношении операторов, осуществляющих обработку ПД. Локализацию баз данных на территории России подтвердили 225 666 организаций.

В итоге только одна компания не выполнила требования российского законодательства в сфере персональных данных и оказалась в Реестре нарушителей – LinkedIn.

Новые стандарты информационной безопасности становятся тенденцией для развития IT-рынка и внедрения законодательных инициатив в бизнес-процессы.

152-ФЗ, «Закон Яровой», GDPR и другие нормы мотивируют отрасль активнее развивать свои продукты и улучшать качество услуг для пользователей.

А граждане цивилизованных стран получают возможность защитить свое право на неприкосновенность информации о себе и личного пространства.

Изображения: RSpectr, freepik.com

Локализация баз данных по 242-ФЗ

Поделиться

Все тэги

Источник: https://www.rspectr.com/articles/435/nemnogo-o-lichnom-i-transgranichnom

Особенности трансграничной передачи персональных данных: регламент отправки, документы и безопасность

Трансграничная передача персональных данных это: правила передачи данных и возможные ограничения

Информация является важнейшей основой современных экономики и бизнеса. Всё больше экспертов полагают, что объёмы цифровой торговли и потоков трансграничных сведений будут расти быстрее, чем общие темпы глобальной торговли.

Однако всё больше государств вводят барьеры, которые делают процесс отправки более дорогостоящим и трудоёмким. Некоторые из них обосновывают своё решение защитой конфиденциальности данных и кибербезопасности.

Тем не менее, сегодня очевидно, что невозможно полностью оставить распространение информации через границы государств, но нужен баланс между свободным перемещением и безопасностью личных сведений.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер. 

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (800) 350-22-67. Это быстро и бесплатно!

Скрыть содержание

Что это такое?

В российском законодательстве под этим явлением понимается передача персональных данных иностранному государству, иностранному государственному агентству, гражданину иностранного государства или иностранному юридическому лицу. Такое определение прописано в статье 3 редакции 2017 года Федерального Закона “О Персональных данных” от 27.07.2006.

Регламент отправки

Также существует официальный список, принятый Роскомнадзором, стран, которые тоже удовлетворяют требованиям защиты информации при переводе через границу. В частности, туда входят:

  • Австралия.
  • Аргентина.
  • Израиль.
  • Канада.
  • Мексика.
  • Новая Зеландия.

Согласно закону “О Персональных данных” передача сведений через границу может быть запрещена по причине:

  • защиты конституционного строя Российской федерации;
  • нравственности;
  • здоровья;
  • прав и законных интересов граждан РФ;
  • национальной безопасности.

В то же время, трансграничная передача персональных данных в страны, которые не способны обеспечить достаточную защиту такой информации, разрешена только в нескольких случаях:

  1. было получено письменного согласие соответствующего субъекта на трансграничную передачу персональных данных;
  2. трансграничная передача данных разрешена по условиям международным договоров, участником которых является Россия;
  3. перевод информации в другую страну разрешен по условиям принятых законов, если это необходимо для защиты конституционного строя РФ, государственной безопасности, а также поддержания жизнеспособности транспортной системы, защиты интересов лиц, общества, государства в транспортной сфере при незаконном вторжении;
  4. отправка конфиденциальных сведений осуществляется для выполнения контракта, участником которого является субъект;
  5. передача данных через границу требуется для защиты жизни субъекта, его здоровья или иных важных интересов, а получение письменного согласие лица не является возможным.
Читайте также:  Помощь государства в погашении ипотеки: льготы в 2020 году

Пошаговая инструкция

Таким образом, для того, чтобы осуществить перевод конфиденциальных сведений в другую страну необходимо:

Как обеспечить безопасность?

Для надежной отправки данных необходимо провести защиту каналов передачи персональной информации. Если же эта операция производится через Интернет или через другие незащищённые каналы, то рекомендуется использовать средства шифрования.

ВНИМАНИЕ. Обычно не требуется регистрация в Роскомнадзоре или одобрение письменного согласия для трансграничной передачи. Согласие должно быть просто подписано соответствующим субъектом. Однако необходимо уведомить Роскомнадзор о трансграничной передаче персональных данных.

  1. Согласие того, чьи данные передаются.
  2. Договор с принимающей стороной.
  3. Письменное уведомление Роскомнадзора.

Если же об использовании конфиденциальных сведений не будет сообщено в Роскомнадзор, то это будет считаться незаконным переводом информации в другую страну. Это является нарушением статьи 19.

7 Административного Законодательства РФ, что соответствует наказанию в размере 5 тысяч рублей.

Если уведомление Роскомнадзора будут совершено после того, как персональные будут обработаны, то это будет таким же правонарушением.

Оформление согласия

Правила заполнения этого документа описаны в Федеральном Законе № 152. Его содержание является достаточно произвольным, однако нужно помнить о необходимых элементах заявления:

  1. Фамилия, имя, отчество субъекта, его адрес и серия, номер паспорта или иного документа, удостоверяющее личность гражданина.
  2. Фамилия, имя, отчество лица или название организации, которое, предполагается, будет выполнять обработку.
  3. Цели, для которых выполняется выяснение персональных данных.
  4. Список сведений, которые будут обработаны.
  5. Информация об организации, которая будет совершать дальнейшие операции с данными.
  6. Описание того, какие действия будут происходить с данными.
  7. Срок, в течение которого действует согласие субъекта.
  8. Подпись лица, выполненная лично.

Также в части 1 статье 9 Закона № 152 описаны критерии, которым должен соответствовать документ о согласии. Главными же из них являются добровольное заполнение заявление и присутствие необходимых элементов в нём.

Заявление необходимо предоставить строго в письменной форме, но возможно это сделать и через Интернет.

Общепринятой же формы заполнения не существует, поэтому придется сделать это самостоятельно или при помощи соответствующих служб.

В заключение можно сказать, что законодательство в сфере защиты персональных данных само по себе является в существенном усовершенствование, так как это довольно молодая сфера.

Осуществление передачи персональных данных трансграничным способом и перевод подобных данных в другую страну является ещё более сложным явлением, так как зачастую необходимо учитывать законы несколько государств и международных организаций.

  • Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас: 
  • +7 (800) 350-22-67Это быстро и бесплатно!

Источник: https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/peredacha/transgranichnaya.html

Трансграничная передача персональных данных — в 2020 году

Стремительное развитие сети Интернет и эффект глобализации подразумевает нивелирование территориальных ограничений между государствами, что способствует формированию оптимальных условий для осуществления международной коммерческой деятельности.

Несмотря на довольно сложную внешнеполитическую обстановку в отношении России, число российских организаций, заключивших различные соглашения с иностранными резидентами, с каждым годом лишь возрастает.

Постепенное стирание границ между государствами делает очевидной необходимость в создании единого законодательства для всего мира. Однако значительно затрудняет процесс объединения нормативно-правовые системы государств – каждое Правительство по-своему формирует регламент для той или иной процедуры.

В некоторых случаях правила проведения какого-либо процесса в соответствии с критериями одного субъекта, приобретают совершенно противоположный оттенок для этой же операции за границей.

Однако все же деятельность по выделению общих положений ведется – в отдельных ситуациях очень медленно, но все же она есть. Стоит рассмотреть так называемую трансграничную передачу персональных данных, в которую активно вмешивается государство, подкрепляя это тем, что нерегулируемая процедура может стать причиной снижения уровня безопасности для всей России.

Трансграничная передача персональных данных – это процесс передачи сведений личного характера, в ходе которого оператор переправляет их через государственную границу Российской Федерации.

Адресатом в данном случае может вступать:

  • какая-либо властная структура иной страны;
  • физическое лицо, имеющее другое гражданство;
  • юридическое лицо, ведущее свою деятельность на территории чужого государства.

Необходимость в обеспечении передачи информации через границу стало актуальным после того, как началось объединение Европы. Для проведения таких операций нужно было создать законодательство, регламентирующее порядок реализации и возможные проблемы.

На данный момент в российском законодательстве отсутствуют строгие условия обмена информацией с иностранными резидентами.

Ранее использовался лишь закон о коммуникациях № 152-ФЗ. Однако в 2014 году был разработан и утвержден еще один закон № 242-ФЗ. В дальнейшем, с некоторыми корректировками, он вступил в юридическую силу в начале 2015 года и остается актуальным по сей день.

В законе № 152-ФЗ определены запреты, которые распространяются на трансграничную передачу данных. Ограничения действуют в целях обеспечения конституционных положений, нравственности, прав граждан и для поддержания обороноспособности страны.

В то же время в данном законе отсутствуют какие-либо иные правила. В частности, в нем не отражены условия, при которых государствам, реализующим механизмы защиты личной информации, могла бы ограничиваться передача. В качестве таких стран выступают члены конвенции ETS № 108, а также иные, утвержденные Роскомнадзором в приказе № 274.

При этом в ФЗ № 152 установлены ситуации, когда заинтересованным лицом может производиться направление персональных данных даже при отсутствии достаточной защиты:

  • если предоставление информации является необходимым для обеспечения защиты конституции, прав и интересов общества и личности, поддержания обороноспособности страны и исключения незаконного вмешательства в данные направления;
  • когда выполняются положения договора, одна из сторон которого является носителем сведений;
  • когда возникла необходимость в обеспечении защиты здоровья, жизни и интересов гражданина, а также иных участников процесса при невозможности приобрести разрешение первого;
  • в случаях, указанные в международных соглашениях;
  • при получении согласия на обработку данных от субъекта.

Учитывая достаточную «молодость» законодательства в сфере коммуникаций, возможно возникновение неадекватных указаний.

Правила трансграничной передачи

Трансграничная передача может быть осуществлена лишь при выполнении установленных правил. В частности, перед тем, как начать процесс обработки персональной информации, оператор должен подтвердить, что принимающая сторона проводит политику защиту личных данных при реализации процедуры.

Также важно, что действия отправителя не должны противоречить положениям, установленным законом № 152-ФЗ. В противном случае передача может быть либо ограничена, либо полностью запрещена (не распространяется на рассмотренные выше случаи).

Если рассматривать правила передачи в обычном режиме, то считается достаточным выстроить достойный уровень защиты сведений.

Чтобы сделать это, считается необходимым разработать следующую документацию:

  • общие положения фирмы, куда входит ее организационная структура, перечень государств, с которыми будет производиться передача сведений, цели процесса с моментами об обработке информации за границей;
  • правовые обоснования;
  • подробное описание объекта;
  • конкретизация характеристик данных через уточнение категории пересылаемых данных, категории субъектов ПДн, методики обработки информации;
  • регламент обеспечения и поддержания безопасности в процессе взаимного обмена вместе с описанием стандартов пересылки, протоколов и каналов передачи;
  • описание мероприятий и средств, суть которых заключается в установлении достойного уровня защиты;
  • правовая регламентация трансграничной передачи в стране, принимающей сведения.

Также допускается разработка и внедрение иных положений, если была установлена необходимость в выделении дополнительного регламента.

Какие нужно предпринять действия

Просто так совершить трансграничную передачу не допускается законодательством страны.

Так, отправитель должен предпринять следующие действия:

  1. Сообщить в Роскомнадзор о необходимости реализации данной процедуры, заполнив при этом уведомление о согласии на обработку персональных сведений и отразив государства, куда будет направлена информация.
  2. Донести до субъекта ПДн до того, как будет активирована обработка его данных, о проведении трансграничной передачи. Данный момент должен быть указан в одном из документов, с которым субъект может ознакомиться перед передачей сведений (в качестве носителя могут выступать Политика в отношении обработки ПДн или договор между участниками процессе).
  3. В нормативных бумагах оператора прописать:
    • обоснование необходимости трансграничной передачи в соответствии с действующим законодательством;
    • порядок поддержания механизма безопасности обмена ПДн;
    • регламент мероприятий, направленных на обеспечение защиты ПДн. Это же относится к технически средствам и инструментам криптографии.
  4. Оформить соглашение с фирмой, информация о которой передается, где указать:
    • список действий, которые будут проведены с данными;
    • конечная цель деятельности;
    • обязанность обработчика соответствовать требованием по обеспечению конфиденциальности и безопасности при совершении действий с ПДн;
    • критерии по защите ПДн. Важно: фирма, в которую направляется информация для проведения обработки будет выстраивать свою деятельность в соответствии с законодательством государства пребывания.
  5. Обеспечить защиту канала передачи сведений. Для этого является необходимым использовать эффективные средства шифрования. Допускается применение несертифицированных механизмов криптографии, в связи с:
    • положениями Конвенции ETS № 108 (статья 12.2), которые исключают возникновение ограничений и создание контрольных мер над информационными потоками ПДн, если они передаются между государствами – обусловлено это в первую очередь потребностью в защите неприкосновенности личных сведений;
    • наличием запретов на вывоз с территории Российской Федерации средств, имеющих в своей структуре средства шифрования;
    • нюансами законодательства того государства, куда происходит ввоз криптографических инструментов и где выдается разрешения соответствующих органов на ввоз подобного оборудования.

Не каждый гражданин без подготовки может совершить весь порядок действий и не допустить ошибку.

Как обеспечить безопасность

В целях обеспечения надежной передачи данных из одного государства в другое, важно реализовать ряд мероприятий, направленных на защиту каналов отправки персональных сведений.

Если данная операция осуществляется через Интернет, телефонные сети и иные незащищенные каналы, то является обязательным использовать специальные средства шифрования.

На данный момент существует множество методик, способных поддерживать защиту информации на виртуальных ресурсах. Однако в каждом случае все равно существует вероятность взлома механизмов и получения доступа к файлам. Поэтому не рекомендуется экономить на программном обеспечении, поддерживающим безопасность пересылки.

Ответственность за нарушения

Если перед тем как будет осуществлена трансграничная передача персональных данных, своевременно не уведомить Роскомнадзор, то данное бездействие будет носить характер незаконного деяния.

Такое правонарушение попадает под ст. 19.6 Административного кодекса Российской Федерации. Виновный привлекается к ответственности и уплате штрафа в размере 5 тысяч рублей.

Следует уточнить, что направление сообщения в Роскомнадзор после совершения операции также приравнивается к несоблюдению установленного регламента.

Внимание!

  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов. Базовая информация не гарантирует решение именно Ваших проблем.

Поэтому для вас круглосуточно работают БЕСПЛАТНЫЕ эксперты-консультанты!

ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.

Источник: https://jurjur24.ru/transgranichnaja-peredacha-personalnyh-dannyh/

Ссылка на основную публикацию