Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Трансграничная передача персональных данных

Трансграничная передача персональных данных

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Трансграничная передача персональных данных

На сегодняшний день много вопросов у специалистов по информационной безопасности вызывает трансграничная передача персональных данных.

Для начала определимся с понятиями. Трансграничная передача персональных данных — это передача персональных данных оператором через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

Вообще вопрос трансграничной передачи данных возник, когда начался процесс объединения Европы. Необходимо было, во-первых, унифицировать единое законодательство, а во-вторых, перевести трансграничную передачу в узаконенные рамки. Так была создана Конвенция, но вопрос о том, как государство сможет защитить персональные данные своего гражданина после того, как они оказываются за территорией страны, - остался открытым. Гражданин имеет право отстоять свои интересы в своей собственной стране, но если нарушение его прав произошло за ее пределами, обеспечить полноценную защиту своих интересов для него было практически невозможно.

Как же должна осуществляться трансграничная передача данных, какие документы необходимо получить от субъекта персональных данных? Какая ответственность предусмотрена для операторов за осуществление незаконной трансграничной передачи персональных данных?

На данный момент законодательно закреплена только «общая» ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (статья 13.11 Кодекса об административных правонарушениях Российской Федерации).

По информации Уполномоченного органа по защите прав субъектов персональных данных, в настоящее время в Государственной Думе на рассмотрении во втором и третьем чтении находится законопроект «О внесении изменений в некоторые законодательные акты Российской Федерации», в том числе в Кодекс об административных правонарушениях Российской Федерации. Среди таких изменений — дополнение его статьей, предусматривающей ответственность за нарушение законом порядка сбора, хранения, использования или распространения персональных данных». По всей видимости, внесение дополнений было продиктовано неоднозначностью толкования российского законодательства и разнородностью нормативно-правовой базы тех стран, на территорию которых передаются персональные данные.

Федеральный закон № 152 от 27.07.2006 г. «О персональных данных», принятый в соответствии с международным законодательством, гласит:

«…Статья 12. Трансграничная передача персональных данных.

  1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
  2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
  3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
    1. наличия согласия в письменной форме субъекта персональных данных;
    2. предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
    3. предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
    4. исполнения договора, стороной которого является субъект персональных данных;
    5. защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных…»

Приведенные в законодательстве исключения вопросов не вызывают, они вполне обоснованы, поэтому попробуем проанализировать действия оператора ПДн по трансграничной передаче ПДн при отсутствии таких обстоятельств. Тем более, что основные споры по поводу трансграничной передачи данных возникают в результате вопросов, связанных с различием законодательств стран и передачи данных без вышеперечисленных обязательств.

По мнению экспертов компании ReignVox, обеспечение защиты ПДн при их трансграничной передаче является составной частью работ по комплексной защите персональных данных на предприятии. Для обоснования адекватности защиты ПДн при передаче данных в за-рубежный филиал компании необходима реализация ряда мероприятий, включая разработку документа (или нескольких документов), который отражает следующие основные моменты:

  • Общие положения (организационная структура компании; страна (страны), в которую передаются ПДн; цель передачи и обработки ПДн за границей);
  • Правовое обоснование трансграничной передачи персональных данных (перечень нормативно – правовых документов, на основании которых осуществляется передача и обработка ПДн);
  • Описание объекта защиты;
  • Характеристики передаваемых ПДн (категории ПДн, передаваемых за границу; категории субъектов ПДн; способы обработки ПДн (автоматизированная, неавтоматизированная, смешанная обработка));
  • Регламент обеспечения безопасного информационного обмена персональными данными с зарубежными филиалами (представительствами) (описание ИСПДн из которой (которых) передаются ПДн; описание ИСПДн, куда передаются ПДн; каналы передачи данных; стандарты и протоколы передачи данных и т.д.); Описание мероприятий и средств обеспечения защиты передаваемых ПДн (организационные мероприятия; технические средства защиты информации, в том числе средства криптографической защиты информации);
  • Состав законодательства иностранного государства, отражающего вопросы защиты ПДн;
  • Заключительные положения (зарубежный филиал обязуется соблюдать законодательство по обработке ПДн страны, в которой он находится; обязуется обеспечить соответствующую защиту полученных и обрабатываемых ПДн; подписи ответственных лиц головной организации и зарубежного филиала под вышеперечисленными положениями).

Преимущества такого подхода в том, что он позволяет минимизировать риски реализации угроз персональных данных при их трансграничной передаче, повысить ответственность должностных лиц за соблюдение установленных норм информационной безопасности.

Статья предоставлена компанией ReignVox

Опубликовано: Сайт ITSec.Ru-2009

Приобрести этот номер или подписаться

Статьи про теме

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"