Трансграничная передача персональных данных это: правила передачи данных и возможные ограничения

Трансграничная передача персональных данных – это весьма непростая процедура, в которой участвуют два государства в целях пересылки определенной информации гражданина одной из стран. Несмотря на то, что в России на федеральном уровне существует несколько законов, оговаривающих принципы проведения трансграничной передачи данных, на практике этот процесс сталкивается с неизбежными трудностями. Основной проблемой является обеспечение полной защиты передаваемых сведений, от которой может зависеть не только благополучие субъекта ТППД, но и всего государства, от которого исходит сообщение. О том, как происходит трансграничная передача персональных данных и какие ограничения она предполагает рассказываем далее.

Трансграничная передача персональных данных

Что такое трансграничная передача данных

Под трансграничной передачей персональных данных (далее по тексту ТППД) подразумевается процесс пересылки определенной информации за пределы Российской Федерации в одно из иностранных государств. Пересылка осуществляется операторами и предназначается органам власти, физлицу или юрлицу соответствующей страны.

Наиболее полную информацию о ТППД можно подчерпнуть из третьей статьи ФЗ, посвященной персональным данным и способам их существования в информационном пространстве. Также ТППД затрагивается и сто пятьдесят вторым ФЗ, в котором содержится еще одно определение данного явления.

3 статья ФЗ О персональных данных

Ограничения

Государство имеет право наложить запрет на передачу ПД через границу страны в тех случаях, когда утечка данных будет грозить следующими опасными последствиями:

нарушения опорных пунктов Конституции;
посягательства на нравственность;
возможный ущерб здоровью граждан;
ущемление прав, а также законных интересов жителей России;
угроза безопасности страны;
невозможность осуществить полноценную оборону.

Передача персональных данных через государственные границы сопряжена с рядом опасностей

Во всех прочих ситуациях законодательством не предусматриваются никакие запреты на пересылки ПД. При этом пересылка эта может адресоваться только тем странам, которые способны обеспечить защиту прав граждан РФ. К безопасным в отношении передачи данных странам являются те государства, которые считаются сторонами Конвенции или же государства, указанные в специальном перечне, составленном с помощью Роскомнадзора.

Передача данных небезопасным странам

Если же говорить о странах, на которые требования Конвенции не распространяются, то они также могут участвовать в ТППД. Однако для того, чтобы осуществить передачу сведений стране, которая не гарантирует безопасность участникам ТППД, потребуется учесть несколько обязательных пунктов:

для осуществления передачи данных понадобится согласие от участника ТППД на то, чтобы информация о нем была передана соответствующей стране;
передача данных должна быть предусмотрена международным договором Российской Федерации;
передача данных предусматривается ФЗ России в ряде случаев, при которых от пересылки информации зависит сохранение конституционного строя, обеспечение личных интересов граждан, сохранение безопасности в стране и так далее;
передача данных оговаривается договором, который был заключен с участником ТППД;
от передачи данных зависит благополучие того, кому эта информация принадлежит (в таких ситуациях от субъекта ТППД даже не требуется получение письменного согласие на пересылку сведений).

При передаче данных в небезопасную страну потребуется предварительное заключение договора

Из всех вышеуказанных пунктов можно сделать вывод о том, что ТППД возможна и при участии стран, не гарантирующих безопасность субъекту передачи данных. Для этого потребуется наличие предварительной договоренности или задокументированного согласия лица, чья сведения будут переданы.

Для стран, гарантирующих субъекту ТППД защиту его прав, подобные соглашения не требуются. Однако в целях безопасности оператор, отвечающих за пересылку сведений должен заблаговременно сообщить субъекту ПД о том, что его данные будут переданы за пределы РФ. При оповещении субъекта учитываются три опорных пункта:

цели, которые планируется достигнуть путем передачи персональных данных субъекта;
объем и характер информации, которую собирается отправить оператор;
получатели персональных данных.

При передаче персональных данных лица, само это лицо должно быть в обязательном порядке оповещено о процедуре

Порядок трансграничной передачи данных

Трансграничная отправка данных является непростой процедурой, предполагающей целый ряд формальных действий, обязательных к исполнению. Для того, чтобы она была осуществлена на законных основаниях, требуются определенные условия.

Таблица 1. Трансграничная передача данных поэтапно

Этап	Описание
Уведомление Роскомнадзора	Перед отправкой информации в Роскомнадзор отправляется уведомление
Информирование субъекта ТППД	Субъект должен быть осведомлен в том зачем пересылаются его данное и каков их объем
Составление оператором нормативных документов	В нормативных документах должна подтверждаться законность проводимой процедуры со ссылкой на соответствующие законы
Заключение договора с организацией-получателем исходных данных	С посредником оговариваются способы передачи данных и степень их защищенности
Обеспечение должной защиты канала	Канал, по которому произойдет отправка информации, обязан быть зашифрованным

О каждом из упомянутых условий мы и поговорим в данном разделе.

Уведомление Роскомнадзора

Роскомнадзор должен быть первой инстанцией, которая будет поставлена в известность о планирующейся трансграничной передаче данных. Для того, чтобы проинформировать Роскомнадзор потребуется:

направить уведомление, касающееся обработки ПД гражданина РФ;
перечислить страны, которые примут данное сообщение.

Роскомнадзор должен быть оповещен о предстоящей передаче персональных данных за пределы РФ

Информирование субъекта ТППД

Как уже говорилось, субъект ТППД должен быть оповещен о планирующейся операции еще до того, как она произойдет. Эта информация должна быть зафиксирована в следующих документах:

политика в отношении обработки персональных данных;
договор, заключенный с субъектом ТППД;
любой иной документ, который ставит своей целью донесение до субъекта ТППД планирующейся операции.

В договоре, который адресуется обладателю персональных данных указываются цели трансграничной передачи

Составление нормативных документов

Внутренние нормативные документы, составляемые оператором, осуществляющим передачу данных, должны включать в себя следующие детали:

правовую основу, позволяющую проводить ТППД. Под правовой основной подразумевается список конкретных правовых документов, придающих пересылке сведений законный статус;
регламент, который обеспечивает безопасный обмен персональными данными;
оглашение списка планируемых мер и способов сохранения персональных данных под защитой (к таким средствам защиты относятся всевозможные средства, обеспечивающие криптографическую защиту данных).

О том, что такое криптографическая защита информации и какие методы она применяет можно прочесть ниже.

Криптографические методы защиты данных

Заключение договора с посредником

Договор с посредником, отвечающим за передачу персональных данных, в обязательном порядке состоит из таких пунктов, как:

список манипуляций, которые будут осуществляться компанией-посредником с персональными данными;
цели, в которых будет осуществляться обработка данных;
обязательства компании-посредника перед Россией и самим субъектом ТППД, заключающиеся в соблюдении принципов конфиденциальности и предоставления полной безопасности субъекту;
требования защищенности персональных данных, подлежащих обработке. Сама компания-посредник при осуществлении данной процедуры основывается на законодательных нормах, принятых в стране ее расположения.

Компания-посредник должна обеспечить полную безопасность передаваемых данных в силу своих возможностей

Защита канала

Под защитой канала понимается предотвращение всех случайных или злонамеренных попыток получить доступ к охраняемой информации. Особого внимания требует передача данных, осуществляющаяся посредством интернета – в таких ситуациях операторы обязаны использовать специальные способы шифровки сведений.

Иногда допускается практикование средств криптографической защиты, не прошедших необходимую по закону сертификацию ввиду:

требований, изложенные в Конвенции ETS номер 108, которая налагает запрет на создание ограничений и контролирование циркуляции персональных данных, направляющихся в другие страны, руководствуясь соображениями защиты личной сферы субъекта ТППД;
присутствия лимитов на вывоз оборудования, в составе которых наличествуют способы шифрования с российских территорий;
нюансов законодательных норм иностранных государств, которые выступают получателями криптографического оборудования, а также согласование данного вопроса со службами страны, в которую перевозится соответствующее оборудование.

Конвенция 108 EST оговаривает особенности охраны персональных данных

Нововведения

Отдельного внимания заслуживают изменения, которые были внесены Федеральным законом 242 пятилетней давности, дополняющий 152 закон. 242 ФЗ, прежде всего, специализируется на области информационно-коммуникационных сетей, в связи с чем добавляет к уже существующему закону важный пункт. Дополнение это заключается в том, что отныне на операторов возлагаются следующие задачи:

запись персональных данных;
систематизация;
накопление;
сохранение;
обновление или внесение изменений по мере необходимости.

Также данный закон предусматривает получение ПД россиян при помощи баз данных, располагающихся на территории данной страны.

242 ФЗ Статья 1

Несмотря на то, что 152 закону удается прояснить некоторые детали, в свое время он породил бурные обсуждения, после которых многие вопросы остаются без ответа и по сей день. Среди таких дискуссионных моментов значатся следующие:

каково будущее трансграничной передачи персональных данных в контексте новых законов? Запрет, налагаемый на хранение персональных данных всех жителей Российской Федерации, предполагает запрет на саму ТППД, что приводит к сложному выбору;
как оператор сможет понять, что те или иные персональные данные закреплены за россиянином;
смогут ли найти «общий язык» 152 закон и Конвенция ETS номер 108? Учитывая взаимоисключающие положения, поиск общих оснований будет даваться нелегко;
каким образом регуляторы собираются определять физическое местонахождение персональных данных граждан России;
какое влияние принятый закон будет оказывать на иностранные фирмы, специализирующиеся на обработке персональных данных при опоре на законодательство своей страны и на вышеупомянутую Конвенцию.

На данный момент продолжаются активные обсуждения вопроса о том, как обеспечить безопасную трансграничную передачу данных

В связи с всеобщим недовольством 242 статьей, члены Государственной Думы уже рассматривали возможные поправки и законопроекты, которые смогли бы внести ясность в сложившуюся противоречивую ситуацию. Однако на данный момент у властей нет исчерпывающих ответов на вопрос о том, каким образом будут хранится и подвергаться обработке персональные данные россиян.

Весьма закономерно, что упомянутые сложности поведут за собой неизбежное увеличение издержек для операторов, чьи базы данных находятся за пределами России. Стараясь усилить охрану персональных данных россиян, законодатели тем самым неизбежно сужают возможности ее использования и передачи. В связи с этим многие специалисты советуют операторам переносить свои базы данных на территорию России.

Трансграничная передача персональных данных это: определение понятия и его правовая основа