Может ли оператор осуществлять трансграничную передачу. Панацея: трансграничная передача персональных данных

Сегодня с распространением Интернета территориальных ограничений для ведения бизнеса с каждым днем становится все меньше и меньше. Число компаний, обращающихся за различного рода услугами к иностранным контрагентам растет, а российский клиент на глобальном рынке становится все более интересным. С распространением облачных технологий возросло число компаний, размещающих данные на зарубежных серверах.

Несмотря на все преимущества отсутствия территориальных рамок, неизбежно возникают вопросы выбора юрисдикции и права для разрешения вопросов, связанных с отношениями контрагентов из разных стран.

Особенно остро эта проблема возникает при рассмотрении вопроса передачи персональных данных между российскими и зарубежными партнерами.

Трансграничная передача

Напомним, что в соответствии с законодательством оператором признается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

При этом под обработкой понимается любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В соответствии со ст. 12 Федерального закона №152-ФЗ "О персональных данных" от 27.07.2006 оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления трансграничной передачи персональных данных.

Что означает "адекватная защита"?

Закон не содержит ни перечня мер, подпадающих под адекватную защиту, ни методов определения адекватности.

В п. 1 ст. 12 закона указывается, что иностранные государства, ратифицировавшие , точно обеспечивают так называемую адекватную защиту.

В настоящий момент в число стран, подписавших и ратифицировавших указанную конвенцию, входят: Австрия, Андорра, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Израиль, Ирландия, Исландия, Испания, Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Украина, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония.

Как же быть с остальными странами? Закон говорит, что государство, не являющееся стороной конвенции Совета Европы, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соответствия положениям указанной конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности ПДн. Обязанность контроля адекватных мер, применяемых к защите персональных данных, лежит на операторе, который должен изучить законодательство с требованиями, предъявляемыми к защите ПДн, и при отсутствии четких критериев еще и принять самостоятельно решение о том, есть или нет адекватная защита. Согласитесь, подход достаточно субъективный, а ведь оператор, помимо этого, является еще и лицом, заинтересованным в трансграничной передаче. Согласно той же ст. 12 уполномоченный орган (в настоящий момент таким органом является Роскомнадзор) по защите прав субъектов персональных данных утверждает перечень иностранных государств, не являющихся сторонами конвенции, но обеспечивающими адекватную защиту. На сайте Роскомнадзора опубликован проект приказа, в соответствии с которым к таким странам будут отнесены: Австралия, Аргентина, Израиль, Канада, Марокко, Малайзия, Мексика, Монголия, Новая Зеландия, Ангола, Бенин, Кабо-Верде, Республика Корея, Перу, Сенегал, Тунис, Чили, Специальный административный район Гонконг Китайской Народной Республики, Швейцария. При этом, согласно проекту, актуализацию перечня предполагается осуществлять не реже одного раза в год.

Передача персональных данных в страны, не обеспечивающие адекватную защиту, возможна в следующих случаях (перечень исчерпывающий):

Ответственность за нарушение правил трансграничной передачи

На данный момент законодательно закреплена только "общая" ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных, которая влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей (ст. 13.11 Кодекса об административных правонарушениях Российской Федерации).

Трансграничная передача ПДн – это передача ПДн оператором через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

По всей видимости, в ближайшем будущем дополнения в ФЗ "О персональных данных" еще будут – и это вызвано прежде всего неоднозначностью толкования российского законодательства и разнородностью нормативно-правовой базы тех стран, на территорию которых передаются персональные данные.

Совет операторам, осуществляющим трансграничную передачу ПДн

Несмотря на незначительность последствий, примите меры по комплексной защите ПДн – это поможет вам в спорной ситуации обосновать адекватность их защиты:

В сфере информационной безопасности актуальным явлением становится охрана персональных данных. Вместе с ростом объёмов интернет-торговли, цифровых операций и прочего возникает угроза для компаний и даже экономики целых государств. Специалисты уделяют внимание не только вопросу хранения, но и передачи.

Дорогие читатели! Статья рассказывает о типовых способах решения юридических вопросов, но каждый случай индивидуален. Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь к консультанту:

ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ .

Это быстро и БЕСПЛАТНО !

Что это такое

В данном случае имеется в виду передача любых личных данных физического лица через границу Российской Федерации иностранному получателю.

В качестве получателя могут выступать:

Сегодня сталкиваются два явления — глобализация и рост онлайн-торговли, а также опасность киберпреступлений. Стремление обеспечить безопасность приводит к затруднению общения, торговли, обмена информации. Проблемой занимаются на государственном уровне.

Персональные данные — любая информация, прямо или косвенно относящаяся к человеку. Субъектом выступает физическое лицо. По закону это понятие в сети не ограничивается чисто техническим статусом, а приобретает юридическую силу.

Под трансграничную передачу попадает любая пересылка личной информации при следующих ситуациях:

  • бронирование номеров в зарубежных отелях;
  • покупка авиа- и ж/д билетов в других странах;
  • покупка в иностранных интернет-магазинах;
  • оформление документов, разрешений, пропусков и т.д.

Подобные ситуации происходят всё чаще, потому что граждане России контактируют с иностранными компаниями, магазинами, заказывают услуги и многое другое. Как только персональные данные отправляются иностранному получателю в силу вступает закон о защите.

Какая преследуется цель

Вопрос на государственном уровне начали активно обсуждать после объединения стран Европы, создания Евросоюза и развития информационных технологий.

Перед экспертами поставлены конкретные цели:

  1. Создание универсальных правил и понятий, позволяющих сформировать законодательные акты для международного права.
  2. Определение чёткого юридического статуса и узаконивание хранения, обработки и передачи персональных данных.

После осознания необходимости и изучения вопроса была создана Конвенция, регулирующая подобные вопросы и явления, связанные с этим.

Для рядовых граждан появляются конкретные преимущества:

  • реальная возможность отстоять права и защитить личные данные даже в другой стране;
  • уверенность в сохранности и защите от третьих лиц.

Как осуществляется

Сейчас трансграничная передача персональных данных осуществляется на основе правил, сформированных Федеральным законом №152. Российская Федерация вводит собственные требования, но также учитывает международную практику.

Юристы для упрощения оперируют понятием «адекватная защита», предполагающего использование доступных возможностей для обеспечения безопасности.

Передача осуществляется следующим образом:

  • прорабатывается организационная структура и определяется перечень стран, куда отправляются данные;
  • определяются цели и особенности дальнейшей обработки;
  • оператор берёт на себя обязательства по обеспечению безопасности и следит за тем, чтобы принимающая сторона обеспечила адекватную защиту;
  • подлежащий защите объект описывается, для него формируются обоснования.
  • определяются характеристики персональных данных;
  • процесс согласовывается в соответствии с нормативными актами, принятыми в стране получателя;
  • осуществляется пересылка информации.

На данный момент имеются стандарты, позволяющие упростить и ускорить процесс, но в каждом отдельном случае требования формируются с учётом конкретной ситуации. При передаче персональных данных граждан России через границу РФ иностранному получателю операторы ориентируются на Федеральный Закон №152.

Если необходимая защита не обеспечена, то оператор может заблокировать передачу или ограничить её. Телекоммуникационная компания несёт ответственность, поэтому несоблюдение законных требований ведёт к административному наказанию.

Сегодня гораздо выгодней развивать информационную безопасность, иначе это грозит запретом на предоставление услуг или оттоком клиентов.

Передача данных через границу РФ может осуществляться без создания адекватной защиты возможно в следующих ситуациях:

  • физическое лицо, которому принадлежат персональные данные, подписал письменное согласие;
  • процесс затрагивает оформление виз (в соответствии с международными договорами);
  • обстоятельства касаются решения правовых, уголовных, семейных вопросов;
  • передача данных осуществляется на федеральному уровне и касается государственной безопасности;
  • обеспечение защиты жизни и здоровья субъекта персональных данных.

Таким образом, требуется адекватная защита или письменное согласие на осуществление трансграничной передачи данных, если это не касается более серьёзных правовых или государственных вопросов. Некоторые вопросы ставятся выше стандартных международных договоров, но это только исключение из правил.

Согласие

Уже упомянутый ФЗ №152 описывает общие требования, на основе которых создан документ для письменного согласия. Подробнее об этом рассказывается в пункте №9. Содержание регламентируется не строго, а произвольно.

Однако есть перечень пунктов, обязательных для заполнения:

  1. ФИО гражданина.
  2. Серия, номер паспорта, прописка (или иной документ, удостоверяющий личность).
  3. ФИО получателя или полное название организации, обрабатывающей данные.
  4. Цели запроса персональных данных со стороны иностранного получателя.
  5. Список данных для отправки и обработки, описание действий.
  6. Дополнительная информация об организации, берущей на себя обязательства по обработке.
  7. Срок действия письменного согласия.

На подобном документе необходимо указать число и поставить подпись субъекта. На данный момент есть возможность воспользоваться стандартным бланком или использовать тот, который предоставляет оператор.

Строгих требований по заполнению нет, за исключением обязательных пунктов. Ещё одним требованием является добровольное заполнение документа.

Договор

Договор исполняется при наличии:

  • письменного согласия на передачу, обработку и хранение персональных данных от субъекта (физического лица);
  • договора, заключённого с принимающей стороной, подтверждающего соблюдение стандартов информационной безопасности;
  • письменное уведомление Роскомнадзора.

Оператор, предоставляющий услуги пересылки, имеет на руках согласие субъекта и разрешение на осуществление деятельности. Однако в дополнении к этому следует заключить договор с принимающей стороной.

Ситуация обоснована необходимостью обеспечить защиту. При наличии договоров и официальных документов со стороны отправляющей и принимающей стороны повышает ответственность, а также создаёт базу для отстаивания интересов граждан.

Как обеспечить безопасность

Ведущие эксперты в сфере информационной безопасности заявляют о необходимости защиты непосредственно процесса трансграничной передачи получателю, располагающемуся на территории другого государства.

В этот момент требуется максимальное внимание, причём выше, чем при хранении и обработке. Все действия со стороны формируют современный комплекс.

Эффективная защита в момент передачи возможна при реализации рекомендуемых мер, соответствующие выполняемым процессам. В этом случае учитывается:

  • характеристики передаваемой информации;
  • общие положения и требуемые действия в соответствии с международным правом;
  • возможности для повышения коэффициента безопасности.

Принятие мер, направленных на повышение безопасности, возможно только с учётом специфики данных, направления передачи и других особенностей. В связи с этим оператор учитывает такие моменты.

К конкретным методам защиты относят:

  1. Защита используемых каналов передачи данных в зависимости от их особенностей.
  2. Методы шифрования при использовании только сети Интернет.
  3. Исключение посредников, занятых в промежуточной обработке.

Таким образом, всё сводится к повышению надёжности каналов. В настоящее время основным является Интернет. Отправка осуществляется через электронную почту, мессенджеры, социальные сети и т.д. При заполнении форм важно использовать каналы, защищённые надёжными протоколами шифрования.

По сложившейся практике не требуется регистрировать в Роскомнодзоре факт передачи, также как не требуется дожидаться подтверждения согласия на обработке и пересыл. Операторы без лишнего контроля должны принимать необходимые меры, чтобы обеспечить нужный уровень безопасности.

Ответственность за нарушения

Если передача данных организована с нарушениями и без уведомления Роскомнадзора, то это расценивается как незаконная отправка личной информации.

В этом случае предусмотрено административное наказание в соответствии со статьёй 19.7 АК РФ. На оператора накладывается штраф 5 000 рублей. Уведомление «задним числом» уже после отправки персональных данных расценивается аналогичным образом.

Таким образом, сегодня трансграничная передача становится актуальным явлением. Операторы должны учитывать действующее законодательство РФ и другой страны, куда отправляется информация.

Основной задачей становится защита канала передачи методами шифрования в сети или иными способами. Сами граждане должны только дать согласия на отправку и никаких иных действий от них не требуется.

В условиях развития и глобализации сети Интернет с каждым днем все меньше становится территориальных ограничений для осуществления коммерческой деятельности. Несмотря на достаточно сложную внешнеполитическую обстановку, количество отечественных предприятий, сотрудничающих с иностранными партнерами, постоянно возрастает. Отсутствие территориальных границ требует введения единых правил взаимодействия всех участников отношений. В частности, это касается процесса обмена личной информацией. Рассмотрим далее, как производится трансграничная передача персональных данных.

2016 год

В настоящее время в законодательстве отсутствуют четкие правила обмена сведениями с иностранными контрагентами. В качестве исходного нормативного акта в сфере коммуникаций выступал ФЗ № 152. Этот закон регламентирует осуществление трансграничной передачи персональных данных. Что это такое? Под данной деятельностью понимают предоставление личных сведений на территорию зарубежного государства, иностранному органу госвласти, физическому или юрлицу. В 2014 г. был принят ФЗ № 242. Он должен был вступить в силу 01.сент. 2016 г. Этим нормативным актом вносились некоторые изменения в законы в части уточнения правил обработки личной информации в информационно-коммуникационных сетях. Однако в Госдуму был внесен законопроект № 596277-6 о корректировке ст. 4 ФЗ № 242. В соответствии с этими изменениями, срок вступления в действие был перенесен на январь 2015 г. В настоящее время, таким образом, ФЗ № 242 уже действует больше года.

Ограничения

В ФЗ № 152 установлены запреты, под которые попадает трансграничная передача персональных данных. Это ограничения, связанные с обеспечением защиты конституционного строя РФ, здоровья, нравственности, интересов и прав населения, поддержания безопасности и обороноспособности государства. При этом в ФЗ № 152 не установлено никаких иных правил. В частности, отсутствуют условия, при которых странам, предоставляющими адекватную защиту личной информации, могла бы ограничиваться трансграничная передача персональных данных. Это такие государства, которые выступают в качестве участников Конвенции ETS № 108, а также внесенные в перечень, утвержденный Роскомнадзором Приказом № 274.

Исключения

В ФЗ № 152 определены случаи, когда государствам, которым, несмотря на необеспечение адекватной защиты личных сведений, может производиться трансграничная передача персональных данных. Это ситуации:


Важный момент

При наличии разрешения от субъекта ПНд, в соответствии с ФЗ №152, допускается трансграничная передача персональных данных. Это разрешение предполагает, что лицо извещено о том, что сведения, касающиеся его лично, будут предоставлены иностранному контрагенту. Необходимость получения такого документа при отправке информации в страны, предоставляющие адекватную защиту, не устанавливается в нормативном акте. Тем не менее важно, чтобы субъект был проинформирован оператором о предполагаемых действиях.

Общедоступная политика

Во избежание проблем, оператор указывает:

  1. Для чего производится трансграничная передача.
  2. Каков объем предоставляемых сведений.
  3. Лиц, которые принимают информацию.

Оператор также уведомляет Роскомнадзор о том, что будет производиться трансграничная передача персональных данных. Это осуществляется путем заполнения/внесения изменений в извещение. В уведомлении указываются страны, принимающие сведения. До начала обработки информации субъект ПНд извещается о предстоящей операции. Это положение отражается в политике, договоре либо ином документе, с которым лицо сможет ознакомиться.

Внутренние нормативные акты

В локальных документах оператор отражает:

  1. Юридическое обоснование предоставления личной информации иностранным субъектам. В частности, приводится перечень нормативных актов, на основании которых производится обработка и отправка сведений.
  2. Регламент по трансграничной передаче персональных данных.
  3. Описание мероприятий и защитных средств, в том числе технических и криптографических.

Договор

Оператор заключает соглашение с организацией, которой будет производиться трансграничная передача персональных данных, что значит принятие обработчиком обязанности соблюдать конфиденциальность информации, выполнять требования по защите сведений, обеспечивать их безопасность. В договоре также указывается перечень действий, совершаемых сторонами.

Использование средств защиты

В обязанности оператора входит выполнение ряда мероприятий для предотвращения несанкционированного доступа к личной информации в процессе работы со сведениями. При этом допускается применение несертифицированных криптографических защитных средств вследствие:


ФЗ № 242

Как выше было указано, в 2014 г. был принят закон, внесший изменения в ряд нормативных актов в части уточнения правил обработки личных сведений в информационно-телекоммуникационных сетях. ФЗ№ 242 дополняет ФЗ № 152 требованием о том, что в процессе сбора данных, в том числе, через Интернет, оператор должен обеспечивать систематизацию, запись, накопление, уточнение, хранение и извлечение их с использованием баз, расположенных на территории России. Данное предписание может не выполняться, если обработка личной информации производится для:


Как показывает практика, в настоящее время трансграничная передача информации является эффективным и удобным инструментом взаимодействия. При правильном его использовании операторы могут снизить расходы при обработке сведений в пределах России.

Трансграничная передача персональных данных осуществляется при соблюдении требований, установленных настоящим Федеральным законом
к обработке и передаче персональных данных, с учетом особенностей, установленных настоящей статьей. Трансграничная передача персональных данных может быть запрещена или ограничена нормативным правовым актом Российской Федерации: если такая трансграничная передача создает угрозу национальной безопасности Российской Федерации; при наличии явной угрозы нарушения прав субъектов персональных данных либо предоставления пониженных гарантий прав субъектов персональных данных по сравнению с гарантиями, установленными законодательством Российской Федерации, включая гарантии соблюдения конфиденциальности персональных данных. При трансграничной передаче персональных данных оператор должен убедиться в том, что в соответствии с международными договорами либо законодательством другого государства, органу власти или лицу которого передаются персональные данные, обеспечивается адекватный уровень защиты прав субъектов персональных данных. Оператор вправе передавать персональные данные органу власти или лицу другого государства, не обеспечивающего адекватный уровень защиты прав субъектов персональных данных, только при условии получения письменного согласия субъекта персональных данных на эту передачу либо в случае, если получение такого согласия физически невозможно, а передача персональных данных необходима для защиты жизни и здоровья субъекта персональных данных.
Глава 3. Права субъекта персональных данных
Статья 12. Право на доступ к персональным данным Субъект персональных данных имеет право знать о наличии у оператора относящихся к нему персональных данных, быть с ними ознакомлен, а также требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
Оператор обязан бесплатно предоставить субъекту персональных данных возможность ознакомления с его персональными данными, а также внести в них необходимые уточнения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, включенные в информационную систему персональных данных, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О произведенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных и третьих лиц, которым персональные данные этого субъекта были переданы. Информация о наличии персональных данных должна быть предоставлена субъекту персональных данных оператором в доступной форме и не должна содержать персональных данных, относящихся к другим субъектам персональных данных. Предоставление персональных данных субъекту персональных данных производится оператором на основании письменного запроса и по предъявлении документа, удостоверяющего личность субъекта персональных данных.
Информация о наличии персональных данных и сами персональные данные предоставляются субъекту персональных данных в срок, не превышающий 10 рабочих дней с даты получения оператором соответствующего запроса, если при этом не возникает необходимости запросить требуемую информацию у третьих лиц. При необходимости запросить требуемую информацию у третьих лиц срок предоставления ее субъекту персональных данных не может быть более одного месяца. Субъект персональных данных имеет право на получение по запросу следующей информации: подтверждение факта обработки персональных данных, а также цель данной обработки; способы обработки персональных данных; сведения о лицах, имеющих доступ к его персональным данным; перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных;
сведения о том, какие правовые последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных. Право доступа субъекта персональных данных к персональным данным о себе ограничивается: в отношении персональных данных, обрабатываемых в целях обороны страны, безопасности государства и охраны правопорядка, в том числе в отношении персональных данных, полученных в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности; в отношении персональных данных, обрабатываемых органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения.


[Закон РФ «О персональных данных»] [Глава 2] [Статья 12]

1. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

2. Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных. Государство, не являющееся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности персональных данных.

3. Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.

4. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1) наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;

2) предусмотренных международными договорами Российской Федерации;

3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;

4) исполнения договора, стороной которого является субъект персональных данных;

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.


1 комментарий к записи “Статья 12 Закон о Персональных Данных. Трансграничная передача персональных данных”

    Статья 12. Трансграничная передача персональных данных

    Комментарий к статье 12

    1. Законопроект определяет принципы трансграничной передачи персональных данных. Эти принципы гармонизированы с основными международно-правовыми актами в области персональных данных, что позволит обеспечить соответствующий уровень защиты персональных данных и право на неприкосновенность частной жизни при передаче персональных данных в другие государства.
    В комментируемой статье, устанавливающей принципы трансграничной передачи персональных данных, необходимо более четко определить цели и условия такой передачи. В частности, представляется уместным отдельно сформулировать основные принципы, запреты и ограничения в отношении трансграничной передачи персональных данных.
    В принципе, для субъектов персональных данных не должно быть разницы в том, осуществляются ли операции по обработке данных в одной или нескольких странах. Должны применяться одни и те же фундаментальные правила, и субъектам информации должны быть предоставлены одни и те же гарантии защиты их прав и интересов. Однако на практике защита лиц ослабевает, когда расширяются географические границы. Тенденции такого рода во многом обусловлены состоянием национальных телекоммуникационных систем и трансграничных сетей передачи данных, особенности правовой защиты конфиденциальной информации и правил работы с нею, потенциальными потерями части сведений вследствие расстояния, времени, языка.
    Учитывая эту опасность, некоторые страны предусмотрели в своем внутреннем праве специальный контроль, например в форме лицензий на экспорт. Однако такой контроль может нарушать свободу международного обмена информацией, которая составляет фундаментальный принцип и для отдельных граждан, и для наций. Следовало найти формулу, которая обеспечила бы защиту данных на международном уровне, в то же время не ущемляя этот принцип.
    2. Целью трансграничной передачи персональных данных выступает необходимость обеспечения на территории каждой из участвующих в передаче сторон уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства, и в особенности его права на неприкосновенность личной сферы; оказания друг другу взаимной правовой помощи по гражданским, уголовным и семейным делам; оказания помощи любому лицу, проживающему за рубежом, в осуществлении правомочий, предусмотренных его национальным правом.
    Законодатель декларирует, что обязательным условием осуществления трансграничной передачи персональных данных является предварительное получение оператором достоверных сведений о возможности адекватной защиты персональных данных как в момент их передачи, так и на территории принимающей стороны. При этом комментируемой статьей содержание понятия «адекватная защита» не раскрывается. В контексте рассматриваемого Закона под адекватной защитой следует понимать условия обработки персональных данных, существующие на территории принимающей стороны, по своему характеру и содержанию не отличающиеся от установленных национальным законодательством. Адекватность уровня защиты, предоставляемого страной-получателем, оценивается в свете всех обстоятельств, в которых производится операция или набор операций по передаче данных; особое внимание следует уделять природе данных, цели и продолжительности предполагаемых операций или операций по обработке данных, стране происхождения и стране окончательного назначения, действующим в соответствующей стране положениям закона, как общим, так и частным, а также профессиональным нормам и мерам безопасности, соблюдаемым в такой стране.
    Оператор должен принимать разумные и должные меры к обеспечению того, чтобы международные обмены персональными данными, в том числе их транзит через территорию каждой страны, были непрерывными и безопасными. При передаче персональных данных по трансграничной информационной сети оператор, передающий такие данные, обязан обеспечить передачу необходимыми средствами защиты, в том числе конфиденциальности (электронная цифровая подпись для подтверждения достоверности передаваемой информации, средства криптографии для сохранения конфиденциальности и т.п.). Во исполнение указанных целей предварительной проверке также подлежит и состояние сетей передачи на предмет соблюдения соответствующих технических и организационных мер к обеспечению безопасности передаваемой информации. В процессе трансграничной передачи персональных данных оператор должен учитывать возможные негативные последствия такой передачи.
    По смыслу комментируемого Закона на возможность трансграничной передачи персональных данных не влияет факт наличия между участниками информационного обмена предварительно заключенных межгосударственных соглашений и соглашений федеральных органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления с зарубежными организациями о трансграничной передаче персональных данных. Следует подчеркнуть, что наличие межгосударственных договоров как одного из условий осуществления трансграничной передачи персональных данных между ее участниками также не предусматривается и в положениях общепринятых норм международного права, осуществляющего регулирование рассматриваемой области общественных отношений. Действующие международные конвенции также предусматривают возможность свободного распространения персональных данных между государствами при условии соблюдения требований их повышенной защиты не ниже тех, которые предусмотрены национальным законодательством.
    Авторы рассматриваемого Закона устанавливают две группы оснований для наложения ограничений или установления запрета на трансграничную передачу персональных данных.
    Первая из них традиционно обусловлена целями защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. По смыслу буквального толкования пункта второго настоящей статьи существующие ограничения и запреты распространяются на случаи трансграничной передачи персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (п. 2 настоящей статьи).
    Вторую законодатель связывает с отсутствием возможностей обеспечения адекватной защиты прав субъектов персональных данных на территории принимающей стороны. При этом, гармонизируя положения комментируемого Закона с нормами международного права, разработчики допускают возможность осуществления трансграничной передачи персональных данных в такого рода случаях при соблюдении одного из следующих условий:
    1) наличия согласия в письменной форме субъекта персональных данных (см. п. 4 ст. 9 настоящего Закона и комментарий к ней);
    2) предусмотренных международными договорами РФ по вопросам выдачи виз, а также международными договорами РФ об оказании правовой помощи по гражданским, семейным и уголовным делам. В настоящее время Россия является участницей более 300 такого рода договоров и соглашений. Оказание правовой помощи в рамках действующих международных соглашений обязывает договаривающиеся стороны к выполнению процессуальных и иных действий, предусмотренных законодательством запрашиваемой стороны, в том числе: составления и пересылки документов, проведения осмотров, обысков, изъятия, передачи вещественных доказательств, проведения экспертизы, допроса сторон, третьих лиц, подозреваемых, обвиняемых, потерпевших, свидетелей, экспертов, розыска лиц, осуществления уголовного преследования, выдачи лиц для привлечения их к уголовной ответственности или приведения приговора в исполнение, признания и исполнения судебных решений по гражданским делам, приговоров в части гражданского иска, исполнительных надписей, а также путем вручения документов. В поручении об оказании правовой помощи должны быть указаны:
    а) наименование запрашиваемого учреждения;
    б) наименование запрашивающего учреждения;
    в) наименование дела, по которому запрашивается правовая помощь;
    г) имена и фамилии сторон, свидетелей, подозреваемых, обвиняемых, подсудимых, осужденных или потерпевших, их местожительство и местопребывание, гражданство, занятие, а по уголовным делам также место и дата рождения и, по возможности, фамилии и имена родителей; для юридических лиц — их наименование, юридический адрес и/или местонахождение;
    д) при наличии представителей лиц, их имена, фамилии и адреса;
    е) содержание поручения, а также другие сведения, необходимые для его исполнения;
    ж) по уголовным делам также описание и квалификация совершенного деяния и данные о размере ущерба, если он был причинен в результате деяния;
    3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя РФ, обеспечения обороны страны и безопасности государства;
    4) исполнения договора, стороной которого является субъект персональных данных (см. подп. 2 п. 2 ст. 6 настоящего Закона и комментарий к ней);
    5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных (см. подп. 3 п. 2 ст. 10 настоящего Закона и комментарий к ней).
    Перечень представленных условий является исчерпывающим, не подлежащим расширительному толкованию.

Главное
Расчёт погрешностей косвенных измерений
Расчёт погрешностей косвенных измерений
К чему снится укус кошки?
К чему снится укус кошки?
Последовательность приготовления колбасы
Последовательность приготовления колбасы
Что такое кбк в платежке
Что такое кбк в платежке
Примеры модифицированных аудиторских заключений Заключение аудиторской проверки пример
Примеры модифицированных аудиторских заключений Заключение аудиторской проверки пример