Что такое трансграничная передача персональных данных? Происходит ли она при использовании облачных сервисов Google Диск, Яндекс.Диск, почтовых сервисов? Рассмотрим эти и другие вопросы, ответы на которые следует знать юристу при работе с персональными данными.
Содержание:
Определение трансграничной передачи персональных данных закреплено в ст. 1 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон). Трансграничная передача — это передача персональных данных на территорию иностранного государства (абз. 14 ст. 1 Закона).
Уточнения определения трансграничной передачи в Законе отсутствуют. Более того, в нем не раскрыто содержание понятия «передача» как такового. При этом понятие «обработка персональных данных», закрепленное в абз. 6 ст. 1 Закона и охватывающее сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных, напрямую не включает в себя термины «передача» или «трансграничная передача». В результате не всегда понятно, как соотносятся трансграничная передача и требования законодательства о защите персональных данных.
Действия, направленные на ознакомление с персональными данными определенных лица или круга лиц, являются предоставлением персональных данных (абз. 10 ст. 1 Закона). При трансграничной передаче оператору известно лицо, получающее данные. Исходя из актов Национального центра защиты персональных данных (далее — НЦЗПД) получателями персональных данных могут быть находящиеся на территории иностранного государства международная организация, государственный орган, юридическое лицо, иная организация или физическое лицо, которым предоставляются персональные данные.
Справочно.
Понятие получателя персональных данных приведено в абз. 3 п. 2 Положения о порядке выдачи разрешения на трансграничную передачу персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, утвержденного приказом НЦЗПД от 15.11.2021 № 14.
Как следствие, системное толкование приведенных норм позволяет утверждать, что трансграничная передача представляет собой предоставление персональных данных какому-либо лицу, находящемуся за пределами территории Республики Беларусь, и может охватываться понятием «обработка персональных данных», в том числе с учетом того, что согласно абз. 6 ст. 1 Закона обработка охватывает любые действия с персональными данными без ограничений.
На практике операторы зачастую ошибочно считают, что регулирование трансграничной передачи персональных данных не касается их деятельности, так как они физически не перемещают какие-либо носители информации (например, диск с базой данных клиентов) за рубеж. Однако действующее регулирование распространяется на передачу персональных данных независимо от способа ее осуществления. В качестве примера можно привести передачу сведений о клиентах в глобальную корпоративную сеть, перенос сведений о клиентах или базы данных работников на Google Диск или в иное иностранное облачное хранилище.
Справочно.
В договор с уполномоченным лицом необходимо включить дополнительные положения, касающиеся защиты персональных данных в соответствии с п. 1 ст. 7 Закона.
Обращаем внимание, что Закон регулирует только те случаи трансграничного перемещения данных, когда белорусский оператор или уполномоченное лицо передают за рубеж данные, которые были ими собраны от субъектов персональных данных, находящихся в Республике Беларусь.
Так, по смыслу Закона трансграничная передача не охватывает ситуации, когда физическое лицо само направляет свои данные за рубеж, например, предоставляет информацию о себе с использованием Google Форм или иного зарубежного сервиса.
За рамками регулирования Закона остаются также ситуации сбора данных в зарубежной юрисдикции белорусским оператором или уполномоченным лицом. Исходя из буквального толкования термина «трансграничная передача» указанные субъекты до начала передачи данных за границу сперва должны осуществить их сбор на территории Республики Беларусь.
Квалифицирующим признаком для определения передачи в качестве трансграничной является именно территория иностранного государства. Таким образом, если оператор или уполномоченное лицо помещает персональные данные в хранилище типа Google Диск, Яндекс.Диск, использует иные сервисы, например почтовые, серверы которых находятся на территории иностранных государств, то в таком случае можно усмотреть осуществление трансграничной передачи.
Для квалификации передачи персональных данных в качестве трансграничной неважно, кому передаются данные. Главное, чтобы получающее их лицо находилось на территории иностранного государства.
Так, например, если персональные данные передаются в адрес иностранной организации от ее белорусского представительства, такое перемещение также является трансграничной передачей. Если у белорусской компании имеется уполномоченное лицо, находящееся за рубежом, например, в случае оказания услуг иностранными аудиторскими, бухгалтерскими или иными консалтинговыми компаниями, предоставление персональных данных таким лицам также будет считаться их трансграничной передачей.
В случае с облачными сервисами следует помнить, что виртуальное место для хранения данных, предоставленное компании или человеку как конечному пользователю, является физически существующим сервером компании, предоставляющей услуги такого облачного сервиса. Зачастую такие компании — иностранные, а серверы могут располагаться на территории одного или ряда зарубежных государств.
Частота или периодичность зарубежных «транзакций» с персональными данными также не влияют на квалификацию передачи в качестве трансграничной. Оператор может на постоянной основе хранить данные на серверах, находящихся в иностранном государстве и принадлежащих головной компании, может периодически использовать услуги иностранной компании по предоставлению места для хранения данных; а может разово отправить за рубеж данные работника для организации командировки — все эти случаи представляют собой трансграничную передачу.
Резюме
При оценке возможности использования иностранных сервисов (облачных, почтовых и пр.) необходимо:
1) проверить, будет ли осуществляться передача данных из Республики Беларусь оператором (то есть были ли собраны данные от физических лиц);
2) получить информацию о том, в каких странах размещаются серверы;
3) соблюдать иные применимые требования законодательства о защите информации.
От редакции: Подробнее о том, какие требования установлены законодательством для осуществления передачи персональных данных за границу, читайте в следующем номере журнала.
Дополнительно по теме:
>>Жавнерчик В. Аттестация информационных систем, обрабатывающих персональные данные
>>Городник М. Обработка персональных данных в организации: практические ситуации
Заключение трудового договора
Труд отдельных категорий работников
Трудовые книжки
Изменение трудового договора
Рабочее время
Дисциплинарная и материальная ответственность
Оплата труда
Прекращение трудового договора
Трудовые и социальные отпуска
Трудовые отношения
Гарантии и компенсации
Надзор и контроль за соблюдением законодательства о труде
СервисыПерсональные данныеТрудовые спорыПсихология управленияКомментарии и разъяснения госоргановВидеоОхрана трудаВоинский учетОтчетностьКадровое делопроизводство
