Вы на портале
Персональные данные

Требования к трансграничной передаче персональных данных

Продолжаем разбираться в теме трансграничной передачи персональных данных. Рассмотрим порядок передачи данных за границу, а также отличия в порядке передачи данных в страны, которые обеспечивают надлежащий уровень защиты, и страны, которые не признаны таковыми Национальным центром защиты персональных данных (далее — НЦЗПД).

Шакель Надежда
Шакель Надежда

Кандидат юридических наук, доцент, доцент кафедры международного права факультета международных отношений БГУ, юрист ООО «Степановский, Папакуль и партнеры. Юридические услуги»

Кушнерова Алина
Кушнерова Алина

Магистр, юрист ООО «Степановский, Папакуль и партнеры. Юридические услуги»

5649 Shape 1 copy 6Created with Avocode.

Содержание:



Трансграничная передача персональных данных имеет специальное регулирование, устанавливающее особые основания и условия допустимости такой передачи. 

Прежде чем осуществлять трансграничную передачу, следует удостовериться в том, что персональные данные обрабатываются на законных основаниях. Далее можно переходить к оценке наличия законодательных ограничений на трансграничную передачу таких данных. 

Страны, обеспечивающие надлежащий уровень защиты

Трансграничная передача разрешена без ограничений и каких-либо условий в страны, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных. 

Приказ Национального центра защиты персональных данных от 15.11.2021 № 14 «О трансграничной передаче персональных данных» (далее — приказ № 14) устанавливает, что к таким странам относятся государства-участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в г. Страсбурге 28.01.1981 (далее — Конвенция). Сторонами Конвенции являются помимо всех государств-членов Совета Европы также и другие государства, например, Российская Федерация, Мексика, Аргентина и др.

В случае размещения персональных данных в хранилищах облачных сервисов необходимо обратить внимание на то, в каких странах они находятся. Некоторые сервисы предоставляют право выбора сервера (иногда за дополнительную оплату). Стоит выбрать сервер в пределах территории стран-участниц Конвенции, заручиться подтверждением данного факта и таким образом обеспечить возможность использования таких сервисов без ограничений по трансграничной передаче персональных данных.

Справочно.
С перечнем государств, являющихся участниками Конвенции, можно ознакомиться по короткой ссылке clck.ru/tWg8X.

Наряду с выбором сервиса с месторасположением серверов в безопасной юрисдикции может быть также рекомендован вариант использования собственного сервера, на котором будут размещаться ресурсы компании (корпоративная почта и пр.). 

Дополнительно следует также принять меры по защите персональных данных, например, удостовериться в том, что работники не сохраняют персональные данные на личные компьютеры, мобильные телефоны и съемные USB-накопители, а также не отправляют рабочие файлы (сканы, фотографии) через личную электронную почту и другие внешние адреса, в том числе с помощью мессенджеров.

Страны, не обеспечивающие надлежащий уровень защиты

Если предполагаемая страна, где находится получатель персональных данных, не является стороной Конвенции, то по общему правилу такая передача запрещена. Однако имеется ряд исключений, установленных ст. 9 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон). Приведем некоторые из них.

1. Согласие

Передача данных за рубеж может осуществляться на основании согласия субъекта персональных данных при условии, что такое лицо проинформировано о рисках, возникающих в связи с отсутствием надлежащего уровня защиты его прав (п. 1 ст. 9 Закона). Рекомендуется предоставить физическому лицу максимально полную информацию о том, для чего и кому передаются его данные. Это позволит обеспечить прозрачность обработки, которая требуется в соответствии с п. 6 ст. 4 Закона. 

Справочно.
При получении согласия на трансграничную передачу данных необходимо учитывать общие требования к согласию, установленные ст. 5 Закона.

По нашему мнению, возможно как включать в «общую» форму согласия раздел о трансграничной передаче, так и составить отдельную форму согласия для трансграничной передачи, где будет указана информация именно о планируемой передаче. 

Пример возможной формулировки:

«Я, _____________, даю согласие на обработку своих персональных данных в объеме ________ посредством трансграничной передачи для цели страхования жизни и здоровья при выезде за границу иностранной страховой организации «А», расположенной на территории Китайской Народной Республики (вариант — иностранным страховым организациям на территории _____________)». 

Кроме информации о самом факте передачи данных за рубеж, субъекта необходимо проинформировать о рисках передачи в связи с ненадлежащим уровнем защиты его прав. 

Справочно.
Законодательство не требует указания в информации, предоставляемой до получения согласия, конкретного списка лиц, которым передаются персональные данные, ссылок на их политики конфиденциальности и пр. Однако в целях обеспечения прозрачности обработки такие сведения могут указываться.

Недостаточно только указать на наличие рисков. Рекомендуется предоставить информацию о рисках в отношении каждой юрисдикции, в которую планируется передача данных, например, таким образом:

  • в иностранном государстве может отсутствовать надзорный орган по защите персональных данных; 
  • в иностранном государстве могут отсутствовать принципы и правила обработки персональных данных; 
  • в иностранном государстве не закреплены права субъекта персональных данных, например, право требовать прекращения обработки, в том числе удаления данных. 

Могут быть указаны и иные обстоятельства, свидетельствующие о низком уровне защиты прав субъектов персональных данных в иностранных государствах.

Для обеспечения прозрачности обработки положения, разъясняющие бизнес-процессы, связанные с трансграничной передачей данных, также необходимо включать в политику оператора в отношении обработки персональных данных. 

Пример:

«Мы передаем ваши данные провайдерам облачных хранилищ, рекламных сервисов, сервисов веб-аналитики, адресных рассылок (Яндекс.Метрика, Google Analytics, Google Ads), расположенных на территории иностранных государств, для улучшения работы сайта, направления вам уведомлений, коммерческих предложений, рассылок информационного, новостного и рекламного характера, связанных с продукцией». 

Если зарубежные субъекты — получатели данных (в том числе сервисы) выступают в качестве уполномоченных лиц, требуется отражать соответствующие сведения в политике обработки персональных данных и информации, предоставляемой субъекту до получения согласия (абз. 6 ч. 1 п. 5 ст. 5 Закона). 

Справочно.
Информация об уполномоченных лицах может быть представлена как в виде списка таких уполномоченных лиц с конкретными наименованиями субъектов, так и в виде перечисления категорий таких субъектов (например, сервисы рекламных рассылок).

Рекомендуется применительно к каждому используемому сервису до начала использования проверять, где находятся его сервера. Следует учитывать, что зарубежные контрагенты, в том числе поставщики услуг, могут изменять места хранения (иной обработки) персональных данных без уведомления об этом, в связи с чем представляется необходимым периодически обновлять соответствующую информацию.

2. Договор

Если персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором (абз. 3 п. 1 ст. 9 Закона), то их трансграничная передача в страны, не являющиеся сторонами Конвенции, разрешена. Следует помнить, что передача должна быть ограничена необходимым объемом данных, конкретной целью и быть направлена строго на выполнение такого договора.

3. Разрешение НЦЗПД

Можно обратиться в НЦЗПД для получения разрешения на трансграничную передачу персональных данных.

Порядок выдачи такого разрешения установлен Положением о порядке выдачи разрешения на трансграничную передачу персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, утвержденным приказом № 14 (далее — Положение).

Справочно.
Требования к содержанию заявления для получения разрешения на трансграничную передачу установлены п. 5 Положения. 

Для получения разрешения необходимо подать заявление (письменно либо в виде электронного документа) с указанием среди прочего способов защиты прав субъектов данных в случае их нарушения, а также ряд документов.

Справочно.
Перечень документов, прилагаемых к заявлению, определен в п. 4 Положения. 

Условием выдачи разрешения является обеспечение защиты прав субъектов на уровне не ниже, чем это предусмотрено законодательством Респуб­лики Беларусь.

Реестр операторов персональных данных 

Операторам следует помнить, что с 1 января 2024 г. вступает в силу приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 01.06.2022 № 94 «О государственном информационном ресурсе "Реестр операторов персональных данных"» (далее — приказ № 94). В данный реестр включаются системы, с помощью которых осуществляется в числе прочего трансграничная передача специальных персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных (абз. 2 подп. 1.1 п. 1 приказа № 94). Помимо иной информации, в реестр вносятся сведения о таких государствах.

Рекомендации
Перед тем, как принять решение о трансграничной передаче, необходимо:
— удостовериться в том, что данные обрабатываются на законных правовых основаниях;
— определить, какие данные будут передаваться, каких категорий субъектов данных, каким третьим лицам, в какие страны и для осуществления каких действий;
— оценить, не является ли перечень передаваемых данных избыточным по сравнению с целями и правовым основанием трансграничной передачи;
— выяснить, имеется ли с третьим лицом, которому передаются персональные данные, договор, в котором предусмотрены меры по их защите;
— установить, является ли иностранное государство, на территорию которого осуществляется трансграничная передача, стороной Конвенции. Если нет — определить, имеется ли правовое основание для передачи данных в страны, в которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных (согласие, договор и др.).
Вместе с тем следует учитывать, что на данный момент в Республике Беларусь только начала появляться практика применения рассмотренных норм. В этой связи более детальное уяснение вопросов возможно будет только после истечения определенного времени, накопления практики и выработки официальной позиции компетентного органа.


Дополнительно по теме:
>>Шакель Н., Кушнерова А. Понятие трансграничной передачи персональных данных

5649 Shape 1 copy 6Created with Avocode.
Последнее
по теме