Хотите, Регфорум подберет проверенного исполнителя для решения ваших задач?

Отправка персональных данных за рубеж и соблюдение Закона «О персональных данных»

  • 8 апреля 2016 в 9:23
  • 1153
  • 5
  • 1

В последнее время участились случаи обращения со стороны компаний (в том числе с иностранным участием), использующих зарубежные CRM и ERP-системы, с просьбой разъяснить положения действующего законодательства в части соблюдения Закона «О персональных данных» при отправке персональных данных граждан Российской Федерации на зарубежные сервера.

С 01.09.2015 года в силу вступили поправки к Закону «О персональных данных», устанавливающие обязанность хранения данных граждан Российской Федерации на территории РФ.

Данная новелла в законодательстве была неоднозначно воспринята участниками рынка, поскольку многие трактуют ее как невозможность отправки и хранения корпоративной информации на зарубежных серверах.

В связи с различными подходами к использованию персональных данных за пределами РФ, в рамках настоящей статьи мы коснемся возможностей отправки персональных данных граждан за границу с учетом требований Закона «О персональных данных».

Требования Закона:

В соответствии с п. 5 ст. 18 Федерального закона о «Персональных данных» (далее «Закон о персональных данных») с 01.09.2015 года при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Фактически это означает, что в случае сбора организацией персональных данных физических лиц, являющихся гражданами РФ, указанные данные должны содержаться в базах данных, расположенных на территории РФ.

Закон, при этом, не ограничивает возможности отправки или дублирования персональных данных физических лиц путем их передачи для хранения, накопления и/или систематизации за пределами РФ при условии соблюдения требований Закона «О персональных данных» (так называя «трансграничная передача данных»).

Согласно ст. 12 Закона «О персональных данных», трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.), а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с законом.

Таким образом, по смыслу указанных норм трансграничная передача персональных данных на территорию государств, являющихся членами Совета и Европы или иных государств, перечень которых утвержден Приказом Роскомнадзора №274 от 15.03.2013 г. представляется возможной при соблюдении требований Федерального закона «О персональных данных», а именно: получение предварительного согласия субъекта персональных данных в любой, позволяющей подтвердить факт его получения форме* (п. 1 ст. 9 ФЗ «О персональных данных»).

Примечание*: Такое согласие может быть получено, в частности путем заполнения специальной формы на сайте, подписания заявления или иным другим способом.

Перечень стран, обеспечивающих адекватную защиту прав субъектов персональных данных (в ред. Приказа Роскомнадзора от 29.10.2014 N152):

  • Австралия — Австралийский союз
  • Аргентинская Республика
  • Государство Израиль
  • Канада
  • Королевство Марокко
  • Малайзия
  • Мексиканские Соединенные Штаты
  • Монголия
  • Новая Зеландия
  • Республика Ангола
  • Республика Бенин
  • Республика Кабо-Верде
  • Республика Корея
  • Республика Перу
  • Республика Сенегал
  • Тунисская Республика
  • Республика Чили

Исходя из вышеизложенного можно сделать вывод, что отправка персональных данных граждан РФ за пределы РФ возможна при условии получения согласия субъекта персональных данных на трансграничную передачу.

Таким образом, во избежание претензий со стороны контролирующих органов, следует учитывать, что отправка персональных данных граждан РФ за пределы Российской Федерации возможна при соблюдении следующих условий:

  1. Страна, на территорию которой передаются персональные данные, является стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных либо данная страна находится в Перечне, утвержденном приказом Роскомнадзора №274 от 15.03.2013 г.;
  2. До отправки персональных данных получено согласие физического лица на передачу его данных за пределы РФ.

Несоблюдение одного из вышеуказанных условий влечет невозможность законной трансграничной передачи персональных данных физического лица.

Важно отметить, что указанные выше ограничения касаются только персональных данных физических лиц и не распространяются на сведения о юридических лицах, включая данные об исполнительном органе и адресе места нахождения.

Добавить
Для того чтобы оставить комментарий или проголосовать, вам необходимо войти под своим логином или пройти несложную процедуру регистрации
Также, вы можете войти используя:

Добрый день! Как можете прокомментировать поправки в Федеральный закон "Об информации, информационных технологиях и о защите информации", вступившие в силу с 01.08.2014г. (Федеральный закон от 5 мая 2014 г. N 97-ФЗ)

"Статья 10.1. Обязанности организатора распространения информации в сети "Интернет"
...
3. Организатор распространения информации в сети "Интернет" обязан хранить на территории Российской Федерации информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков или иных электронных сообщений пользователей сети "Интернет" и информацию об этих пользователях в течение шести месяцев с момента окончания осуществления таких действий, а также предоставлять указанную информацию уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, в случаях, установленных федеральными законами."

Эти данные также должны храниться на территории РФ и это гораздо больший объем информации, чем персональные данных физ.лиц.

8 апреля 2016 в 10:131