Что относится к трансграничной передаче персональных данных
Статья 12. Трансграничная передача персональных данных
Статья 12. Трансграничная передача персональных данных
1. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
2. Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных. Государство, не являющееся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности персональных данных.
3. Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.
4. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
2) предусмотренных международными договорами Российской Федерации;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
Судебная практика и законодательство — 152-ФЗ О персональных данных. Статья 12. Трансграничная передача персональных данных
11. Трансграничная передача персональных данных на территории иностранных государств осуществляется в соответствии со статьей 12 Федерального закона «О персональных данных» и Указом Президента Российской Федерации от 17 марта 2008 г. N 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» (Собрание законодательства Российской Федерации, 2008, N 12, ст. 1110; N 43, ст. 4919; 2011, N 4, ст. 572; 2014, N 27, ст. 3754; N 30 (ч. II), ст. 4286; 2015, N 21, ст. 3092).
7. Трансграничная передача персональных данных на территории иностранных государств осуществляется в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
8. В целях обеспечения защиты персональных данных, хранящихся в личных делах гражданских служащих, гражданские служащие имеют право:
7. Трансграничная передача персональных данных на территории иностранных государств осуществляется в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
8. В целях обеспечения защиты персональных данных, хранящихся в личных делах гражданских служащих, гражданские служащие имеют право:
7. Трансграничная передача персональных данных на территории иностранных государств осуществляется в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
8. В целях обеспечения защиты персональных данных, хранящихся в личных делах гражданских служащих, гражданские служащие имеют право:
7. Трансграничная передача персональных данных на территории иностранных государств осуществляется в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
8. В целях обеспечения защиты персональных данных, хранящихся в личных делах гражданских служащих, гражданские служащие имеют право:
7. Трансграничная передача персональных данных на территории иностранных государств осуществляется в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
8. В целях обеспечения защиты персональных данных, хранящихся в личных делах гражданских служащих, гражданские служащие имеют право:
14. Трансграничная передача персональных данных на территории иностранных государств осуществляется в соответствии с Федеральным законом N 152-ФЗ.
15. В целях обеспечения защиты персональных данных, хранящихся в личных делах гражданских служащих, гражданские служащие имеют право на:
7. Трансграничная передача персональных данных на территории иностранных государств осуществляется в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
8. В целях обеспечения защиты персональных данных, хранящихся в личных делах гражданских служащих, гражданские служащие имеют право:
9. Трансграничная передача персональных данных на территории иностранных государств осуществляется в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ «О персональных данных».
10. В целях обеспечения защиты персональных данных, хранящихся в личных делах гражданских служащих, гражданские служащие имеют право:
2.13. Трансграничная передача персональных данных лиц, указанных в подпункте 1 пункта 2.1 Правил, производится при осуществлении таможенными органами, организациями международной деятельности в установленном порядке при условии получения письменного согласия указанных лиц на обработку персональных данных, если иное не установлено статьей 12 Федерального закона «О персональных данных».
П А М Я Т К А для получения информации о персональных данных в электронном виде либо посредством телефонной связи
Проживающие за пределами РФ пенсионеры имеют возможность получить свои персональные данные (в т.ч информацию о пенсионном обеспечении):
— по каналам электронной почты;
— посредством телефонной связи;
— в личном кабинете гражданина застрахованного лица, размещенном на официальном сайте ПФР.
Для получения информации, содержащей персональные данные[1], по каналам электронной почты[2] либо посредством телефонной связи необходимо представить в ПФР[3] либо его территориальный орган[4], осуществляющий выплату гражданину пенсии:
-копию действующего документа, удостоверяющего личность;
-оригинал заявления о согласии на трансграничную передачу персональных данных в электронном виде[5] либо посредством телефонной связи с указанием адреса электронной почты, сведений о фамилии, имени, отчестве, страховом номере индивидуального лицевого счета (при наличии), документе, удостоверяющем личность (в том числе иностранном паспорте), и подписи субъекта персональных данных.
При направлении названного заявления посредством почтовой либо курьерской связи личная подпись в заявлении заверяется в установленном порядке нотариусом[6] или консульским учреждением Российской Федерации.
Примерная форма заявления о согласии на трансграничную передачу персональных данных в электронном виде либо посредством телефонной связи прилагается.
Для получения информации, относящейся к персональным данным, при обращении в ПФР (его территориальный орган) посредством телефонной и иных средств телекоммуникационной связи, с целью идентификации личности гражданина необходимо сообщить фамилию, имя, отчество (при наличии), страховой номер индивидуального лицевого счета (при наличии), данные документа, удостоверяющего личность, а также контрольную информацию[7], указанную в пункте 4 вышеназванного заявления.
Для получения информации о персональных данных в Личном кабинете гражданина, размещенном на официальном сайте ПФР, необходимо пройти регистрацию в Единой системе идентификации и аутентификации (ЕСИА) или на «Едином портале государственных и муниципальных услуг»[8].
Подробная информация по регистрации на портале Госуслуг (в том числе подтверждение упрощенной, стандартной и подтвержденной учетной записи) размещена на сайте gosuslugi.ru[9].
[1]В соответствии с положениями пункта 1 статьи 3 и статьи 7 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) информация о пенсионном обеспечении (размере и выплате пенсии) относится к персональным данным, сохранность и конфиденциальность которых должен обеспечивать ПФР, являющийся оператором, обрабатывающим эти данные.
[2]Передача информации на адрес электронной почты осуществляется с использованием общедоступной сети Интернет, т.е. отсутствует гарантия, что доступ к этой информации не получат третьи лица, которые смогут использовать ее в своих целях.
[3] Почтовый адрес Пенсионного фонда Российской Федерации: ул. Шаболовка, 4, ГСП-1, г. Москва, 119991.
[4] Контактные данные которого можно найти на интернет – сайте ПФР: www.pfr.gov.ru → Выбрать свой регион→ Контакты отделения и клиентских служб.
[5]В соответствии со статьей 12 Закона № 152-ФЗ трансграничная передача персональных данных в электронном виде может быть осуществлена при условии наличия на это согласия в письменной форме субъекта персональных данных.
[6] Если заверение осуществляется иностранным нотариусом, то его удостоверительная надпись должна быть составлена (переведена) на русском языке. При этом печать на иностранном языке, которой удостоверена запись нотариуса, также должна быть переведена на русский язык. Если иное не установлено международным договором Российской Федерации, полномочия иностранного нотариуса удостоверяются посредством консульской легализации либо апостилирования – для государств участников Гаагской конвенции, отменяющей требование легализации иностранных официальных документов от 05.10.1961.
[7] В качестве ответа на секретный вопрос в заявлении выбирается и заполняется соответствующая отметка (девичья фамилия матери, кличка домашнего питомца, любимое блюдо, любимый писатель, номер школы, которую закончил заявитель), указание секретного кода состоит из букв и (или) цифр (не более 20 символов).
[8] Далее – портал Госуслуг.
[9]Регистрация на портале государственных услуг не отнесена к компетенции ПФР.
Локализация персональных данных: когда иностранной компании нужно задуматься о соблюдении российских законов
В чем заключается обязанность локализации персональных данных в России?
Локализации персональных данных на территории России означает осуществление отдельных видов обработки персональных данных в базах данных, которые находятся на территории России. Эта обязанность касается таких видов обработки, как запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных.
По смыслу закона под базой данных понимается любой упорядоченный массив данных, независимо от вида материального носителя информации и используемых средств обработки (архивы, картотеки, электронные базы данных, в том числе таблицы в формате Excel, Word, содержащие персональные данные).
На какие иностранные компании распространяется обязанность?
Обязанность локализации в РФ определенных этапов обработки персональных данных распространяется на все иностранные компании, осуществляющие деятельность в России, в том числе те, которые работают без образования представительств и иных форм юр. лиц.
Что касается деятельности иностранных компаний в сети Интернет, то согласно разъяснениям Минцифры России, Роскомнадзора и мнениям судов, обязанность локализации возникает в случае направленности соответствующего Интернет-сайта на территорию РФ, о чем, в том числе может свидетельствовать:
Дополнительными критериями направленности сайта являются (обязательно наличие хотя бы одного):
Как передавать персональные данные российских граждан за рубеж?
Непосредственная передача персональных данных на сервер, находящийся за пределами РФ, нарушает требование о локализации.
Нарушением будет также параллельный ввод персональных данных в российскую информационную систему и информационную систему, расположенную за рубежом. Предоставление удаленного доступа к базам данных, находящихся на территории Российской Федерации, с территории другого государства не запрещается.
Для соблюдения законодательства необходимо организовать сбор и актуализацию персональных данных российских пользователей в базе данных, расположенной в РФ, в частности, не допускать первичный сбор персональных данных, например, из веб-форм, сразу на сервер, находящийся в иностранном государстве.
Последующая передача персональных данных из российской базы данных в зарубежную должна соответствовать требованиям к трансграничной передачи данных. Без особых условий и ограничений может осуществляться трансграничная передача персональных данных в страны-участницы Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или в страны, включенные Роскомнадзором в перечень обеспечивающих адекватную защиту прав субъектов персональных данных (туда включены, например, Израиль, Канада, Казахстан, Южная Корея, Сингапур, ЮАР, Япония и др.).
Если персональные данные передаются в иные страны (например, в Китай или США) необходимо получать отдельное согласие на трансграничную передачу персональных данных. Такое согласие можно не получать, в частности, когда персональные данные передаются для исполнения договора, стороной которого является субъект персональных данных.
Какая ответственность предусмотрена за несоблюдение требований?
Роскомнадзор осуществляет проверку соблюдения обязанности о локализации в отношении иностранных юр. лиц и в случае ее несоблюдения может инициировать судебный процесс по вопросу ограничения доступа к Интернет-ресурсу иностранного юр. лица, информация о таком Интернет-ресурсе будет включена в Реестр нарушителей прав субъектов персональных данных. Например, такое ограничение было применено в отношении компании LinkedIn Corporation.
За нарушение требования о локализации на иностранное юр. лицо может быть наложен административный штраф в размере от 1 до 6 млн. рублей (часть 8 статьи 13.11 Кодекса РФ об административных правонарушениях). Например, к такой ответственности уже были привлечены компании Twitter, Inc. и Facebook.
Что относится к трансграничной передаче персональных данных
Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»
— персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
— оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
— обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
— уточнение (обновление, изменение);
— передачу (распространение, предоставление, доступ);
— автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
— распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
— предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
— блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
— уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
— обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
— информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
— трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3.1 Общие положения
В указанном разделе рекомендуется описать назначение Политики, а также включить основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т.д.), перечислить основные права и обязанности оператора и субъекта (ов) персональных данных.
3.2 Цели сбора персональных данных
Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Цели обработки персональных данных могут происходить, в том числе, из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).
3.3 Правовые основания обработки персональных данных
Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.
В качестве правового основания обработки персональных данных могут быть указаны:
— федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
— уставные документы оператора;
— договоры, заключаемые между оператором и субъектом персональных данных;
— согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» не может служить правовым основанием обработки персональных данных оператором, поскольку указанный Закон регулирует отношения, связанные с обработкой персональных данных, а также закрепляет требования, предъявляемые к операторам при обработке персональных данных.
3.4 Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям[1] обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
К категориям субъектов персональных данных могут быть отнесены, в том числе:
— работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
— клиенты и контрагенты оператора (физические лица);
— представители/работники клиентов и контрагентов оператора (юридических лиц).
В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.
3.5 Порядок и условия обработки персональных данных
В данном разделе рекомендуется указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.
В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных[2]), в том числе, находящихся за пределами Российской Федерации (трансграничная передача). При этом рекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.
Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
Также рекомендуется указывать сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».
Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Рекомендуется указывать сроки[3] хранения персональных данных.
При осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных».
Рекомендуется указывать иные условия хранения персональных данных, в том числе, при обработке персональных данных без использования средств автоматизации.
3.6 Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена, соответственно[4].
При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
— иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
— оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
— иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего[5].
Рекомендуется включить в Политику регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.
[1] Ст. 6 № 152-ФЗ «О персональных данных»
[2] Ч. 3 ст. 6 № 152-ФЗ «О персональных данных»
[3] Конкретная дата (число, месяц, год) и основание (условие), наступление которого повлечет прекращение обработки персональных данных.
[4] Ст. 21 № 152-ФЗ «О персональных данных»
[5] Ст. 20 № 152-ФЗ «О персональных данных»
Время публикации: 11.08.2017 12:03
Последнее изменение: 11.08.2017 12:04
© 2009-2021, Версия 2.15.18
Официальный интернет-ресурс Федеральной службы по надзору
в сфере связи, информационных технологий и массовых коммуникаций