+7 (495) 332-37-90Москва и область +7 (812) 449-45-96 Доб. 640Санкт-Петербург и область

Что нужно знать о трансграничной передачи персональных данных

Что нужно знать о трансграничной передачи персональных данных

Вопрос: Что такое Уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций? Ответ: Уполномоченный орган - федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи. В настоящее время, в соответствии с постановлением Правительства от 16 марта г. Ответ: В соответствии п. При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Вопрос: В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь в форму онлайн-консультанта справа или звоните по телефонам, представленным на сайте. Это быстро и бесплатно!

Содержание:

Нужна консультация, совет, дополнительная информация? Напишите нам

Правила о защите персональных данных граждан с каждым годом приобретают все более крупный масштаб. Мировое сообщество уже осознало необходимость защиты персональной информации, недопущения ее бесконтрольного использования и необходимость принятия достаточных мер для обеспечения охраны информации о частной жизни каждого. Особое значение приобрели вопросы о трансграничной передаче персональных данных, и можно отчетливо проследить тенденцию внедрения норм о защите персональных данных экстерриториального характера.

Россия также не осталась в стороне от общемировых тенденций. Так, Федеральный закон от В частности, статьей 12 закона предусмотрено, что трансграничная передача персональных данных по общему правилу допускается только в те государства, которые являются участниками Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных [1] , или в государства, не являющиеся ее участниками, но обеспечивающими адекватную защиту при обработке персональных данных граждан при условии их соответствия положениям Конвенции [2].

Такое специальное регулирование трансграничной передачи персональных данных связано с необходимостью ограничения возможности для лиц, обрабатывающих персональные данные, обходить закон и выводить процесс обработки в страны с менее благоприятным регулированием защиты персональных данных и, соответственно, упрощенным режимом соблюдения необходимых требований для операторов.

Особого внимания заслуживают и нормы, имеющие особый экстерриториальный характер, то есть, распространяющиеся на операторов в любых странах, которые обрабатывают персональные данные российских граждан. Самый наглядный и вызвавший в свое время много обсуждений пример — правило о локализации персональных данных, закрепленное в пункте 5 статьи 18 Закона о персональных данных. Это правило заключается в необходимости операторам, осуществляющим обработку персональных данных граждан Российской Федерации, обеспечить хранение таких персональных данных с использованием баз данных, находящихся на территории Российской Федерации.

Действие этого правила распространяется на деятельность иностранных операторов, если они ведут свою деятельность через Интернет в отсутствие физического присутствия на территории России, если их деятельность направлена на территорию Российской Федерации [3]. Нормы о локализации персональных данных предполагают, что сбор персональных данных о российских гражданах и их хранение в первую очередь должно быть именно с использованием российских баз данных, далее допускается их передача и копирование в иностранные базы данных, однако наоборот, когда данные сначала собираются в иностранных базах данных, а затем копируются на российские — недопустимо [4].

В связи с появлением правила о локализации персональных данных иностранные операторы, осуществляющие направленную деятельность на территорию Российской Федерации через Интернет, обязаны соблюдать такое требование и в случае его несоблюдения несут ответственность.

Закон предусматривает в качестве механизма привлечения к ответственности операторов за несоблюдение требования о локализации блокирование доступа к информации, обрабатываемой с нарушением законодательства о персональных данных в соответствии со статьей Федерального закона от Самым громким и, возможно, единственным громким делом, когда был заблокирован Интернет-ресурс вследствие несоблюдения требования о локализации персональных данных — дело о блокировке LinkedIn, рассмотренное Таганским районным судом г.

Москвы и поддержанное апелляционной инстанцией в ноябре года [5]. Помимо того, что страны-участницы ЕС в связи с началом применения Общего регламента по защите данных должны будут привести свое национальное законодательство в сфере защиты персональных данных в соответствие с положениями Регламента, согласно пунктам Регламента его нормы также затронут и деятельность операторов персональных данных, не являющихся резидентами ЕС, в случае если:.

Важным моментом является то, что под действие норм нового Регламента могут попасть и российские операторы обработки персональных данных. К таким операторам могут быть отнесены и российские интернет-сервисы, предлагающие товары и услуги на различных языках и принимающие в качестве оплаты евро или другую валюту, используемую в какой-либо из стран-участниц ЕС, банки, российские телекоммуникационные компании, которые предлагают услуги связи лицам, находящимся на территории ЕС, дата-центры, расположенные на территории России и хранящие персональные данные европейцев, крупные российские компании, имеющие филиалы или представительства в Европе и т.

Например, теоретически под действие Регламента может попасть крупная российская авиакомпания, которая имеет свое представительство в Европе, а также предлагает к онлайн-продаже авиабилеты на иностранном языке за возможность приобретения их в евро.

В связи с тем, что Регламент распространяется и на мониторинг активности субъектов данных в ЕС, то просто использование на интернет-сайте файлов cookies уже легко подводит российскую интернет-индустрию под его действие.

Необходимо иметь в виду, что действие Регламента будет иметь силу даже в том случае, если российским оператором обрабатываются персональные данные гражданина России, но который находится на территории страны-участницы ЕС и приобретает, например, при помощи Интернет-ресурса товар, предполагающий его оплату в евро [9].

То есть, субъектами персональных данных согласно Регламенту являются не только граждане ЕС, но и все лица, которые находятся на территории ЕС, когда осуществляется обработка их персональных данных.

На что обратить особое внимание российским операторам в свете начала действия Регламента? Согласно пункту 80 Преамбулы Регламента российские операторы, осуществляющие обработку персональных данных лиц, находящихся в ЕС, будут обязаны назначить представителя в ЕС, под которым согласно статьям 4 и 27 Регламента понимается физическое или юридическое лицо, созданное в ЕС, которое специально уполномочено в письменной форме контролёром или обработчиком [10] и представляет контролёра или обработчика, в отношении их соответствующих обязательств, предусмотренных Регламентом.

При этом, назначение Представителя не влияет на ответственность обработчика или контролера [12]. Согласно статьям Регламента обработчик или контролер персональных данных должен назначить инспектора по защите персональных данных сотрудника штата или независимого консультанта , на которого должны быть возложены функции по информированию оператора относительно обязанностей, предусмотренных Регламентом, контролю за соблюдением оператором Регламента, контролю методов обработки персональных данных оператором, консультированию оператора относительно оценки воздействия на защиту персональных данных, взаимодействию с надзорными органами ЕС.

Особых требований как к Представителю в ЕС находиться физически на территории одного из государств-членов ЕС в отношении Инспектора по защите данных не предусмотрено. Предполагается, что не запрещено совмещать полномочия Представителя и Инспектора по защите данных в одном лице. Согласно пункту 32 Преамбулы Регламента контролер или обработчик персональных данных лиц, находящихся в ЕС, обязан получить согласие на обработку персональных данных, которое должно быть свободно выраженным, конкретным, информативным и недвусмысленным и дано для каждой из целей и способов обработки персональных данных.

Операторы персональных данных будут обязаны четко указывать все цели применения данных, а также раскрывать информацию о третьих лицах, которым данные будут передаваться. Не считается согласием на обработку персональных данных молчание, бездействие или заранее проставленная в указанном поле галочка-согласие на общую обработку персональных данных. Регламент предусматривает, что всем субъектам персональных данных должна быть обеспечена техническая возможность в любое время отозвать согласие на обработку персональных данных без ущерба для себя, в отсутствие такой возможности согласие на обработку не считается добровольным.

Особые правила в статье 8 Регламента установлены и для получения согласия на обработку персональных данных ребенка: допускается получение согласия только от лица, достигшего летнего возраста при этом, страны-участницы могут на законодательном уровне этот возраст скорректировать и установить его самостоятельно, но не ниже 13 лет , для детей, не достигших такого возраста, согласие на обработку их данных должно быть получено от лица, обладающего родительской ответственностью в отношении ребенка.

Согласно статье 30 Регламента обработчик и контролер персональных данных, а также их представители обязаны вести письменный учет всех совершаемых действий по обработке персональных данных субъектов, находящихся в ЕС.

Наличие такого реестра не является обязательным, если численность сотрудников компании-обработчика или контролера — менее человек. Согласно пункту 5 статьи 33 Регламента контролер персональных данных обязан документально фиксировать любое нарушение в сфере защиты персональных данных, факты, связанные с таким нарушением, их последствия и принятые меры по их устранению.

Статья 35 Регламента закрепляет обязанность контролера персональных данных по проведению оценки воздействия процесса обработки персональных данных на уровень их защиты и по фиксации этого в письменной форме. Оценка рисков должна включать систематическое описание процессов обработки персональных данных и целей обработки, оценку необходимости и пропорциональности обработки персональных данных относительно целей, оценку рисков для прав и свобод субъектов данных, меры, предусмотренные для устранения рисков.

Согласно статье 36 Регламента контролер персональных данных должен перед началом обработки персональных данных проконсультироваться с надзорным органом, если проведенная оценка воздействия процесса обработки персональных данных на защиту данных свидетельствует, что такая обработка может привести к возникновению высокой степени риска нарушения прав субъектов персональных данных при непринятии мер для снижения данного риска.

Регламент предлагает для целей такого взаимодействия предусмотреть в организации Положение о взаимодействии с надзорным органом ЕС, в котором будет закреплен формат такого взаимодействия и перечень случаев, когда компания прибегает подобным консультациям.

Исключение — когда такая утечка не приведет к риску для прав и свобод субъектов персональных данных. В Положении о взаимодействии с надзорным органом ЕС также рекомендуется предусмотреть порядок направления данных уведомлений. Согласно статье 58 Регламента надзорный орган в ЕС обладает полномочиями следственного, корректирующего, разрешительного и консультативного характера, контролер обязан выполнять указания надзорного органа, данные в рамках его полномочий.

Регламент предусматривает систему высоких штрафов за нарушения его положений. К операторам персональных данных, не учрежденных в ЕС, такие штрафы, по-видимому, также будут применяться, к ответственности будут привлекаться представители в ЕС, которые должны быть учреждены в соответствии со статьей 27 Регламента, так как согласно пункту 4 данной статьи представитель обладает полномочиями, предоставленными ему контролером или обработчиком, и рассматривается наряду или вместо них надзорными органами и субъектами данных по всем вопросам, связанным с обработкой данных.

За неназначение, например, Представителя в ЕС можно получить штраф в размере 10 миллионов рублей. А к наиболее серьезным нарушениям Регламент относит такие, как несоблюдение основных принципов обработки персональных данных, прав субъектов персональных данных, положений о международной передаче персональных данных и приказов национальных регуляторов и некоторых обязательств по национальному законодательству [15].

Однако может возникнуть весьма резонный вопрос: а что будет, если российский оператор не назначит представителя в ЕС? Но если российский оператор физически не присутствует в ЕС, не назначил там своего представителя, то фактически отсутствует возможность его привлечения к ответственности в виде выплаты штрафа. По-видимому, этот вопрос не урегулирован Регламентом на данный момент, и его разрешение — вопрос времени.

С другой стороны, возникает вопрос и о том, будет ли доступно государству-члену ЕС возможность, аналогичная той, что предусмотрена в нашем законодательстве, блокировать Интернет-ресурс в случае, если там размещается информация в нарушение норм Регламента? В статье 58 Регламента упоминается о полномочии надзорного органа предписывать приостановку перемещения потока данных получателю в третьей стране или международной организации.

На наш взгляд, есть риск того, что под приостановкой перемещения потока данных будут понимать и блокировку Интернет-ресурса. Соответственно, надзорный орган ЕС может выдать предписание Интернет-провайдеру о необходимости приостановления доступа к Интернет-ресурсу, при помощи которого осуществляется обработка персональных данных в нарушение норм Регламента. Что нужно предпринять российским операторам, подпадающим под действие Регламента?

В связи с началом действия Регламента рекомендуется всем российским операторам персональных данных принять ряд мер, способствующих устранению возможных нарушений. Для начала необходимо определиться, подпадает ли российский оператор персональных данных под действие Регламента с учетом положений пунктов Преамбулы Регламента.

Если есть риск того, что деятельность российского оператора будет регулироваться положениями Регламента, российскому оператору можно попробовать исключить осуществление видов деятельности, направленных на потребителей, находящихся в ЕС и исключить мониторинг активности пользователей ЕС на интернет-сайте. В случае, если это является невозможным, каждому российскому оператору первостепенно необходимо:. Страсбурге Москвы от Автор ряда статей по интеллектуальной собственности в профессиональных юридических изданиях.

Расширенный поиск. Поисковая фраза. Ограничить тематикой: Все темы Доступ к информации Защита инфраструктуры Идентификация и приватность Инновации и стартапы Интеллектуальная собственность Инфобезопасность Телекоммуникации Умная инфраструктура Цифровая индустрия Электронная демократия Электронное правительство Электронные деньги.

Искать после:. Искать до:. RSS Facebook Twitter. Report Работа в Digital. Главное Александр Николайчук Александр Николайчук Инфобезопасность Защита инфраструктуры Идентификация и приватность.

Электронное правительство Электронная демократия Умная инфраструктура. Яна Исраэлян Николай Дмитрик Телекоммуникации Доступ к информации Интеллектуальная собственность. Идентификация и приватность Обработка персональных данных за границей и новый Европейский Регламент Екатерина Смирнова - Помимо того, что страны-участницы ЕС в связи с началом применения Общего регламента по защите данных должны будут привести свое национальное законодательство в сфере защиты персональных данных в соответствие с положениями Регламента, согласно пунктам Регламента его нормы также затронут и деятельность операторов персональных данных, не являющихся резидентами ЕС, в случае если: Обработка персональных данных связана с предложением товаров или услуг субъектам персональных данных, находящихся в ЕС вне зависимости от того, связана ли такая обработка с оплатой этих услуг или нет.

При этом свидетельствовать о предложении товаров или услуг могут: использование в предложении товара или услуги языка одного или нескольких государств-членов ЕС с возможностью заказывать эти товары или услуги на данном языке; предоставление возможности оплаты валютой, которая используется в одном или нескольких государствах-участниках ЕС; упоминание в предложении товара или услуга потребителей, или пользователей на территории ЕС.

Обработка персональных данных связана с мониторингом действий или поведения субъектов персональных данных в ЕС, если эти действия совершаются на территории ЕС. Необходимо назначить специальных должностных лиц Представитель в ЕС Согласно пункту 80 Преамбулы Регламента российские операторы, осуществляющие обработку персональных данных лиц, находящихся в ЕС, будут обязаны назначить представителя в ЕС, под которым согласно статьям 4 и 27 Регламента понимается физическое или юридическое лицо, созданное в ЕС, которое специально уполномочено в письменной форме контролёром или обработчиком [10] и представляет контролёра или обработчика, в отношении их соответствующих обязательств, предусмотренных Регламентом.

Согласно статье 27 Регламента Представитель может не назначаться в двух случаях: Обработка персональных данных субъектов персональных данных, находящихся в ЕС, является случайной, не включающей масштабную обработку специальных категорий персональных данных [13] или не связанной с преступлениями и правонарушениями.

Обработчиком или контролером является публичный орган. Инспектор по защите персональных данных Согласно статьям Регламента обработчик или контролер персональных данных должен назначить инспектора по защите персональных данных сотрудника штата или независимого консультанта , на которого должны быть возложены функции по информированию оператора относительно обязанностей, предусмотренных Регламентом, контролю за соблюдением оператором Регламента, контролю методов обработки персональных данных оператором, консультированию оператора относительно оценки воздействия на защиту персональных данных, взаимодействию с надзорными органами ЕС.

Необходимо обеспечить механизм получения согласия субъектов персональных данных, находящихся в ЕС, на обработку персональных данных согласно Регламенту Согласно пункту 32 Преамбулы Регламента контролер или обработчик персональных данных лиц, находящихся в ЕС, обязан получить согласие на обработку персональных данных, которое должно быть свободно выраженным, конкретным, информативным и недвусмысленным и дано для каждой из целей и способов обработки персональных данных.

Учет инцидентов в сфере защиты персональных данных Согласно пункту 5 статьи 33 Регламента контролер персональных данных обязан документально фиксировать любое нарушение в сфере защиты персональных данных, факты, связанные с таким нарушением, их последствия и принятые меры по их устранению. Письменная оценка потенциальных рисков при обработке ПД Статья 35 Регламента закрепляет обязанность контролера персональных данных по проведению оценки воздействия процесса обработки персональных данных на уровень их защиты и по фиксации этого в письменной форме.

После указания надзорного органа Согласно статье 58 Регламента надзорный орган в ЕС обладает полномочиями следственного, корректирующего, разрешительного и консультативного характера, контролер обязан выполнять указания надзорного органа, данные в рамках его полномочий.

Что будет, если положения Регламента не соблюдаются? В случае, если это является невозможным, каждому российскому оператору первостепенно необходимо: Провести подробный аудит процессов и способов обработки персональных данных, существующих на данный момент в организации для цели выявления потенциальных рисков в сфере действия Регламента. Назначить необходимых в соответствии с Регламентом должностных лиц — особое внимание уделить назначению Представителя в ЕС.

Внести коррективы в локальные акты организации, касающиеся вопросов обработки персональных данных с учетом положений Регламента. Обеспечить возможность взаимодействия Представителя в ЕС с надзорным органом ЕС в сфере обработки персональных данных. Share via. Обработка персональных данных за границей и новый Европейский Регламент. Наталья Анищук Digital Report

Войдите , пожалуйста. Все сервисы Хабра.

Штрафы увеличили в десятки раз, а различные виды нарушений разделены по группам. На вашем сайте опубликована политика конфиденциальности? Если нет, то сейчас вы заплатите штраф в одну тысячу рублей как гражданин или максимум 10 тысяч рублей как юрлицо. C 1 июля индивидуальные предприниматели могут быть оштрафованы на 10 тысяч рублей, а юрлицо — уже на 30 тысяч.

Статья 12. Трансграничная передача персональных данных

Хочу получать интересные новости блога. В законе вместо единственного вида административной ответственности появится семь видов правонарушений, а сумма штрафов за одно правонарушение с 10 руб возрастает до 75 руб. В этой статье мы расскажем подробнее о новых видах правонарушений, штрафах и о том, как их избежать. Операторов персональных данных, то есть любые организации и физ. К операторам персональных данных относятся владельцы сайтов, которые собирают персональные данные, например, в виде заявки на сайте с именем и номером телефона, электронные адреса для рассылки, данные для регистрации в сервисе и т.

Федеральный закон от 27 июля 2006 г. N 152-ФЗ О персональных данных

Рекомендации от юриста, основателя сервиса по защите интернет-бизнеса E-docs Анара Костенко. С 1 июля года в силу вступают новые изменения в Кодексе об административных правонарушениях КоАП , которые ужесточат санкции по отношению ко всем лицам, собирающим персональные данные. Теперь штрафы будут достигать тысяч рублей. Начать стоит с разъяснения того, что такое персональные данные.

Раз в месяц отправляем полезные материалы, которые помогут вам в работе. Как прокачать Digital Skills.

Правила о защите персональных данных граждан с каждым годом приобретают все более крупный масштаб. Мировое сообщество уже осознало необходимость защиты персональной информации, недопущения ее бесконтрольного использования и необходимость принятия достаточных мер для обеспечения охраны информации о частной жизни каждого. Особое значение приобрели вопросы о трансграничной передаче персональных данных, и можно отчетливо проследить тенденцию внедрения норм о защите персональных данных экстерриториального характера. Россия также не осталась в стороне от общемировых тенденций. Так, Федеральный закон от В частности, статьей 12 закона предусмотрено, что трансграничная передача персональных данных по общему правилу допускается только в те государства, которые являются участниками Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных [1] , или в государства, не являющиеся ее участниками, но обеспечивающими адекватную защиту при обработке персональных данных граждан при условии их соответствия положениям Конвенции [2]. Такое специальное регулирование трансграничной передачи персональных данных связано с необходимостью ограничения возможности для лиц, обрабатывающих персональные данные, обходить закон и выводить процесс обработки в страны с менее благоприятным регулированием защиты персональных данных и, соответственно, упрощенным режимом соблюдения необходимых требований для операторов. Особого внимания заслуживают и нормы, имеющие особый экстерриториальный характер, то есть, распространяющиеся на операторов в любых странах, которые обрабатывают персональные данные российских граждан.

An error occurred.

Статья Трансграничная передача персональных данных. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами далее - государственные органы , органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами далее - муниципальные органы , юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий операций , совершаемых с персональными данными с использованием средств автоматизации. Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

.

Оператору, осуществляющему трансграничную передачу персональных данных, необходимо руководствоваться законодательством.

Обработка и защита персональных данных: инструкция для владельцев сайтов

.

Изменение в законе о персональных данных: что нужно знать владельцам сайтов

.

.

.

.

.

Комментарии 1
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий

  1. Васса

    Почему 90 дней? Скоро выборы. Могут не успеть накосить капусту :)

© 2018-2021 tire-m.ru