Проблемы правового регулирования трансграничной передачи данных

При подготовке материала для сегодняшней статьи были подведены итоги некоторых наблюдений о том, что современные технологии словно стирают границы между государствами.  И на это есть причины. Стоит вспомнить недавние обсуждения отказа компании WhatsApp предоставлять данные о пользователях на фоне ужесточения законодательства РФ в связи с принятием «Пакета Яровой», принятого Госдумой 24 июня. 

Если предположить, что иностранные компании откажутся от соблюдения закона или же ограничат свое присутствие на рынке, Российские пользователи иностранных сервисов могут лишиться доступа к ним, что возможно отразится на развитии интернет-отрасли в России. 

Законодательное регулирование

С 1 сентября 2015 г. вступили в силу поправки к закону "О персональных данных", требующие локализации персональных данных граждан РФ на территории России. Любая российская или зарубежная компания, ориентированная на работу с российскими пользователями, должна обеспечивать запись, систематизацию, накопление, хранение, уточнение персональных данных россиян с использованием баз данных, находящихся на территории РФ.

152-ФЗ определяет понятие трансграничной передачи персональных данных, как «передачу персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу».

Тем не менее, в ряде случаев обновленный закон разрешил обработку персональных данных россиян на территории других государств: в целях исполнения правосудия, исполнения полномочий органов госвласти и местного самоуправления, а также для достижения целей, предусмотренных международным договором. Закон не будет распространяться на выдачу виз, продажу авиабилетов, деятельность СМИ и судов. Трансграничная передача данных россиян законом разрешена, однако храниться они должны на территории РФ. Вместе с тем, возможно временное хранение дубликата данных за рубежом, но только на срок, необходимый для выполнения действий, для которых они передавались за границу. Например, данные гражданина РФ могут быть переданы в заграничный отель или клинику, но после того, как отдых или лечение закончится, данные клиента на зарубежных серверах должны быть аннулированы, объяснял Жаров.

Определения, содержащиеся в законе

В соответствии с действующим законодательством оператором признается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн. При этом под обработкой понимается любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В соответствии со ст. 12 Федерального закона № 152-ФЗ "О персональных данных" от 27.07.2006 оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления трансграничной передачи персональных данных.

Стоит отметить, что действующая редакция закона не содержит перечня мер для определения такой адекватности, а также критериев для ее оценки, однако, в п. 1 ст. 12 закона указывается, что трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, возможна. Таким образом, можно сделать обоснованный вывод о том, что иностранные государства, ратифицировавшие Конвенцию Совета Европы от 28.01.1981 г. о защите физических лиц при автоматизированной обработке ПДн или как ее еще называют Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data CETS No.: 108, точно обеспечивают необходимую защиту. Некоторые издания отмечают, что список состоит из 63 стран, принявших 108 конвенцию совета Европы, однако, большинство экспертов едины во мнении, что стран в списке 46, поскольку Турция не ратифицировала конвенцию после подписания.  Таким образом, список стран следующий: Россия, Албания, Андорра, Армения, Австрия, Азербайджан, Бельгия, Босния и Герцеговина, Болгария, Хорватия, Кипр, Чехия, Дания, Эстония, Финляндия, Франция, Грузия, Германия, Греция, Венгрия, Исландия, Ирландия, Италия, Латвия, Лихтенштейн, Литва, Люксембург, Мальта, Молдова, Монако, Монтенегро, Голландия, Норвегия, Польша, Португалия, Румыния, Сан-Марино, Сербия, Словакия, Словения, Испания, Швеция, Швейцария, Македония, Турция, Украина, Великобритания. В соответствии с пунктом 2 ст. 12 закона, Государство, не являющееся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соответствия положениям указанной Конвенции, действующих в соответствующем государстве норм права и применяемых мер безопасности персональных данных.

В соответствии со ст. 4 закона трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1) наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;

2) предусмотренных международными договорами Российской Федерации;

3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;

4) исполнения договора, стороной которого является субъект персональных данных;

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Таким образом, при наличии письменного согласия субъекта или договора с субъектом ПДн, закон 152-ФЗ разрешает передавать персональные данные в любую страну. 

Однако, несмотря на всю эту неразбериху и ужесточение требований, число российских компаний, ведущих деятельность с иностранными контрагентами растет год от года.

Но работает ли 152-ФЗ на практике?


Прощай, LinkedIn

 

152-ФЗ несомненно работает.

Впервые в России заблокирован иностранный интернет-сервис, не выполнивший требования регулятора. В августе этого года Таганский суд удовлетворил требование Роскомнадзора о блокировке соцсети LinkedIn. 10 ноября 2016 г. Мосгорсуд признал законным решение Таганского суда Москвы о блокировке. По мнению Роскомнадзора, соцсеть нарушает закон о неприкосновенности личных данных, что меня лично насторожило в первую очередь, поскольку перечень получаемых данных выходит за рамки целей, для которых эти персональные данные используются. Также интернет-сервис не хранит эти данные на территории России, как того требует 152-ФЗ.  Другая компания - Viber, не дожидаясь карательных санкций, уже исполнила требования закона. Компания перенесла серверы с персональными данными россиян на территорию РФ. На очереди другие интернет-сервисы, которым предстоит сделать выбор – исполнить требования закона или быть заблокированными. Возможно, в скором будущем, когда на территории России все интернет-сервисы будут соблюдать требования закона, очередь дойдет и до детальной проверки той самой «адекватной защиты» прав субъектов персональных данных на территории иностранных государств.