Не стал в заметке про законопроект Минкомсвязи про облака поднимать и эту тему, решив вынести ее отдельно. Заметка будет короткой. Помимо вопроса урегулирования применения облаков в государственных и муниципальных предприятиях, законопроект Минкомсвязи вносит небольшое изменение и в закон "О персональных данных", а точнее в ч.4 ст.12 про трансграничную передачу ПДн.
Согласно поправке, одним (шестым) из условий передачи ПДн в страны, не обеспечивающие адекватной защиты прав субъектов ПДн, является "обеспечение условиями договора гарантий защиты прав субъектов персональных данных". Иными словами, теперь в договоре между облачным провайдером и потребителем необходимо прописывать условия обработки ПДн (в соответствие с нашим ФЗ-152) и это станет (я надеюсь) достаточным условием для трансграничной передачи ПДн.
Что характерно, данная норма поможет не только облачным провайдерам, но и многим другим операторам ПДн, которые до сих пор мучаются вопросом о том, как урегулировать вопрос выполнения ФЗ-152 при передаче ПДн за пределы РФ (операторы связи, банки, иностранные работодатели, турагенства, авиакомпании, логистические компании и т.п.). На мой взгляд, такая поправка сильно облегчит жизнь и не потребует теперь получать согласие субъекта на обработку его ПДн в каждой стране, с которой у оператора установлены взаимоотношения. Проблема даже не в самом согласии, а в том, что оператор до конца не всегда сам знает, в какой стране ведется обработка ПДн (для облаков это очень актуально). Предлагаемая поправка призвана решить эту проблему.
Согласно поправке, одним (шестым) из условий передачи ПДн в страны, не обеспечивающие адекватной защиты прав субъектов ПДн, является "обеспечение условиями договора гарантий защиты прав субъектов персональных данных". Иными словами, теперь в договоре между облачным провайдером и потребителем необходимо прописывать условия обработки ПДн (в соответствие с нашим ФЗ-152) и это станет (я надеюсь) достаточным условием для трансграничной передачи ПДн.
Что характерно, данная норма поможет не только облачным провайдерам, но и многим другим операторам ПДн, которые до сих пор мучаются вопросом о том, как урегулировать вопрос выполнения ФЗ-152 при передаче ПДн за пределы РФ (операторы связи, банки, иностранные работодатели, турагенства, авиакомпании, логистические компании и т.п.). На мой взгляд, такая поправка сильно облегчит жизнь и не потребует теперь получать согласие субъекта на обработку его ПДн в каждой стране, с которой у оператора установлены взаимоотношения. Проблема даже не в самом согласии, а в том, что оператор до конца не всегда сам знает, в какой стране ведется обработка ПДн (для облаков это очень актуально). Предлагаемая поправка призвана решить эту проблему.
2 коммент.:
Алексей! Поправка действительно ответит на часть вопросов по трансграничке, только имеются все же сомнения, что согласия от субъекта ПДн брать не потребуется. Нынешняя редакции 152-ФЗ того требует. В прошлом году планировались поправки в Закон, где был пункт 4. : Договор, заключённый между оператором и субъектом ПДн, означает в том числе согласие субъекта ПДн на поручение оператором обработки ПДн обработчику В ЦЕЛЯХ ИСПОЛНЕНИЯ ДОГОВОРА. Однако законопроект не дошёл до своей финальной фазы. Можешь все же пояснить, почему ты считаешь, что брать согласия не потребуется, если обсуждаемый законопроект Минкомсвязи получит путёвку в жизнь?
Ну логика следующая. ч.4 ст.12 перечисляет 5 случаев (с законопроектом 6), по которым возможна передача в "неадекватные" страны. Первым там стоит "письменное согласие". Я делаю вывод, что явное согласие - это одно из возможных условий передачи. Есть и еще 5, среди которых наличие договора.
Отправить комментарий