18.9.09

Что такое адекватная защита ПДн?

Как гласит 12-я статья 152-ФЗ, для передачи ПДн в иностранные государства необходимо убедиться, что они обеспечивают адекватную защиту прав субъектов ПДн. Что это такое и как убедиться, что страна, с которой вы собираетесь общаться, входит в список "разрешенных" стран? ФЗ на этот вопрос не отвечает, как и любой другой российский нормативный акт.

Единственное, где можно встретить разъяснение этого момента, - отчет о деятельности Роскомнадзор по защите прав субъектов ПДн в 2008 году. На 21-й странице этого отчета сказано, что "адекватную защиту персональных данных обеспечивают страны, подписавшие и ратифицировавшие Конвенцию о защите прав физических лиц при автоматизированной обработке персональных данных. В первую очередь, это страны – члены Европейского Союза: Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония.

Вторая группа - это страны, не входящие в зону Европейского Союза, но имеющие нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных. Это - Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Чили, Швейцария, Южная Корея, Япония".

Евросоюз добавляет к этим странам еще США, о-в Мэн, о-ва Гернси и Джерси (три последних - территория Великобритании).

А вот что делать, если страна не вошла в этот список? В него, например, не входят Украина, Белоруссия, Казахстан и другие наши ближайшие соседи, с которыми российские организации часто ведут совместный бизнес. Российские регуляторы не дают адекватного ответа на этот вопрос. Все, на что они ссылаются, - это п.3 ст.12 ФЗ-152, где перечислены условия передачи ПДн в страны, не обеспечивающие адекватной защиты прав субъектов ПДн.

Мне представляется гораздо более интересным документ Евросоюза "FREQUENTLY ASKED QUESTIONS RELATING TO TRANSFERS OF PERSONAL DATA FROM THE EU/EEA TO THIRD COUNTRIES". Он приводит не только алгоритм решения данной задачи, но и в виде FAQ (ЧАВО) отвечает на многие животрепещущие вопросы.