Событие, которого ждали, произошло - Минюст зарегистрировал приказ Роскомнадзора "Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных". Сюрприза не произошло и финальный вариант не отличается от приведенного мной в декабре прошлого года.
Хочу отметить, что от европейского перечня "адекватных стран" наш сильно отличается. У европейцев в него входят Андорра, Аргентина, Австралия, Канада, Швейцария, Фарерские о-ва, о-в Гернси, Израиль, о-в Мэн, о-в Джерси, США (в части передачи ПДн авиапассажиров и в рамках программы Safe Harbor) и Уругвай. Пересекаемся мы только по Аргентине, Австралии, Канаде и Швейцарии.
Какой же бред само существование такого списка и такого подхода. В лучшем, самом идеальном и, как не странно, вероятном варианте, можно НА СЛОВАХ (бумаге) договориться двум РУКОВОДИТЕЛЯМ организаций, что их организации будут применять сопоставимые меры по защите (не факт, что исполнители в этих организациях реально даже смогут реализовать такую договоренность, например, технически). А так получается, что можно гнать список граждан РФ в организацию, например, в Гонконге, которая контролирует рынок наркотиков в направлении России. Только потому, что чувак из правительства Гонконга заявил, что у них полностью победили преступность, открыли секрет вечной молодости, 101% жителей и гостей Гонконга достигли просветления самого высокого уровня, а компьютерные вирусы в каналах связи Интернета превращаются в средства защиты информации при пересечении границы Гонконга. Тогда уж давайте заявим, что на всей планете Земля больше никто никого никогда не обманет даже в мелочи. И утвердим это приказом. Министерства. Или даже, чего уж там, Федеральным законом.
ОтветитьУдалитьЭто влияет лишь на необходимость получения доп. согласия во все остальные страны.
ОтветитьУдалитьНесмотря на принятие или непринятие сопоставимых мер, в другие организации передача требует наличия согласия в любом случае.
Я вообще не вижу смысла в этом списке ;-) По закону передача третьей стороне требует согласия. Трансграничка - это всегда передача третьей стороне, т.к. другому юрлицу. Приказ со списком всего лишь снимает необходимость письменного согласия по обязательной форме, предусмотренной ФЗ-152. А само согласие нужно по любому.
ОтветитьУдалитьЕсть интересный пример на тему трансграничной передачи ПДн и законности такой передачи.
ОтветитьУдалитьКомпания осуществляет обработку ПДн своих российских пользователей веб-сайта, который расположен в облачном дата-центре Amazon Web Services. Юридическое лицо Amazon Web Services зарегистрировано в США, а все его оборудование, используемое в этом проекте, размещено в Ирландии.
Пользователи регистрируются на сайте компании, предоставляя свои персональные данные (№ моб. телефона, ФИО, дата рождения, фотография). При регистрации на сайте они соглашаются с правилами пользования, и тем самым выражают своё сознательное согласие на предоставление, обработку и использование компанией их персональных данных.
Вопрос: Является ли законной трансграничная передача персональных данных в облачный дата-центр при условиях, представленных выше? В чьем правовом поле будет осуществляться обработка персональных данных в дата-центре – Ирландии, как места нахождения серверов, или США, как страны нахождения юридического лица Amazon Web Services?