воскресенье, 22 марта 2009 г.

Трансграничная передача

Очень и очень больной вопрос в области ПДн –трансграничная передача данных.

Хотелось бы высказать свои частные соображения по этому вопросу. Итак…

Что такое трансграничная передача данных? Трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства. До начала передачи оператор должен убедиться в том, что на территории иностранного государства обеспечена адекватная защита прав субъектов ПДн.

Камнем преткновения является формулировка «адекватная защита», критерии адекватности не определяются, при этом здравый смысл подсказывает, что адекватной становится защита, которая соответствует российскому законодательству.

Понятное дело, что нигде в мире не существует систем соответствующих российскому законодательству, стало быть, юридически адекватная защита не обеспечивается нигде. Понятное дело, что такое прямое заключение противоречит «духу закона» (это понятие достаточно часто стало циркулировать в области защиты ПДн), и законодатель, сам того не зная, обрек нас всех на огромную дыру в законе. Как эту проблему решать, большой вопрос, по моей информации, наши регуляторы уже дали свои рекомендации по внесению поправок в ФЗ №152, как раз по части этого пункта.

Что могут делать операторы если адекватная защита не обеспечена? Приведу весть 3 пункт 12 статьи ФЗ №152 со своими комментариями:

«Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

    1) наличия согласия в письменной форме субъекта персональных данных; (тут все понятно)

    2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам; (Если Интерполу необходима информация о международном преступнике, то согласие с преступника никто не попросит)

    3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства; (тут тоже все понятно)

    4) исполнения договора, стороной которого является субъект персональных данных; (если вы решили съездить на охоту, куда-нибудь в африку, то у туристической фирмы должны быть основания забронировать для вас гостиницу, купить авиабилеты…)

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.» (если субъект попал автокатастрофу в Египте и необходимо срочное переливание крови, то просить с него разрешение на пересылку данных из российской больницы, мягко говоря глупо)

Анализируя вышесказанное, единственным способом для большинства операторов выполнить требования 12 статьи – это получение согласия субъекта ПДн в письменной форме.



Автор: на
Ярлыки: , ,

5 комментариев:

  1. infowatch22 марта 2009 г. в 04:33

    При всём уважении к неизвестному оппоненту, вынужден возразить, что его трактовка "адекватной защиты" не соответствует ни духу закона, ни российской судебной практике.

    Правильный ответ: присоединение иностранного государства к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 1981; с изм.1999) является вполне адекватной защитой.

    ОтветитьУдалить
  2. chik0t22 марта 2009 г. в 04:34

    Закон очень сырой. Он заточен на пополнение карманов некоторой кучки людей в регулирующих органах. По словам источника самой ФСТЭК "денюжки валяются на земле, почему бы их не поднять". Я демаю, что он будет вынужден серьёзно транформироваться, так как противоречит здравому смыслу. Я уже сейчас столкнулся с тем, что значит выполнение требований этого закона. Я работаю в крупнейшей в России компании (в своей отрасли), у нас более 12.000 субъектов. Сейчас мы пытаемся создать контуры защиты, но сталкиваемся с противодействием внутри собственной компании. Прежде чем выполнить требования Зкаона, мы должны доказать необходимость самого выполнения своим боссам, а это не просто.
    Что касается трансграничной передачи - это вообще космос, учитывая, что не все еще в курсе, что нужно обеспечивать эту защиту на микроуровне - у себя в конторе...

    ОтветитьУдалить
  3. pers_data22 марта 2009 г. в 04:54

    Конвенция Совета Европы говорит, что страны участники к ней присоединившиеся могут принимать дополнительные меры по защите прав своих субъектов ПДн. Т.е. то, что страна присоединилась и ратифицировала конвенцию вовсе не значит что защита действительно адекватная.

    ОтветитьУдалить
  4. infowatch22 марта 2009 г. в 06:54

    Таки значит!

    ОтветитьУдалить
  5. e1am023 марта 2009 г. в 03:46

    книгу он свою раздавал совершенно бесплатно, лично мне да даже 2 экземпляра. так что не надо возводить поклёп на человека. в своём блоге он публиковал информацию, которую собрал и проанализировал. желающий может сам обратиться к первоисточнику и сделать свои выводы

    ОтветитьУдалить

Подписаться на: Комментарии к сообщению (Atom)