Компания передает данные о сотрудниках своих в США как легитимно это делать или делать это нельзя?!
В ответ на Ваш запрос о порядке передачи персональных данных сотрудников организации в иностранное государство сообщаем следующее.
Отвечая на Ваш вопрос, в первую очередь необходимо определить, что подразумевает законодатель под "адекватной защитой" передаваемых персональных данных - существует Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года ETS N 108, которая регламентирует процесс работы с персональными данными между государствами. Страны-участники этой конвенции по умолчанию являются странами, обеспечивающими полную защиту персональных данных, поскольку при вступлении они были обязаны издать нормативно-правовые акты, направленные на обеспечение защиты персональных данных и обязаны соблюдать их в приминительной практике.
По этой конвенции стран-участников 46, а именно: Албания, Андора, Армения, Австрия, Азербайджан, Бельгия, Босния и Герцеговина, Болгария, Хорватия, Кипр, Чехия, Дания, Эстония, Финляндия, Франция, Грузия, Германия, Греция, Венгрия, Исландия, Ирландия, Италия, Латвия, Лихтенштейн, Литва, Люксенбург, Мальта, Молдова, Монако, Монтенегро, Голландия, Норвегия, Польша, Португалия, Румыня, Россия, Сан-Марино, Сербия, Словакия, Словения, Испания, Швеция, Швейцария, Македония, Украина, Великобритания.
Так же помимо данного списка, странами, обеспечивающими адекватную защиту, понимаются иностранные государства, перечень которых установил Роскомнадзор в Приказе № 274 «Об утверждении Перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных»: Австралия - Австралийский союз, Аргентинская Республика, Государство Израиль, Канада, Королевство Марокко, Малайзия, Мексиканские Соединенные Штаты, Монголия, Новая Зеландия, Республика Ангола, Республика Бенин, Республика Кабо-Верде, Республика Корея, Республика Перу, Республика Сенегал, Тунисская Республика, Республика Чили, Специальный административный район Гонконг Китайской Народной Республики, Швейцарская Конфедерация.
Однако отсутствие необходимого Вам государства в этих списках не лишает вас возможности, соблюдая действующее законодательство, осуществлять трансграничную передачу персональных данных.
Согласно 152-ФЗ осуществление трансграничной передачи данных возможно в определенных случаях:
наличие согласия в письменной форме субъекта Персональных данных на трансграничную передачу его персональных данных;
предусмотренных международными договорами РФ;
предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
исполнения договора, стороной которого является субъект персональных данных;
защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
Таким образом, при наличии письменного согласия с каждым лицом, чьи данные будут передаваться, это можно сделать вполне законно.
При принятии решения об осуществлении трансграничной передачи персональных данных необходимо сделать следующее:
получить согласие персонально у каждого субъекта, в нем отразить куда будут передаваться данные, кому именно, цели, объем передачи, границы обработки (что с ним будут делать: просто аккумулировать, обрабатывать, обновлять и тд)
обновить политику компании, регламентирующую обработку персональных данных, так же в ней отразить цели трансграничной передачи персональных данных, объем передаваемых данных и лиц, которым эти данные передаются, правовое обоснование трансграничной передачи персональных данных (перечень нормативно – правовых документов, на основании которых осуществляется передача и обработка персональных данных), Регламент обеспечения безопасного обмена персональных данных (прописать процедуру, как это происходит, с использованием какого оборудования и тд, как происходит защита, шифровка по каналам связи и тд)
заключить договор с компанией, которой данные передаются, где указать:
перечень действий, осуществляемых с персональными данными;
цели обработки;
обязанность обработчика соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;
требования к защите обрабатываемых персональных данных. При этом, организация, которой передаются персональные данные при организации обработки будет руководствоваться законодательством страны пребывания;
уведомить Роскомнадзор об осуществлении трансграничной передачи персональных данных.
Это выдержка из нашего ответа. В зависимости от запросы мы готовы разработать для вас ответ. Звоните: +7 (812) 984-01-10.
Звоните нам по телефону +7 (812) 984-01-10, юрист по направлению “Как передавать персональные данные зарубеж” проконсультирует Вас и пригласит на встречу.
