Работа с персональными данными - составление актов

Пример составления локального акта организации по работе с персональными данными.

Суть вопроса: 
Компания передает данные о сотрудниках своих в США как легитимно это делать или делать это нельзя?! 

 

В ответ на Ваш запрос о порядке передачи персональных данных сотрудников организации в иностранное государство сообщаем следующее:

Отвечая на Ваш вопрос, в первую очередь необходимо определить, что подразумевает законодатель под "адекватной защитой" передаваемых персональных данных - существует Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года ETS N 108, которая регламентирует процесс работы с персональными данными между государствами. Страны-участники этой конвенции по умолчанию являются странами, обеспечивающими полную защиту персональных данных, поскольку при вступлении они были обязаны издать нормативно-правовые акты, направленные на обеспечение защиты персональных данных и обязаны соблюдать их в приминительной практике.

По этой конвенции стран-участников 46, а именно: Албания, Андора, Армения, Австрия, Азербайджан, Бельгия, Босния и Герцеговина, Болгария, Хорватия, Кипр, Чехия, Дания, Эстония, Финляндия, Франция, Грузия, Германия, Греция, Венгрия, Исландия, Ирландия, Италия, Латвия, Лихтенштейн, Литва, Люксенбург, Мальта, Молдова, Монако, Монтенегро, Голландия, Норвегия, Польша, Португалия, Румыня, Россия, Сан-Марино, Сербия, Словакия, Словения, Испания, Швеция, Швейцария, Македония, Украина, Великобритания.

Так же помимо данного списка, странами, обеспечивающими адекватную защиту, понимаются иностранные государства, перечень которых установил Роскомнадзор в Приказе № 274 «Об утверждении Перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных»:

Австралия - Австралийский союз, Аргентинская Республика, Государство Израиль, Канада, Королевство Марокко, Малайзия, Мексиканские Соединенные Штаты, Монголия, Новая Зеландия, Республика Ангола, Республика Бенин, Республика Кабо-Верде, Республика Корея, Республика Перу, Республика Сенегал, Тунисская Республика, Республика Чили, Специальный административный район Гонконг Китайской Народной Республики, Швейцарская Конфедерация.

Однако отсутствие необходимого Вам государства в этих списках не лишает вас возможности, соблюдая действующее законодательство, осуществлять трансграничную передачу персональных данных,

Согласно 152-ФЗ осуществление трансграничной передачи данных возможно в определенных случаях:

  • наличие согласия в письменной форме субъекта Персональных данных на трансграничную передачу его персональных данных;
  • предусмотренных международными договорами РФ;
  • предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
  • исполнения договора, стороной которого является субъект персональных данных;
  • защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Таким образом, при наличии письменного согласия с каждым лицом, чьи данные будут передаваться, это можно сделать вполне законно.

При принятии решения об осуществлении трансграничной передачи персональных данных необходимо сделать следующее:

  1. получить согласие персонально у каждого субъекта, в нем отразить куда будут передаваться данные, кому именно, цели, объем передачи, границы обработки (что с ним будут делать: просто аккумулировать, обрабатывать, обновлять и тд)
  2. обновить политику компании, регламентирующую обработку персональных данных, так же в ней отразить цели трансграничной передачи персональных данных, объем передаваемых данных и лиц, которым эти данные передаются, правовое обоснование трансграничной передачи персональных данных (перечень нормативно – правовых документов, на основании которых осуществляется передача и обработка персональных данных), Регламент обеспечения безопасного обмена персональных данных (прописать процедуру, как это происходит, с использованием какого оборудования и тд, как происходит защита, шифровка по каналам связи и тд)
  3. Заключить договор с компанией, которой данные передаются, где указать:
    • перечень действий, осуществляемых с персональными данными;
    • цели обработки;
    • обязанность обработчика соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;
    • требования к защите обрабатываемых персональных данных. При этом, организация, которой передаются персональные данные при организации обработки будет руководствоваться законодательством страны пребывания;
  4. Уведомить Роскомнадзор об осуществлении трансграничной передачи персональных данных.

Поделиться