Вопрос №304 от 22.07.2013

Вопрос: В настоящий момент наша компания сотрудничает с компанией из Германии, которая анализирует данные наших клиентов (гл. обр. данные о покупках, но и персональные данные тоже) и консультирует нас в вопросах маркетинга. В рамках проекта наша компания предоставляет в Германию персональные данные клиентов, т.е. осуществляет их трансграничную передачу. При передаче данных применяется шифрование (Средствами марщрутизаторов Cisco). В анкетах покупателей есть согласие на предоставление ПД компаниям, с которыми мы связаны договорными обязательствами, но не говорится о трансграничной передаче. В законе говорится, что трансграничная передача МОЖЕТ БЫТЬ ограничена законом. Но конкретные ограничения прописаны только в отношении стран, не защищающих должным образом права субъектов ПД. Прошу Вас оценить, остаемся ли мы с этими действиями в рамках закона о ПД (ФЗ 152) или вылезаем за его рамки. Если вылезаем, то каковы риски. На мой взгляд, из ФЗ-152 следует: если Германия относится к «благонадежным» странам, то доп. согласия и доп. мер предосторожности не требуется. Каково Ваше мнение? (Аноним)

Ответ: Добрый день!
В Вашей ситуации риском скорее будет являться то, что Вы не уведомляете субъекта персональных данных о том, что Вы совершаете трансграничную передачу его персональных данных (согласно п.6 ч.4 ст.9 ФЗ-152, в согласии на обработку персональных данных Вы должны указать наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по Вашему поручению, если обработка была поручена такому лицу). Так или иначе, если Вы указываете в перечне действий совершаемых с персональными данными "Передачу третьим лицам" - Вам необходимо брать согласие с субъектов персональных данных и указывать в нем какому именно третьему лицу Вы передаете персональные данные.

Касательно "благонадежных" и "неблагонадежных" стран. Существует Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 15 марта 2013 г. N 274 "Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных". Если в этом перечне нет Германии, то (руководствуясь ч.1 ст.12) Вы должны осуществлять обработку персональных данных в соответствии с ФЗ-152, то есть исполнять все требования статей 18.1 и 19 (и не только), а так же других подзаконных актов (постановлений Правительства, приказов ФСТЭК России и т.д.).

Если же в выше приведенном перечне указано название страны на территорию которой осуществляется трансграничная передача персональных данных, Вам необходимо руководствоваться п.1 ч.4 ст.12 ФЗ-152, то есть - брать согласие субъектов на трансграничную передачу его персональных данных.