Комментарии.org Комментарии Российского законодательства
Научно-практический постатейный комментарий к Федеральному закону "О персональных данных"
Материал представляет собой постатейный научно-практический комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных". В нем рассматриваются правоотношения, складывающиеся в процессе получения, хранения и обработки персональных данных на территории Российской Федерации.
Статья 12. Трансграничная передача персональных данных

Комментарий к статье 12

1. Положения о трансграничной передаче данных являются одним из конститутивных элементов правового режима обработки персональных данных. Они стали появляться в 70-е - 80-е гг. прошлого века. Основной целью введения указанных положений было стремление избежать обхода закона операторами вследствие выведения процессов обработки персональных данных в страны с отсутствующим или более благоприятным регулированием. Кроме того, принимались во внимание и трудности, связанные с реализацией субъектом персональных данных своих прав за рубежом, в том числе в условиях отсутствия налаженного сотрудничества между органами по защите прав субъектов персональных данных таких стран. Наконец, озабоченность вызывали и риски, связанные с получением доступа к персональным данным своих граждан иностранными государственными органами. В связи с этим предполагалось, что ограничения и запреты на трансграничную передачу данных будут способствовать минимизации подобного рода рисков, не накладывая при этом неоправданных ограничений на развитие экономических связей между странами <1>. Следует отметить, что данные правила появились в тот момент, когда основной объем таких операций приходился на государственный и корпоративный секторы, а также характеризовался линейностью и предсказуемостью с точки зрения отправителя и адресата таких данных. С тех пор они практически не претерпели изменений, несмотря на качественное изменение масштабов и характера информационных потоков. Появление и повсеместное использование сети Интернет с подчинением процессов передачи и распространения информации ее архитектуре, безразличной к географическим границам, появление трансграничных онлайн-сервисов, активное участие физических лиц в инициировании процессов передачи данных, развитие "облачных" сервисов, глобализация экономики - все это существенно осложнило применение положений о трансграничной передаче персональных данных, которые по-прежнему ориентированы на географические границы.
--------------------------------
<1> Подробный анализ указанных мотивов см.: Christopher Kuner. Transborder Data Flows and Data Privacy Law. Oxford University Press. 2013. P. 101 - 120.

2. О понятии трансграничной передачи данных см. комментарий к ст. 3 настоящего Закона, о соотношении положений о трансграничной передаче данных и о требованиях локализации отдельных процессов их обработки - комментарий к ст. 18.
3. В соответствии с комментируемой статьей, логика и основные положения которой во многом заимствованы из Директивы 1995 г., трансграничная передача персональных данных по общему правилу запрещена, за исключением случаев, когда (1) осуществляется передача на территорию страны, обеспечивающей адекватный уровень защиты, или (2) имеется одно из специальных легитимирующих такую передачу оснований, указанных в ч. 4 комментируемой статьи.
К странам, обеспечивающим адекватный уровень защиты, относятся:
1) все страны, которые являются сторонами Конвенции 1981 г. Всего таких стран по состоянию на 1 февраля 2017 г. 50. К ним относятся 44 страны - члена Совета Европы (Австрия, Азербайджан, Албания, Андорра, Армения, Бельгия, Болгария, Босния и Герцеговина, Македония, Великобритания, Венгрия, Германия, Греция, Грузия, Дания, Ирландия, Исландия, Испания, Италия, Кипр, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Молдова, Монако, Нидерланды, Норвегия, Польша, Португалия, Россия, Румыния, Сан-Марино, Сербия, Словакия, Турция, Украина, Финляндия, Франция, Хорватия, Черногория, Чешская Республика, Швейцария, Швеция, Эстония) и 6 стран, не являющихся членами Совета Европы (Кабо-Верде, Марокко, Остров Маврикий, Сенегал, Тунис, Уругвай) <1>;
--------------------------------
<1> https://www.coe.int/ru/web/conventions/full-list/-/conventions/treaty/108/signatures?p_auth=vo5Rcj4K

2) страны, указанные в специальном перечне Роскомнадзора <1>. Первоначально в их число входили: Австралия, Аргентина, Израиль, Канада, Марокко, Малайзия, Мексика, Монголия, Новая Зеландия, Ангола, Бенин, Кабо-Верде, Корея, Перу, Сенегал, Тунис, Чили. Когда шла подготовка настоящего комментария, Роскомнадзор инициировал процесс пересмотра данного перечня. Частично это связано с тем, что некоторые страны, входившие в него, стали сторонами Конвенции 1981 г. (Кабо-Верде, Марокко, Тунис). Однако изменения могут затронуть и статус иных стран.
--------------------------------
<1> Приказ Роскомнадзора от 15 марта 2013 г. N 274 "Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных" (в ред. от 29 октября 2014 г.).

Такие страны, как США, Китай, Япония, не относятся к странам, обеспечивающим, по мнению российских регуляторов, адекватный уровень защиты. Равным образом к ним не относится большинство стран, кроме Армении, входящих в Евразийский экономический союз: Белоруссия, Казахстан, Киргизия, в связи с чем не очень понятно, как предполагается осуществлять тесную экономическую интеграцию с указанными странами, если свободный обмен персональными данными с ними невозможен.
4. Часть 1 комментируемой статьи допускает возможность введения запретов и ограничений на трансграничную передачу данных в страны, обеспечивающие адекватный уровень защиты прав субъектов персональных данных, если это необходимо "в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства". Формально подобного рода запреты и ограничения не противоречат международным обязательствам Российской Федерации. Конвенция 1981 г. не допускает запреты и ограничения трансграничной передачи данных на территорию государства - члена Конвенции с единственной целью защиты частной жизни. Таким образом, запреты и ограничения, обусловленные публично-правовыми соображениями, ею не регламентируются. По состоянию на 1 февраля 2017 г. прецедентов реализации Российской Федерацией возможности введения запретов и ограничений на трансграничную передачу данных в государства, являющиеся сторонами Конвенции 1981 г., не было.
5. Положения, регламентирующие основания для трансграничной передачи данных, являются дополнительными по отношению к общим основаниям для обработки персональных данных, указанных в ст. ст. 6, 10 и 11 Закона о персональных данных. Таким образом, процесс легитимации трансграничной передачи персональных данных предполагает два этапа: 1) законное основание для сбора и обработки таких данных и 2) законное основание для трансграничной передачи таких данных. В последнем случае это означает обязанность оператора убедиться до начала осуществления трансграничной передачи персональных данных в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных (см. ч. 3 комментируемой статьи). На практике это означает проверку оператором принадлежности страны - получателя данных к членам Конвенции 1981 г. или ее наличия в актуальном на момент передачи данных перечне Роскомнадзора <1>. Если страна - получатель данных находится в соответствующем перечне, то никаких дополнительных формальностей оператору соблюдать не требуется. Если же такая страна отсутствует в нем, то необходимо соблюдение одного из специальных оснований, указанных в ч. 4 комментируемой статьи. Оператору не дано права самостоятельно оценивать адекватность уровня защиты прав субъектов персональных данных на основе соответствия законодательства той или иной страны положениям Конвенции 1981 г. и применяемых мер безопасности персональных данных - это прерогатива Роскомнадзора.
--------------------------------
<1> См.: Федеральный закон "О персональных данных": Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. С. 77.

6. Комментируемая статья в ч. 4 содержит исчерпывающий перечень оснований для трансграничной передачи персональных данных в страны, не обеспечивающие адекватный уровень защиты. В него входят:
1) согласие субъекта в письменной форме. Такое согласие должно отвечать требованиям ст. 9 Закона о персональных данных, т.е. должно быть конкретным, сознательным и информированным. Соблюдение данных требований предполагает как минимум уведомление субъекта о конкретных странах, на территорию которых осуществляется передача его данных <1>. Указанное согласие может быть предоставлено и в форме документа, подписанного электронной подписью с соблюдением положений Федерального закона "Об электронной подписи";
--------------------------------
<1> В Постановлении Девятого арбитражного апелляционного суда от 16 августа 2016 г. N 09АП-30182/2016-АК по делу N A40-17595/16 было установлено: "Для устранения выявленного нарушения Обществу необходимо разработать и использовать типовую форму письменного согласия субъекта ПДН на осуществление трансграничной передачи персональных данных на территорию США".

2) случаи, предусмотренные международными договорами;
3) случаи, предусмотренные федеральными законами и оправданные конкретными публичными целями: защитой основ конституционного строя РФ, обеспечением обороны страны и безопасности государства, а также обеспечением безопасности на объектах транспортной инфраструктуры;
4) исполнение договора, стороной которого является субъект персональных данных. Здесь следует отметить, что, в отличие от положений п. 5 ч. 1 ст. 6 Закона о персональных данных, в данном случае не предусмотрена возможность передачи персональных данных в связи с заключением договора, а также если субъект персональных данных является выгодоприобретателем или поручителем по такому договору. Необходимость трансграничной передачи персональных данных должна вытекать из предмета заключенного договора. Трансграничная передача данных о клиенте туристическим агентством в зарубежный отель для целей бронирования неразрывно связана с предметом туристических услуг. Аналогичным образом исполнение договора на предоставление трансграничных "облачных" сервисов сопряжено с циркулированием данных через различные дата-центры, находящиеся в разных странах;
5) защита жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия субъекта персональных данных в письменной форме. Данное основание соответствует положениям п. 3 ч. 2 ст. 10 Закона о персональных данных (см. комментарий к нему).
7. После того как трансграничная передача данных состоялась, оператор - импортер данных осуществляет обработку персональных данных в соответствии с законодательством о персональных данных страны своего пребывания. Законодательство о персональных данных "не следует" за данными. Однако если такой иностранный оператор подпадает под действие Закона о персональных данных, осуществляя деятельность, направленную на территорию Российской Федерации (см. комментарий к ст. 1 настоящего Закона), то в части сбора и обработки персональных данных, собираемых на территории Российской Федерации, к нему применяются положения Закона о персональных данных, в частности требования локализации (ч. 5 ст. 18).
8. Оператор персональных данных, осуществляющий трансграничную деятельность и имеющий место присутствия на территории различных стран, может подпадать под действие различных законов о персональных данных, конфликтующих между собой, что является прямым следствием отсутствия их унификации на международном уровне <1>. В таком случае компании мало что остается, разве что выбор "меньшего из двух зол" по результатам анализа всех возможных рисков, связанных с несоблюдением соответствующего требования законодательства (размеров штрафов и иных последствий, репутационных и медийных рисков и пр.). Например, необходимость передачи персональных данных за рубеж в связи с запросом иностранного государственного органа, исходящего из страны, не обеспечивающей адекватный уровень защиты, даже если такой запрос основан на законе указанной страны, не является основанием, легитимирующим такую передачу в соответствии с требованиями Закона о персональных данных. В этой связи законная передача таких данных возможна лишь с согласия субъекта. Аналогичный подход справедлив и применительно к передаче персональных данных из Европы в Россию по запросу российских государственных органов.
--------------------------------
<1> ICC policy statement on cross-border law enforcement access to company data - current issues under data protection and privacy law 07.02.2012.

9. Следует отметить, что в странах Европейского союза установлены существенные ограничения на трансграничную передачу данных, при этом несмотря на то, что все страны, входящие в состав ЕС, являются сторонами Конвенции 1981 г., приоритет для них имеют правила, установленные именно в законодательстве Европейского союза как закрепляющие более высокий уровень защиты прав субъектов персональных данных.
Возможность отхода от принципа недопустимости ограничений на трансграничные потоки персональных данных между странами - участницами Конвенции 1981 г. и существование специальных правил регулирования трансграничной передачи персональных данных прямо допускаются и самой Конвенцией в той степени, в какой внутреннее законодательство соответствующей страны включает "специальные правила в отношении определенных категорий персональных данных или автоматизированных файлов персональных данных в силу характера этих данных или этих файлов, за исключением случаев, когда правила другой Стороны предусматривают такую же защиту" (ст. 12 (3) (а)).
Согласно положениям законодательства Европейского союза в перечень стран, обеспечивающих адекватный уровень защиты прав субъектов персональных данных, входят страны - члены ЕС и Европейского экономического сообщества (Норвегия, Лихтенштейн и Исландия), а также третьи страны, признанные таковыми Европейской комиссией. По состоянию на 1 февраля 2017 г. к таким странам относятся: Андорра, Аргентина, Канада, Швейцария, Фарерские острова, остров Гернси, Израиль, остров Мэн, остров Джерси, Новая Зеландия, США (в части, охватываемой соглашением EU-US Privacy Shield от 12 июня 2016 г.) <1> и Уругвай <2>.
--------------------------------
<1> Указанное соглашение пришло на смену соглашению Safe Harbor, которое было признано недействительным Европейским судом справедливости в решении по делу Maximillian Schrems v. Data Protection Commissioner. ECJ, Case C-362/14. 6 November 2015.
<2> http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm

10. Российская Федерация, являясь третьей страной, не рассматривается, с точки зрения законодательства Европейского Союза о персональных данных, в качестве страны, обеспечивающей адекватный уровень защиты персональных данных, несмотря на факт ратификации Россией Конвенции 1981 г. В этой связи вызывает интерес вопрос о соответствии уровня развития российского законодательства о персональных данных, включая его правоприменительную практику, европейским стандартам. Для ответа на него необходимо обратиться к критериям оценки, которые указаны в Регламенте 2016 г., поскольку вряд ли данный вопрос встанет в оставшийся период действия Директивы 1995 г. <1>.
--------------------------------
<1> В настоящее время критерии оценки адекватности уровня предоставляемой государством защиты правам субъектов персональных данных в общем виде сформулированы в документе рабочей группы ст. 29 Директивы 1995 г.: Working Document on Transfers of Personal Data to Third Countries: Applying Articles 25 and 26 of EU Data Protection Directive. DG XV D/5025/98 WP 12. 24 July 1998.

В числе критериев, которые принимаются во внимание Европейской комиссией при оценке адекватности страны, в ст. 45 (2) Регламента 2016 г. указаны: общий уровень законности и защиты фундаментальных прав и свобод человека и гражданина; уровень развития правоприменительной практики и эффективность судебных средств защиты прав субъектов персональных данных; степень доступа государственных органов страны-импортера к переданным персональным данным; существование и эффективность функционирования органа по защите персональных данных; международные обязательства страны-импортера в отношении защиты персональных данных. В самом общем виде эти критерии можно свести к следующему выводу: законодательство о персональных данных является эффективным, т.е. предоставляющим адекватный уровень защиты, когда: 1) его требования понятны и исполнимы; 2) несоблюдение норм законодательства экономически невыгодно и чревато для нарушителя последствиями, перекрывающими выгоду от их несоблюдения; 3) существует эффективная система контроля и надзора, а также судебной защиты нарушенных прав.
Оценивая степень соответствия Российской Федерации приведенным европейским критериям, неизбежно приходишь к пессимистическим выводам. Вряд ли европейские чиновники положительно оценят уровень развития законности и степени защиты фундаментальных прав и свобод в России, принимая во внимание нынешний вектор развития регулирования сети Интернет, а также существующую геополитическую ситуацию. Уровень развития правоприменительной практики и доктрины в области персональных данных в России существенно отстает от европейского уровня. Для того чтобы в этом убедиться, достаточно проанализировать глубину проработки соответствующих вопросов рабочей группой ст. 29 Директивы 1995 г. (специальный консультативный орган, созданный в рамках указанной статьи, состоящий из представителей контрольно-надзорных органов стран - членов ЕС), а также уровень аргументации, используемой, например, в английских или немецких судебных решениях по вопросам персональных данных.
Отечественные суды демонстрируют в целом пренебрежительное отношение к защите прав субъектов персональных данных (особенно суды общей юрисдикции в московском регионе) и в ряде случаев ограничиваются лишь копированием статей Закона о персональных данных и подзаконных актов, не сопровождая их каким-либо анализом. Разъяснения Роскомнадзора по вопросам применения законодательства о персональных данных скудны и нередко противоречивы. Уровень штрафов за нарушение положений законодательства о персональных данных, а также существующие подходы судов к взысканию морального вреда также не позволяют говорить ни об их достаточном превентивном эффекте, ни о компенсаторной функции. Обилие ведомственных актов, санкционирующих обработку персональных данных государственными органами, также вряд ли можно рассматривать в качестве сильной стороны российского подхода к защите персональных данных. Особенно это касается актов об обязательном хранении метаданных и текстов сообщений пользователей (например, "Закон Яровой"), которые находятся в явном противоречии с практикой Европейского суда справедливости <1>, а также регулирования тайной "прослушки" ("СОРМ"), которая была признана не соответствующей положениям Конвенции 1950 г. решением ЕСПЧ по делу "Захаров против Российской Федерации". Кроме того, может вызвать определенные вопросы и статус Роскомнадзора как органа, находящегося в подчинении Минкомсвязи России и не являющегося организационно самостоятельным органом, как того требуют европейские стандарты <2>.
--------------------------------
<1> Tele2 Sverige v. Post-och Telestyrelsen and Secretary of State for the Home Department v. Watson. ECJ, Joined Cases C-203/15 and C-698/15. 21 December 2016; Digital Rights Ireland Ltd v. Minister for Communications, Marine and Natural Resources. ECJ, Joined Cases C-293/12 and C-594/12. 8 April 2014.
<2> См. ст. 28 (1) Директивы 1995 г. Согласно ст. 52 Регламента 2016 г. уполномоченный орган по защите персональных данных должен действовать при реализации своих полномочий без прямого или косвенного влияния извне, не должен получать или запрашивать инструкции от кого бы то ни было, а также иметь независимый бюджет, сведения о котором публично доступны. Соответствует ли Роскомнадзор указанным требованиям, каждый может определить сам. При этом абсолютно не важно, что данные стандарты являются европейскими и формально неприменимы к России, на что ссылаются представители Роскомнадзора (см.: Федеральный закон "О персональных данных": Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. С. 139). Важно лишь то, что уполномоченные европейские органы принимают во внимание именно свои стандарты при оценке степени адекватности уровня защиты прав субъектов персональных данных, предоставляемой третьими странами.

В совокупности приведенные факторы дают основание полагать, что в отсутствие весомых политических соображений Европейская комиссия вряд ли признает Российскую Федерацию страной, обеспечивающей адекватный уровень защиты персональных данных.
С практической точки зрения все это означает, что европейские компании, в том числе входящие в одну группу с российскими компаниями, при передаче данных в Россию должны использовать одно из специальных оснований для трансграничной передачи, которое предусмотрено в Директиве 1995 г. (Регламенте 2016 г.).
11. В соответствии с Директивой 1995 г. трансграничная передача персональных данных за пределы территории стран Европейского союза, не обеспечивающих адекватный уровень защиты персональных данных, возможна при наличии следующих оснований (derogations):
1) наличие согласия субъекта персональных данных, выраженное в недвусмысленной форме (ст. 26 (1) (a)). При этом Регламент 2016 г. требует явного согласия, а также предварительного информирования субъекта о рисках, связанных с такой трансграничной передачей (ст. 49 (1) (a));
2) передача персональных данных необходима для исполнения договора, сторонами которого являются оператор и субъект персональных данных, или для заключения такого договора по инициативе субъекта персональных данных (ст. 26 (1) (b)). Аналогичное основание содержится и в Регламенте 2016 г. (ст. 49 (1) (b));
3) передача персональных данных необходима для заключения или исполнения договора, заключенного оператором с третьим лицом в интересах субъекта персональных данных (ст. 26 (1) (c). Аналогичное основание содержится и в Регламенте 2016 г. (ст. 49 (1) (c));
4) передача персональных данных необходима или требуется в силу закона и обусловлена соображениями существенного публичного интереса либо необходимостью установления, реализации или защиты правовых требований (ст. 26 (1) (d). В Регламенте 2016 г. указанное положение, которое по сути содержит два разных основания, разделено на два пункта (ст. 49 (1) (d) и (e) соответственно);
5) передача персональных данных необходима для защиты жизненно важных интересов субъекта персональных данных (ст. 26 (1) (e)). Регламент 2016 г. дополнил данное основание указаниями на наличие необходимости защиты жизненно важных интересов других лиц, а также на физическую или юридическую невозможность получения согласия от субъекта персональных данных (ст. 49 (1) (f));
6) передаваемые персональные данные содержались в общедоступном реестре, при условии соблюдения порядка использования такого реестра (ст. 26 (1) (f)). Аналогичное основание содержится и в Регламенте 2016 г. (ст. 49 (1) (g)).
Помимо вышеуказанных оснований Директива 1995 г. допускает осуществление трансграничной передачи данных в случаях, когда имеют место адекватные гарантии (adequate safeguards). К таким гарантиям относится использование:
1) стандартных договорных условий (standard contract clauses), одобренных Европейской комиссией. По состоянию на 1 февраля 2017 г. существуют набор стандартных условий для трансграничной передачи в отношениях "оператор - оператор" <1> и набор стандартных условий для отношений "оператор - обработчик" <2>;
--------------------------------
<1> Commission Decision 2004/915/EC of 27 December 2004 amending Decision 2001/497/EC as regards the introduction of an alternative set of standard contractual clauses for the transfer of personal data to third countries.
<2> Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council.

2) договорных условий, разработанных под конкретный случай (ad hoc contract clauses), одобренных уполномоченным органом по защите персональных данных страны - экспортера данных;
3) так называемых обязательных корпоративных правил (binding corporate rules, BCR), представляющих собой свод правил обработки данных, принятых в рамках компании или группы компаний и порождающих соответствующие права для субъектов персональных данных. При использовании таких правил все компании, охватываемые ими, превращаются в единое информационное пространство, в рамках которого обеспечивается единый уровень защиты прав субъектов персональных данных безотносительно к географическому местонахождению таких компаний. В случае нарушения прав субъекта персональных данных иностранным оператором, подпадающим под действие BCR, ответственность за его действия будет нести оператор, находящийся в стране местонахождения субъекта персональных данных.
12. Регламент 2016 г. не только закрепил указанные виды оснований, но и предусмотрел ряд дополнительных. В соответствии со ст. 46 (2) к ним относятся:
- соглашения между государственными органами страны - экспортера и страны - импортера персональных данных. В качестве примера можно привести упоминавшееся ранее соглашение EU-US Privacy Shield, которое пришло на смену признанному недействительным соглашению Safe Harbor <1>. Основными отличиями нового соглашения от прежнего являются: явно выраженное обязательство компании-оператора удалить данные по достижении цели обработки; обязанность третьих лиц, привлеченных к обработке персональных данных, обеспечить выполнение положений данного соглашения; заявление представителя правительства США об использовании механизмов массовой слежки лишь в исключительных случаях, когда адресная слежка невозможна, а также о минимизации объема собираемых данных и случаев доступа к содержащейся в них информации;
--------------------------------
<1> О неэффективности защиты персональных данных в рамках соглашения Safe Harbor эксперты говорили еще более 10 лет назад. Как отмечается, "и Европейская Комиссия, и Департамент Торговли США хотели создать видимость защиты неприкосновенности частной жизни по европейским стандартам, однако то, насколько она была на самом деле защищена, было безразлично обоим ведомствам. Главной целью данного соглашения было сохранение возможности обмена данными между двумя ключевыми экономическими регионами, и она была достигнута" (см.: Heisenberg D. Negotiating Privacy: The European Union, the United States, and Personal Data Protection // Lynne Rienner Publishers. 2005. P. 160).

- наличие кодексов поведения (code of conduct), подготовленных ассоциациями и иными объединениями операторов в соответствующих индустриях и одобренных уполномоченным органом по защите субъектов персональных данных (ст. 40 Регламента 2016 г.). Оператор должен признать юридическую силу такого кодекса посредством включения отсылки к нему в договоре или посредством иного юридически значимого действия. В отличие от BCR, рассчитанных на крупные компании, данный вариант предназначен преимущественно для организаций малого и среднего бизнеса;
- прохождение оператором-импортером, на которого не распространяются требования Регламента 2016 г., процедуры сертификации, подтверждающей факт принятия им необходимых гарантий. Указанная процедура предусмотрена ст. 42 Регламента 2016 г.
Достаточно прогрессивным является положение Регламента 2016 г., разрешающее в качестве исключения трансграничную передачу персональных данных в отсутствие какого-либо из вышеперечисленных оснований, если такая передача не имеет повторяющийся характер, затрагивает ограниченный круг субъектов персональных данных и необходима для реализации оператором существенных и законных целей при условии принятия им мер защиты переданных персональных данных (ст. 49 (1)).
Таким образом, Регламент 2016 г. существенно расширил перечень оснований, легитимирующих трансграничную передачу персональных данных за пределы Европейского союза, стремясь при этом установить оптимальный баланс между обеспечением высокого уровня защиты прав субъектов персональных данных и минимизацией барьеров для вовлечения персональных данных в трансграничные экономические процессы и межгосударственное сотрудничество.

Безымянная страница

Rambler's Top100
На правах рекламы:
Copyright 2007 - 2018 гг. Комментарии.ORG. All rights reserved.
При использовании материалов сайта активная гипер ссылка  обязательна!