среда, 10 июня 2015 г.

ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

Украинские компании часто сталкиваются с необходимостью передать персональные данные работников за пределы страны. Это может быть связано с хранением данных на зарубежных серверах, передачей сведений о работнике иностранным контрагентам или созданием унифицированной системы кадрового учета международными холдингами, в состав которых входит украинская компания. Как государство регулирует трансграничную передачу персональных данных и с какими рисками могут столкнуться компании, мы рассмотрим ниже.




Irina Kovalchuk ILF
Ирина Ковальчук,
Юрист ILF
Украинское законодательство не запрещает обработку и хранение персональных данных за границей, однако такие данные могут передаваться только в те государства, которые могут обеспечить их надлежащую защиту.
По Закону Украины «О защите персональных данных» от 01.06.2010 № 2297-VI (далее – закон), к таким государствам относятся:
  • государства-участники Европейского экономического пространства (ЕЭП);
  • государства, которые подписали Конвенцию Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных (далее - Конвенция).

Arsen Buchkovskiy ILF
Арсен Бучковский,
Юрист ILF
Например, Мальта – член ЕЭП и считается страной с надлежащей защитой персональных данных. Швейцария – не является членом ЕЭП, однако в 1997 году подписала Конвенцию, поэтому также считается страной, которая обеспечивает надлежащую защиту данных.
Несмотря на то, что страны, входящие в состав ЕЭП или подписавшие Конвенцию, считаются такими, что обеспечивают надлежащую защиту персональных данных, передача определенных сведений может иметь свои особенности. Так, например, существует особая процедура защиты и обработки ряда данных, передача которых представляет особый риск для прав и свобод работников[1].
Другие страны, которые обеспечивают надлежащую защиту персональных данных, должны быть перечислены Кабинетом Министров Украины. Однако до сих пор такой перечень не составлен, в связи с чем все государства, которые не входят в ЕЭП и не подписали Конвенцию, автоматически считаются такими, что не обеспечивают надлежащий уровень защиты персональных данных.
Не смотря на это, закон, все же, оставляет возможность передавать персональные в эти страны. Для этого необходимо соблюдение одного из следующих условий:
  • субъект данных (работник) предоставил свое однозначное согласие на такую передачу;
  • существует необходимость заключения или исполнения сделки между владельцем персональных данных и третьим лицом - субъектом персональных данных в пользу субъекта персональных данных;
  • существует необходимость защиты жизненно важных интересов субъектов персональных данных;
  • существует необходимость защиты общественных интересов, установления, исполнения и обеспечения правового требования;
  • владелец персональных данных предоставил соответствующие гарантии невмешательства в личную и семейную жизнь субъекта персональных данных.
Как оценить однозначность согласия субъекта или необходимость защиты чьих-то интересов, закон не уточняет. Как следствие, передача персональных данных сопряжена с риском признания ее неправомерной и соответствующими санкциями. Контроль над соблюдением законодательства о защите персональных данных осуществляет Уполномоченный ВРУ по правам человека. Уполномоченный имеет право проводить плановые и внеплановые проверки владельцев и распорядителей персональных данных.
В случае выявления нарушений законодательства о персональных данных, должностные лица компании (чаще всего – директор) могут быть привлечены к административной ответственности – штрафу в размере до 34 000 грн. А за нарушение неприкосновенности частной жизни и незаконное обращение с конфиденциальной информацией (незаконный сбор, хранение, использование, уничтожение, распространение), Уголовный Кодекс Украины и вовсе предусматривает наказание в виде лишения свободы до 5 лет.
Таким образом, при трансграничной передаче персональных данных следует быть крайне осторожным. Для минимизации риска привлечения к ответственности необходимо учитывать как особенности данных, которые будут передаваться и цели и их передачи, так и специфику работы компаний которые передают и обрабатывают данные.
Например, однозначное согласие работника на трансграничную передачу его данных следует оформлять в письменном виде, можно даже в трудовом договоре. Не будет лишним указать, в какие государства планируется передача данных,  и на каких условиях.
Рекомендуем передавать сведения зарубежным компаниям исключительно на основе договора. В этом договоре следует предусмотреть права и обязанности каждой из сторон по обработке данных и гарантии соблюдения прав работников как субъектов персональных данных [2].



[1] Данные о расовом или этническом происхождении; политических, религиозных или мировоззренческих убеждениях; членстве в политических партиях и профессиональных союзах; осуждении к уголовному наказанию; здоровье; половой жизни; а также биометрических или генетических данных.
[2] Право на доступ к данным о себе, право знать о местонахождении базы персональных данных, право на информацию о зарубежной компании – распорядителе данных и др.

Комментариев нет:

Отправить комментарий