№5(23)2009
Н. В. Самойлова
Трансграничная передача персональных данных: проблемы правоприменения1
В качестве причины проблем защиты персональных данных все чаще рассматривается несовершенный механизм правового регулирования. Серьезные трудности у операторов персональных данных возникают, в том числе, при осуществлении трансграничной передачи персональных данных, правовым проблемам которой посвящена настоящая статья.
Вокруг Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) до сих пор возникают многочисленные дискуссии. Поводом для них в основном является возможность его практической реализации, в том числе в части осуществления трансграничной передачи персональных данных.
В соответствии со ст. 3 Закона № 152-ФЗ трансграничная передача персональных данных — это передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства. Описание столь важного процесса нашло свое закрепление всего в одной статье Закона № 152-ФЗ, видимо, из-за отсутствия у законодателя более четкого представления о процессе нормативного регулирования трансграничной передачи.
Государственные органы, поспешившие выполнить требования Закона №152-ФЗ после его вступления в силу, приняли приказы, утверждающие организацию работы с персональными данными их служащих, а именно:
• приказ Федеральной службы по надзору в сфере здравоохранения и социального развития от 12 мая 2009 г. № 3500-Пр/09 «О защите персональных данных государственных
гражданских служащих центрального аппарата и заместителей руководителей территориальных органов Федеральной службы по надзору в сфере здравоохранения и социального развития» (не вступил в силу);
• приказ Министерства транспорта Российской Федерации от 17 февраля 2009 г. № 27 «Об утверждении Положения об организации работы с персональными данными государственного гражданского служащего Министерства транспорта Российской Федерации и ведении его личного дела»;
• приказ Федерального дорожного агентства от 2 февраля 2009 г. № 5 «О защите персональных данных государственных гражданских служащих Федерального дорожного агентства»;
• приказ Федеральной службы по тарифам от 7 ноября 2008 г. № 441-к «Об утверждении Положения о работе с персональными данными государственного гражданского служащего ФСТ России и ведении его личного дела»;
• приказ Федерального агентства по обустройству государственной границы Российской Федерации от 13 октября 2008 г. №101 «О защите персональных данных государственных гражданских служащих Федерального агентства по обустройству государственной границы Российской Федерации»;
1 Статья подготовлена по результатам Всероссийской научно-практической конференции Московской финансово-промышленной академии «Развитие конкуренции на рынке информационных технологий» (25-26 марта 2009 г.). — Прим. ред.
77
№5(23)2009
§ £ £
I &
0
«о
а &
1
£
о &
I
■о
■с §
§
с
а »
а
а §
• приказ Федерального агентства по недропользованию от 17 января 2008 г. №28 «О защите персональных данных государственных гражданских служащих центрального аппарата и заместителей руководителей территориальных органов Федерального агентства по недропользованию»;
• приказ Федеральной службы по надзору в сфере природопользования от 27 декабря 2007 г. №591 «О защите персональных данных государственных гражданских служащих Федеральной службы по надзору в сфере природопользования»;
• приказ Министерства природных ресурсов Российской Федерации от 5 сентября 2007 г. № 230 «О защите персональных данных государственных гражданских служащих Министерства природных ресурсов и экологии Российской Федерации, заместителей руководителей федеральных органов исполнительной власти, находящихся в ведении Министерства природных ресурсов и экологии Российской Федерации, руководителей их территориальных органов»;
• приказ Федерального космического агентства от 1 февраля 2007 г. № 29к «О защите персональных данных государственных гражданских служащих Федерального космического агентства».
Сходство этих документов проявляется, в том числе, в попытках государственных органов, их принявших, закрепить и порядок осуществления трансграничной передачи персональных данных государственных служащих. Выразились эти попытки в обозначении понятия трансграничной передачи,закрепленного в ст. 3 Закона № 152-ФЗ, а также в предложении: «Трансграничная передача персональных данных на территории иностранных государств осуществляется в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных"».
Согласно ст. 12 Закона № 152-ФЗ, до начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача, обеспечивается адекватная защита прав субъектов персональных данных.
При реализации этих требований у операторов персональных данных возникает множество вопросов, и самый главный из них — что такое «адекватность защиты»?
С правовой точки зрения обеспечение адекватной защиты прав субъектов персональных данных означает наличие законодательства в сфере персональных данных. В связи с этим, прежде чем передать персональные данные на территорию иностранного государства, оператору необходимо изучить законодательство иностранного государства о персональных данных и таким образом оценить адекватность защиты прав субъектов персональных данных.
Формулировка вышеприведенной статьи не позволяет оператору составить перечень определенных критериев для оценки адекватности защиты. Возможно, законодатель имел в виду соотнесение правовых норм в сфере защиты персональных данных иностранного государства с правовыми нормами Российской Федерации. Еще один вариант толкования этой статьи — достаточность правового регулирования сферы защиты прав субъектов персональных данных исходя из особенностей конкретного иностранного государства.
Если законодатель предъявляет определенные требования, должны быть и условия для их выполнения. А именно, для того чтобы оператору убедиться в обеспечении адекватной защиты прав субъектов персональных данных на территории иностранного государства, ему необходимо провести анализ «адекватности» такой защиты по определенным критериям, таким как: наличие нормативного правового акта, посвященного вопросам защиты персональных данных, наличие требований по принятию мер по обеспечению безопасности персональных данных, наличие Уполномоченного органа по защите прав субъектов персональных данных и т. д.
Однако перечень таких критериев на данный момент законодательно не закреплен. Есть мнение Министерства связи и массовых коммуникаций Российской Федерации, выраженное в письме от 13 мая 2009 г. № ДС-П11-2502 «Об осуществлении трансграничной передачи персональных данных». В нем сказано, что
78
№5(23)2009
«одним из критериев оценки государства в данном аспекте может выступать факт ратификации им Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г., БТБ № 108» (далее — Конвенция). Вот что говорится в конвенции по поводу трансграничной передачи:
«1. В отношении передачи через национальные границы с помощью каких бы то ни было средств персональных данных, подвергающихся автоматизированной обработке или собранных с целью их автоматизированной обработки, применяются нижеследующие положения.
2. Сторона не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой Стороны, с единственной целью защиты частной жизни.
3. Тем не менее каждая Сторона вправе отступать от положений пункта 2:
a) в той степени, в какой ее внутреннее законодательство включает специальные правила в отношении определенных категорий персональных данных или автоматизированных баз персональных данных в силу характера этих данных или этих файлов, за исключением случаев, когда нормы другой Стороны предусматривают такую же защиту;
b) когда передача осуществляется с ее территории на территорию Государства, не являющегося Стороной настоящей Конвенции, через территорию другой стороны, в целях недопущения такой передачи, которая позволит обойти законодательство Стороны, упомянутой в начале данного пункта».
Хотелось бы обратить внимание на то, что в данной Конвенции трансграничные потоки рассматриваются не как «односторонняя» передача персональных данных с территории одного государства на территорию другого (как это закреплено в Законе №152-ФЗ), а именно как обмен данными через национальные границы. Причем запретить такой обмен только для защиты частной жизни лиц по общему правилу невозможно. Отсюда можно сделать вывод, что страны, подписавшие данную Конвенцию, успешно развивают ин-
формационный обмен друг с другом, не опа- | саясь при этом нарушить требования защиты '§ частной жизни своих граждан. Л
Понятие «международный обмен персо- «5 нальными данными» содержится и в Основ- ^ ных положениях Организации по экономическому сотрудничеству и развитию (ОЭСР) о защите неприкосновенности частной жизни и международных обменов персональными данными, принятых 23 сентября 1980 г., которое означает передачу персональных данных через национальные границы. К сожалению, Российская Федерация не входит в перечень стран ОЭСР.
Возможно, критерии адекватности защиты персональных данных должны быть отражены в международных соглашениях между странами, осуществляющими трансграничную передачу персональных данных. Но про это ни слова в Законе №152-ФЗ не сказано. Возможности операторов двух государств «договориться» о принимаемых мерах по защите персональных данных субъектов на законодательном уровне тоже нет.
В ст. 5 Директивы 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных» говорится о том, что адекватность уровня защиты, предоставляемой третьей страной, должна оцениваться в свете всех обстоятельств, связанных с операцией по передаче или набором операций по передаче.
В ч. 3 ст. 12 Закона № 152-ФЗ законодатель разрешил операторам осуществлять трансграничную передачу на территорию государства, не обеспечивающего адекватной защиты, если:
1) у оператора есть согласие в письменной форме субъекта персональных данных;
2) это предусмотрено международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
3) это предусмотрено федеральными законами в целях защиты основ конституцион-
79
№5(23)2009
§ £ £
I &
0
«о
а &
1
£
о &
I
■о
■с §
§
с
а »
а
а §
ного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
4) это необходимо в случае исполнения договора, стороной которого является субъект персональных данных;
5) это необходимо для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
Таким образом, например, туристические компании и компании, занимающиеся перевозками пассажиров, могут вовсе не забивать голову вопросами адекватности защиты на территории иностранного государства, так как трансграничная передача ими осуществляется в рамках договора, стороной которого является субъект персональных данных. К тому же, например, для авиаперевозчиков в целях обеспечения авиационной безопасности в ст. 85.1 Воздушного кодекса РФ закреплена обязанность передачи персональных данных пассажиров, в том числе в уполномоченные органы иностранных государств в соответствии с международными договорами Российской Федерации или законодательством иностранных государств вылета, назначения или транзита в объеме, предусмотренном законодательством нашей страны, если иное не установлено международными договорами Российской Федерации.
Те операторы, которые имеют на руках надлежащим образом оформленное письменное согласие субъекта на обработку его персональных данных, также освобождаются от нелегкой участи выяснения адекватности защиты прав субъектов персональных данных на территории иностранного государства. Однако судя по вопросам, возникающим на многих конференциях и семинарах по информационной безопасности, операторов, которые могут похвастаться наличием таких согласий, совсем немного.
Согласно ч. 2 ст. 12 Закона № 152-ФЗ трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъек-
тов персональных данных, осуществляется в соответствии с указанным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. Необходимо обратить внимание на то, что положения данной статьи содержат лишь цели запрета или ограничения осуществления трансграничной передачи. О том, как это соотносится с положениями Конвенции, закрепляющими свободный обмен данными через межгосударственные границы, а также про порядок такого запрета или обмена в Законе № 152-ФЗ ничего не сказано.
С другими проблемами информационного взаимодействия сталкиваются те операторы, которые, например, имеют филиалы или представительства на территории иностранных государств. Как известно, филиалы или представительства не являются юридическими лицами, следовательно, такие случаи осуществления трансграничной передачи выпадают из сферы действия Закона № 152-ФЗ.
Нечеткое формулирование требований Закона № 152-ФЗ относительно осуществления трансграничной передачи персональных данных, отсутствие каких-либо официальных комментариев или рекомендаций на эту тему, и, как следствие, непонимание операторами, каким образом выполнять требования Закона № 152-ФЗ, приводит к тому, что организации, передавая обрабатываемые персональные данные за границу, не задумываются о серьезности совершаемых действий с точки зрения возможности их утечки.
К примеру, тем операторам, к которым не приходил с проверкой Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор), еще предстоит встретиться с его инспекторами. Согласно данным, озвученным представителями Центрального аппарата Роскомнадзора на одной из конференций по персональным данным в конце 2008 г., в 2009 г. запланировано провести 46 мероприятий по контролю: две многотерриториальные, три комплексные и 41 проверка по Москве и Московской области.
80
№5(23)2009
По словам сотрудников Роскомнадзора Уполномоченный орган понимает, что нормативная правовая база несовершенна, а практика проверки выполнения требований Закона № 152-ФЗ, особенно в части осуществления трансграничной передачи, на данный момент ничтожна. Тем не менее, готовятся поправки в главу 13 Кодекса Российской Федерации об административных правонарушениях, в том числе предусматривающие ответственность за незаконное осуществление трансграничной передачи персональных данных.
Необходимо отметить, что с того момента, когда персональные данные наших граждан покидают территорию России, возможности их защиты государством заканчиваются на исключительно дипломатических средствах. Уполномоченный орган при этом не в силах контролировать выполнение операторами персональных данных, осуществивших трансграничную передачу, требований Закона № 152, а также не способен защитить права и на интересы субъектов персональных данных, поскольку возможные нарушения будут производиться уже за пределами России. Сами субъекты в подобной ситуации тоже фактически бессильны: если нарушение произошло за пределами страны, гражданин не только ограничен в возможности самозащиты своих прав, но и не может прибегать к эффективным средствам государственной защиты. Особенно неприятны случаи, когда нарушаемое право за границей не защищается или защищается в недостаточной степени.
Однако особое внимание хотелось бы обратить на то, что, несмотря на наличие определения трансграничной передачи, у многих операторов персональных данных полноценное представление о ней отсутствует.
По результатам запроса Центрального аппарата Роскомнадзора в 2008 г., адресованного Главам субъектов Российской Федерации, о предоставлении сведений об организациях, осуществляющих трансграничную передачу персональных данных, информации по существу было получено крайне мало. В большинстве своем с вопросами трансграничной передачи разбирались Администрации субъектов Российской Федерации, следовательно, и от-
веты поступили от органов государственной власти субъектов Российской Федерации. Например, Управление по международным связям, а также ЗАГС (агентство) одного из субъектов Российской Федерации сообщили, что трансграничную передачу персональных данных не осуществляют.
Крайне мало ответов содержали информацию о самых очевидных операторах, осуществляющих трансграничную передачу персональных данных, таких как туристические компании, компании, занимающиеся перевозками пассажиров, миграционные службы, банки. Более того, практически ни одна Администрация субъектов Российской Федерации не обратилась за помощью в предоставлении запрашиваемых сведений в территориальный орган Роскомнадзора. Возможно, это связано с неосведомленностью местных властей о наличии Уполномоченного органа по защите прав субъектов персональных данных.
В российском законодательстве также не отражен вопрос защиты персональных данных в процессе осуществления трансграничной передачи — ведь именно в этот момент они оказываются наиболее уязвимыми.
Существует мнение, что защиту канала связи при осуществлении трансграничной передачи должен обеспечивать оператор связи, которым, согласно ст. 2 Федерального закона от 7 июля 2003 г. № 126-ФЗ «О связи», является юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии. Однако в таком случае оператор связи — это еще одно звено в цепи защиты передаваемых персональных данных, отношения с которым также должны подлежать нормативному регулированию.
Таким образом, вполне очевидно, что вопросов на тему трансграничной передачи персональных данных возникает достаточно. Обсуждениям данной проблемы на различных конференциях по информационной безопасности нет конца.
Не вставая ни на чью сторону — ни законодателя, ни Роскомнадзора, ни возмущающихся операторов персональных данных, напомним, что Россия — это правовое государ-
«з
«о £
о .1
81
№5(23)2009
§ £ £
I &
0
«о
а &
1
£
о &
I
■о
■с §
§
с
а »
а
а §
ство. Следовательно, действующие на ее территории законы необходимо выполнять (кстати, не только операторам, но также и контролирующим органам). Поэтому без повышения правовой грамотности здесь не обойтись. Проблемами, возникающими при реализации требований нормативных правовых актов, необходимо делиться, обсуждать появляющиеся вопросы, вносить предложения для разрешения сложных ситуаций. А законодателю в свою очередь стоит задуматься над количеством пробелов в российских законах, не забывать о положениях уже действующих актов и учитывать результаты их практического применения.
СПИСОК ЛИТЕРАТУРЫ
1. Основные положения Организации по экономическому сотрудничеству и развитию (ОЭСР) о защите неприкосновенности частной жизни и международных обменов персональными данными от 23 сентября 1980 г.
2. Конвенция о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. БТБ № 108.
3. Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных».
4. Воздушный кодекс Российской Федерации от 19 марта 1997 г. № 60-ФЗ.
5. Федеральный закон от 7 июля 2003 г. № 126-ФЗ «О связи».
6. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
7. Приказ Федерального космического агентства от 1 февраля 2007 г. № 29к «О защите персональных данных государственных гражданских служащих Федерального космического агентства».
8. Приказ Министерства природных ресурсов Российской Федерации от 5 сентября 2007 г. № 230 «О защите персональных данных государственных гражданских служащих Министерства природных ресурсов и экологии Российской Федерации, заместителей руководителей федеральных органов исполнительной власти, находящихся в ведении Министерства природных ресурсов и экологии
Российской Федерации, руководителей ихтеррито-риальных органов».
9. Приказ Федеральной службы по надзору в сфере природопользования от 27 декабря 2007 г. № 591 «О защите персональных данных государственных гражданских служащих Федеральной службы по надзору в сфере природопользования».
10. Приказ Федерального агентства по недропользованию от 17 января 2008 г. № 28 «О защите персональных данных государственных гражданских служащих центрального аппарата и заместителей руководителей территориальных органов Федерального агентства по недропользованию».
11. Приказ Федерального агентства по обустройству государственной границы Российской Федерации от 13 октября 2008 г. № 101 «О защите персональных данных государственных гражданских служащих Федерального агентства по обустройству государственной границы Российской Федерации».
12. Приказ Федеральной службы по тарифам от 7 ноября 2008 г. № 441-к «Об утверждении Положения о работе с персональными данными государственного гражданского служащего ФСТ России и ведении его личного дела».
13. Приказ Федерального дорожного агентства от 2 февраля 2009 г. № 5 «О защите персональных данных государственных гражданских служащих Федерального дорожного агентства».
14. Приказ Министерства транспорта Российской Федерации от 17 февраля 2009 г. № 27 «Об утверждении Положения об организации работы с персональными данными государственного гражданского служащего Министерства транспорта Российской Федерации и ведении его личного дела».
15. Приказ Федеральной службы по надзору в сфере здравоохранения и социального развития от 12 мая 2009 г. № 3500-Пр/09 «О защите персональных данных государственных гражданских служащих центрального аппарата и заместителей руководителей территориальных органов Федеральной службы по надзору в сфере здравоохранения и социального развития».
16. Письмо Министерства связи и массовых коммуникаций Российской Федерации от 13 мая 2009 г. № ДС-П11-2502 «Об осуществлении трансграничной передачи персональных данных».
17. Персональные данные. 2008. № 4.
82