21 октября, воскресенье 02:04
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Трансграничная передача персональных данных в рамках закона о ПД?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Трансграничная передача персональных данных в рамках закона о ПД?

    В закон о ПД есть такая статья:
    Статья 12. Трансграничная передача персональных данных

    1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
    2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
    3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
    1) наличия согласия в письменной форме субъекта персональных данных;
    2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
    3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
    4) исполнения договора, стороной которого является субъект персональных данных;
    5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

    Я не хочу обсуждать вопросы связанные с подпунктами 1 и 4 раздела 3. Допустим таких условий нет.
    Вопрос.
    Как вы считаете, что можно считать под "адекватной защите прав субъектов персональных данных" принимающей стороне, находящейся за рубежом, если законов о защите о ПД там не принято.
    Принимающая сторона является одним из предприятий российского холдинга и естественно готова подписать любые договоры о конфиденциальности, безоговорочно применять меры ИБ, продиктованные ей из российской управляющей компании и т.п.
    Что, по вашему мнению надо сделать, чтобы не нарушить закон и не попасть под притензии "проверяющих органов".

  • #2
    Кстати. Очень существенная проблема. В РФ достаточно филиалов зарубежных банков. В РФ много компаний, имеющих филиалы или дочки заграницей. Коллеги! Что думаете по поводу соблюдения закона о ПД?

    Комментарий


    • #3
      Сообщение от Stnslav Посмотреть сообщение
      Как вы считаете, что можно считать под "адекватной защите прав субъектов персональных данных" принимающей стороне, находящейся за рубежом, если законов о защите о ПД там не принято.
      О какой стране идет речь? В мире не так уж и много стран, не принявших законы о ПДн.

      Комментарий


      • #4
        Сообщение от Thrash Посмотреть сообщение
        Кстати. Очень существенная проблема.
        Совершенно несущественная ибо проверить выполнение данной статьи на практике невозможно. Регулятор всего лишь может доверять вашим словам, что ТАМ все в порядке. Съездить и проверить ему никто не даст, а заставить вас представить доказательства нереально - ведь вы зачастую имеете дело с третьими лицами.

        Комментарий


        • #5
          Из международного опыта:

          проблема существенная, если существует вероятность серьезного аудита и присутствует туман в правовой области, касательно национальных законодательств всех участников операции

          прецеденты были, крупный иностранный банк, с дочкой в Британии, нарвался на нарушение Британского законодательства о privacy, посредством аутсорса в одну очень большую южно-азиатскую страну.

          Одно из зааутсорсенных приложений содержало базу, в которой, наряду с другими данными, хранились данные британских клиентов дочки.
          Дочка оказалась в эпицентре скандала, который совпал по времени с установлением факта слива жуликоватыми тружениками этой южно-азиатской страны баз данных и персональной информации

          Вышел скандал,аутсорную сделку пришлось спешно перекраивать с немалыми убытками, дочка получила по шапке, плюс урон репутации ее большой мамы.
          Как полагается в корпоративном мире, начались поиски крайнего, который в результате серьезно пострадал

          Комментарий


          • #6
            Сообщение от Алексей Лукацкий Посмотреть сообщение
            О какой стране идет речь? В мире не так уж и много стран, не принявших законы о ПДн.
            Насколько мне известно, самые близко расположенные, Украина, Казахстан. По моему и в Беларуси тоже отдельного закона нет.

            Комментарий


            • #7
              Сообщение от Stnslav Посмотреть сообщение
              Насколько мне известно, самые близко расположенные, Украина, Казахстан. По моему и в Беларуси тоже отдельного закона нет.
              Белорусы ратифицировали европейскую конвенцию. Украина планировала это сделать в конце прошлого года, но из политической ситуации, видимо, отложила. У казахов нет отдельного закона, но есть отдельная 5-я глава в Трудовом Кодексе, полностью посвященная ПДн. Также эта тема у них прописана в законе "Об информатизации".

              Комментарий


              • #8
                Сообщение от Алексей Лукацкий Посмотреть сообщение
                Белорусы ратифицировали европейскую конвенцию. Украина планировала это сделать в конце прошлого года, но из политической ситуации, видимо, отложила. У казахов нет отдельного закона, но есть отдельная 5-я глава в Трудовом Кодексе, полностью посвященная ПДн. Также эта тема у них прописана в законе "Об информатизации".
                Т.е. если отдельного закона нет, но международная конвенция ратифицирована, то формально можно говорить об "адекватности"?
                А в ТК Казахстана только про ПД работников, т.е. формально требования для кадровиков. А если другая причина обработки?

                Комментарий


                • #9
                  Сообщение от Stnslav Посмотреть сообщение
                  Т.е. если отдельного закона нет, но международная конвенция ратифицирована, то формально можно говорить об "адекватности"?
                  Нет, но можно аппелировать к европейскому опыту и законам.

                  Сообщение от Stnslav Посмотреть сообщение
                  А в ТК Казахстана только про ПД работников, т.е. формально требования для кадровиков. А если другая причина обработки?
                  7-8-ые главы закона об информатизации. Немного, но есть.

                  Комментарий


                  • #10
                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                    Нет, но можно аппелировать к европейскому опыту и законам.
                    7-8-ые главы закона об информатизации. Немного, но есть.
                    Ну а реально, если "проверяющие" привяжутся насчет адекватности, это вы думаете поможет?

                    Комментарий


                    • #11
                      Сообщение от Stnslav Посмотреть сообщение
                      Ну а реально, если "проверяющие" привяжутся насчет адекватности, это вы думаете поможет?
                      В Казахстане? Какие проверяющие? А российским проверяющим я напишу бумажку, что все адекватно.

                      Комментарий


                      • #12
                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                        В Казахстане? Какие проверяющие? А российским проверяющим я напишу бумажку, что все адекватно.
                        Ну если нашим (а я имел ввиду именно российских) проверяющим достаточно только сочиненной мной (вами) бумажки, то и огород тогда зачем городить по поводу трансграничной передачи.

                        Комментарий


                        • #13
                          Сообщение от Stnslav Посмотреть сообщение
                          Ну если нашим (а я имел ввиду именно российских) проверяющим достаточно только сочиненной мной (вами) бумажки, то и огород тогда зачем городить по поводу трансграничной передачи.
                          Так я про это и писал с самого начала ;-) Иначе как поверить на слово, проверяющие не могут. Кто же их пустит проверять заграничные ИСПДн?

                          Комментарий


                          • #14
                            Сообщение от Stnslav Посмотреть сообщение
                            Ну если нашим (а я имел ввиду именно российских) проверяющим достаточно только сочиненной мной (вами) бумажки, то и огород тогда зачем городить по поводу трансграничной передачи.
                            Мне кажется, что значение этой "бумажки" уменьшать не следует. Да и не всякой бумажке поверят проверяющие - вот нашел статью, где весьма интересно обосновывается передача ПДн за границу http://www.reignvox.ru/privacy-comme...fer-dates.html

                            Такой бумажке, скорее всего поверят

                            Комментарий


                            • #15
                              Сообщение от RomVik Посмотреть сообщение
                              Мне кажется, что значение этой "бумажки" уменьшать не следует. Да и не всякой бумажке поверят проверяющие - вот нашел статью, где весьма интересно обосновывается передача ПДн за границу http://www.reignvox.ru/privacy-comme...fer-dates.html

                              Такой бумажке, скорее всего поверят
                              Как то рекламой попахивает...причем указали статью которя не несет абсолютно ничиго кроме как вырезки из законона...
                              И коментраиями специалиста я бы это не назвал...

                              Комментарий


                              • #16
                                Сообщение от -=jack=- Посмотреть сообщение
                                Как то рекламой попахивает...причем указали статью которя не несет абсолютно ничиго кроме как вырезки из законона...
                                И коментраиями специалиста я бы это не назвал...
                                Вы наверное статью не до конца дочитали
                                Вот мнение о статье авторитетного специалиста, размещенное на его же блоге - http://lukatsky.blogspot.com/2009_07_01_archive.html "И хотя изложенное мнение очень спорно, оно тоже имеет право на существование. Ведь никаких комментариев от наших регуляторов нет и не скоро появится."

                                Комментарий


                                • #17
                                  Кстати, сегодня там же появилась новая статья - список документов, регламентирующих обработку ПДн в компании с юридическим обоснованием разработки этих документов - такого я еще в инете не находил - рекомендую http://www.reignvox.ru/privacy-comme...documents.html

                                  Комментарий


                                  • #18
                                    Сообщение от RomVik Посмотреть сообщение
                                    Кстати, сегодня там же появилась новая статья - список документов, регламентирующих обработку ПДн в компании с юридическим обоснованием разработки этих документов - такого я еще в инете не находил - рекомендую http://www.reignvox.ru/privacy-comme...documents.html

                                    Ну об этих документах я думаю знают многие а так же знают то что просто так документы не появляются.
                                    Существуют законы, положения,приказы и тп. и на основание оных и появляются необходимые документы, так что то точ Вы указали по ссылке ничего сверхнового не показали...
                                    Или для Вас это какое то новшество?

                                    Комментарий


                                    • #19
                                      Сообщение от RomVik Посмотреть сообщение
                                      Вы наверное статью не до конца дочитали
                                      Вот мнение о статье авторитетного специалиста, размещенное на его же блоге - http://lukatsky.blogspot.com/2009_07_01_archive.html "И хотя изложенное мнение очень спорно, оно тоже имеет право на существование. Ведь никаких комментариев от наших регуляторов нет и не скоро появится."
                                      Ну я бы не назвал это мнением о статье ;-) Я с ней скорее не согласен, чем согласен ;-)

                                      Комментарий


                                      • #20
                                        RomVik
                                        Кстати, сегодня там же появилась новая статья - список документов, регламентирующих обработку ПДн в компании с юридическим обоснованием разработки этих документов - такого я еще в инете не находил - рекомендую http://www.reignvox.ru/privacy-comme...documents.html
                                        хмм, а что скажут коллеги о том, что в данном документе присутствуют ссылки на СТР-К (который для негосударственных ИР сам по себе носит рекомендательный характер) и не применим для технической защиты ПДн в силу п.2.2

                                        Комментарий


                                        • #21
                                          Сообщение от Kutyrs Посмотреть сообщение
                                          хмм, а что скажут коллеги о том, что в данном документе присутствуют ссылки на СТР-К (который для негосударственных ИР сам по себе носит рекомендательный характер) и не применим для технической защиты ПДн в силу п.2.2
                                          Если Вы, добровольно и соответственно своим нормативыным актом, примете на себя обязательства выполнения СТР-К - то он станет для Вас обязательным и применимым

                                          Нужно оно Вам или нет - решать Вам.

                                          Комментарий


                                          • #22
                                            Сообщение от Toparenko Посмотреть сообщение
                                            Если Вы, добровольно и соответственно своим нормативыным актом, примете на себя обязательства выполнения СТР-К - то он станет для Вас обязательным и применимым

                                            Нужно оно Вам или нет - решать Вам.
                                            Я именно об этом: зачем мне лишняя ноша ??

                                            Комментарий


                                            • #23
                                              Сообщение от Kutyrs Посмотреть сообщение
                                              Я именно об этом: зачем мне лишняя ноша ??
                                              ФСТЭК обещает новую версию СТР-К прогнать через МинЮст ;-)

                                              Комментарий


                                              • #24
                                                Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                ФСТЭК обещает новую версию СТР-К прогнать через МинЮст ;-)
                                                да на здоровье.
                                                Если п. 2.2 и 2.3 останутся неизменным, то никто не докажет обязанность применять СТР-К для защиты негосударственных ИР.

                                                Комментарий


                                                • #25
                                                  Сообщение от Kutyrs Посмотреть сообщение
                                                  RomVik

                                                  хмм, а что скажут коллеги о том, что в данном документе присутствуют ссылки на СТР-К (который для негосударственных ИР сам по себе носит рекомендательный характер) и не применим для технической защиты ПДн в силу п.2.2
                                                  А у них судя по результатам дискуссии про этот документ - http://www.reignvox.ru/forum/viewtopic.php?f=7&t=58 - логика простая. Раз ты лицензиат ФСТЭК то должен выполнять все его нормативные документы, даже не прошедшие проверку в Минюсте

                                                  И это эксперты???

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Pyatachok Посмотреть сообщение
                                                    Раз ты лицензиат ФСТЭК то должен выполнять все его нормативные документы, даже не прошедшие проверку в Минюсте
                                                    Ага.
                                                    Завтра сотрудник ФСТЭК нарисует бумажку, что все лицензиаты должны ему "отстегнуть" сотню-другую килобаксов и все "бросились" ему их отправлять

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                      ФСТЭК обещает новую версию СТР-К прогнать через МинЮст ;-)
                                                      Ну он уже больше года обещает новую версию но видимо им пока не до этого.
                                                      А СТР-К юзать в обязательном порядке все придется кому нужна будет аттестация и им(ФСТЭКу) меньше мороки с утрясением в минюсте и денюшка за СТР-К капает.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от -=jack=- Посмотреть сообщение
                                                        А СТР-К юзать в обязательном порядке все придется кому нужна будет аттестация и им(ФСТЭКу) меньше мороки с утрясением в минюсте и денюшка за СТР-К капает.
                                                        так, можно пожалуйста с этого момента по-подробнее и со ссылками на НМД по защите ПДн.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Kutyrs Посмотреть сообщение
                                                          так, можно пожалуйста с этого момента по-подробнее и со ссылками на НМД по защите ПДн.
                                                          Прежде чем получить лицензию ФСТЭК на ТЗКИ - организация должна приобрести СТР-К и именно бумажку о его получение потом в обязательном порядке требует ФСТЭК.
                                                          Посмотрев на практику работы регуляторов это далеко не первый случай формального несоблюдения процедур. Те кто занимался защитой конфиденциалки раньше, знает, что такой документ как СТР-К также не проходил согласование в Минюсте, при этом никому даже в голову не приходило отказаться от соблюдения его требований.

                                                          Комментарий


                                                          • #30
                                                            -=jack=-, сразу два возражения:
                                                            1. можно заключить договор на обслуживание с действующим лицензиатом и уйти от получения лицензии на ТЗКИ.
                                                            2. Даже приобретя СТР-К и получив лицензию, имхо можно его не "юзать" для защиты ПДн по уже упомянутым мной причинам (еще одна - применение СТР-К "четверкой документов" не предусмотрено).

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X