Авторы:
Надежда Шакель, Алина Кушнерова
В Законе Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон) появилось новое для Беларуси понятие – «трансграничная передача персональных данных».
Трансграничная передача – это передача персональных данных на территорию иностранного государства (абз. 14 ст. 1 Закона). По сути, это понятие означает предоставление данных иностранному субъекту и охватывается термином обработка персональных данных.
Поэтому в ходе трансграничной передачи данных должны соблюдаться как общие требования к обработке персональных данных, так и специальные, установленные статьей 9 Закона.
Основным квалифицирующим признаком трансграничной передачи является перемещение данных через границу Республики Беларусь. Иными словами, не имеет значения то, какому субъекту передаются данные (дочерней или головной компании, филиалу), осуществляется ли передача периодически или однократно, любой факт предоставления данных на территорию иностранного государства составляет трансграничную передачу персональных данных. Поэтому даже передача данных от представительства иностранной организации самой иностранной организации – это трансграничная передача, в ходе которой необходимо соблюдать требования законодательства Республики Беларусь.
При этом следует различать понятия сбора данных и передачи данных. Так, если сбор данных осуществляется за пределами Республики Беларусь (например, белорусская компания собирает данные субъектов через зарубежный интернет-сервис, предоставляющий возможности заполнить и отправить форму с данными физических лиц), то требования белорусского законодательства к трансграничной передаче не применимы.
Для трансграничной передачи персональных данных национальным законодательством предусмотрены особые условия. Цель этих условий –обеспечить защиту персональных данных, собранных в Беларуси. При этом не важно, на территории какого государства происходит их обработка.
Особые требования к трансграничной передаче персональных данных применимы, если передача планируется в государства, не обеспечивающие надлежащий уровень защиты прав субъектов персональных данных. Соответственно, в страны, в которых, поддерживается надлежащий уровень защиты прав, трансграничная передача может осуществляться без дополнительных ограничений – главное, чтобы изначально данные обрабатывались на законных основаниях. К таким странам относятся государства-участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в г. Страсбурге 28.01.1981. Сторонами Конвенции являются помимо всех государств-членов Совета Европы также и другие государства, например, Российская Федерация, Мексика, Аргентина и др.
Для трансграничной передачи персональных данных в иностранные государства, в которых не обеспечивается надлежащий уровень защиты, оператору необходимо заручиться дополнительным основанием:
- согласием субъекта персональных данных,
- договором с субъектом персональных данных и др.
Отметим, что реализация трудовых отношений (азб.8 ст. 6 Закона) не входит в перечень правовых оснований для трансграничной передачи данных. Обратите внимание на необходимость соблюдения прав работников (в том числе права на защиту от незаконного вмешательства в частную жизнь) и обеспечения конфиденциальности их персональных данных. Так, вероятность несоблюдения прав работников увеличивается, например, если корпоративный сервер компании с бухгалтерской и иной документацией, содержащей сведения о работниках, размещен за рубежом в «небезопасной» юрисдикции.
При получении согласия на трансграничную передачу персональных данных оператор должен соблюдать общие требования, установленные статьей 5 Закона. Важно также проинформировать физическое лицо о рисках, возникающих в связи с отсутствием необходимого уровня защиты его прав.
Так, простое включение трансграничной передачи в список способов обработки персональных данных, на которые дает согласие субъект, не отвечает требованию информированности.
Рекомендуем 2 варианта:
- подготовить отдельную форму согласия для трансграничной передачи;
- включить раздел о трансграничной передаче в общую форму согласия.
При этом целесообразно отдельно указывать цель передачи, подлежащие передаче персональные данные.
Важно! В согласии недостаточно сослаться на факт наличия рисков, например, указав на то, что оператор информирует субъекта персональных данных о наличии рисков при передаче данных в ряд стран. Следует указывать конкретные риски в связи с отсутствием надлежащего уровня защиты прав субъектов персональных данных в государстве, куда планируется передача, например:
- отсутствие законодательного регулирования защиты прав субъектов персональных данных, неисполнимость решений компетентных органов,
- отсутствие независимого контролирующего органа по защите прав субъектов персональных данных;
- ограниченный круг прав субъектов персональных данных;
- широкий доступ к персональным данным у органов государственной власти в целях национальной безопасности.
В политику обработки персональных данных можно добавить любую иную информацию о трансграничной передаче, повышающую прозрачность обработки:
- субъекты, которым будут переданы данные,
- страны, на территории которых располагаются эти субъекты,
- основания для передачи.
Помимо этого, при использовании сервисов, предоставляющих услуги хранения, рекламных рассылок, следует обращать внимание на юрисдикции, в которых расположены серверы компаний.
Так, серверы Яндекса (например, при использовании сервиса Яндекс.Метрика) находятся в Российской Федерации и ЕЭЗ, в связи с чем использование таких сервисов и передача данных на соответствующие серверы не требуют получения согласия на трансграничную передачу. Иная ситуация возникает при использовании сервисов компании Google (Google Analytics, Google Ads), Viber, Telegram, так как сведения об этих компаниях не содержат однозначной информации о том, где находятся их серверы.
Обратите внимание, что в случае использования таких сервисов крайне затруднительным видится соблюдение требования Закона об указании рисков в связи с трансграничной передачей данных применительно к каждой юрисдикции.
