Углубление меж­­ду­народных экономических связей, трансграничное движение капитала, рабочей силы, рост международной торговли, инвестирования сопряжены с интенсификацией и распространением трансграничной передачи персональных данных. Поэтому законодательное регулирование трансграничного движения персональных данных представляет собой практическую необходимость.

Тем не менее изначально в национальном законодательстве Украины не существовало подробной регламентации этого вопроса и четких правил в отношении передачи персональных данных за рубеж. В условиях некоторой неясности законодательного регулирования трансграничной передачи персональных данных обеспечение в полной мере правомерности передачи данных за рубеж представляло собой существенную сложность и с правовой, и с практической точки зрения.

Буква закона

В ноябре 2012 года в Закон Украины «О защите персональных данных» (Закон) были внесены изменения, касающиеся, в том числе, трансграничной передачи данных. Законодатель более четко определил, при каких условиях возможна передача персональных данных за пределы Украины. Как общее правило было установлено, что данные могут передаваться на территорию государств, в которых обеспечивается надлежащий уровень защиты персональных данных.

При этом к таким государствам были отнесены, во-первых, государства — члены Европейского экономического пространства, во-вторых, государства, подписавшие Конвенцию «О защите лиц в связи с автоматизированной обработкой персональных данных» (Конвенция). Кроме того, Кабинету Министров Украины было предоставлено полномочие определить список иных стран, обеспечивающих надлежащую защиту персональных данных.

При определенных условиях допускалась и передача данных в государства, которые не признаны обеспечивающими необходимый уровень защиты в понимании Закона. Передача персональных данных на территорию таких государств разрешена и на данный момент: при условии получения однозначного согласия субъекта персональных данных на такую передачу, в случае необходимости заключения или исполнения сделки в пользу субъекта персональных данных, а также при некоторых иных обстоятельствах.

Все же остается открытым вопрос: достаточно ли соблюдения положений статьи 29 Закона для обеспечения правомерности передачи персональных данных за рубеж?

Что имеем

Цель Закона — реальное обеспечение субъекту персональных данных его прав в связи с обработкой персональных данных, в том числе права на защиту своих данных от незаконной обработки и права на применение мер правовой защиты. Эти права гарантированы статьей 8 Закона и должны соблюдаться и в случае трансграничной передачи персональных данных.

Положение Закона о том, что передача данных с территории Украины по общему правилу допускается, если государство, куда передаются данные, обеспечивает надлежащую защиту персональных данных, также направлено на то, чтобы в действительности реализовать гарантии прав субъектов персональных данных, установленных законом. Однако в отношении критериев для определения того, обеспечивается ли надлежащая защита данных в государстве, законодатель избрал достаточно формальный подход.

Такие критерии связаны с фактом нахождения государства в Европейском экономическом пространстве или с фактом подписания государством Конвенции без анализа действительной ситуации с защитой персональных данных в государстве и характера данных, которые подлежат передаче. Что касается факта присоединения к Конвенции, Закон признает достаточным уже факт ее подписания и не требует даже формальной ратификации или официального вступления в силу для того или иного государства.

Стоит отметить, что Директива ЕС № 95/46 от 24 октября 1995 года (Директива), которая посвящена вопросам защиты и передачи персональных данных и на положениях которой основывается Закон, содержит более развернутую систему критериев для определения надлежащего уровня защиты персональных данных. Директива требует, чтобы уровень защиты данных оценивался в свете всех обстоятельств, касающихся операции по их передаче. В частности, учета характера персональных данных, цели и предполагаемой продолжительности их обработки, страны происхождения данных, положений законодательства государства, куда предполагается передать данные, а также профессиональных стандартов и мер безопасности, применимых в этом государстве (пункт 2 статьи 25 Директивы).

Закон, в отличие от Директивы, не предусматривает критериев, позволяющих определить, обеспечивается ли в действительности надлежащая защита персональных данных в стране, на территорию которой они передаются. Критерии, указанные в статье 29 Закона, носят преимущественно формальный характер. Поэтому даже при условии, что передача персональных данных за пределы Украины осуществляется в соответствии с требованиями Закона — это само по себе не является достаточным для обеспечения гарантий прав физического лица.

Дух закона

В каждом случае трансграничной передачи персональных данных за пределы Украины, независимо от того, считается ли государство, куда передаются данные, обеспечивающим надлежащий уровень защиты в понимании Закона или нет, необходимо создание специальных юридических механизмов. Эти механизмы должны быть направлены на то, чтобы гарантировать соблюдение прав субъекта персональных данных, предусмотренных Законом, как в процессе передачи персональных данных за рубеж, так и после их передачи с территории Украины.

По нашему мнению, такого рода правовыми механизмами могут выступать гражданско-правовые договоры с участием лиц, осуществляющих передачу персональных данных за пределы Украины (владельцы, распорядители баз персональных данных) и субъектов персональных данных. Такие договоры должны содержать положения, направленные на обеспечение гарантий прав субъектов персональных данных по Закону, и отражать его ключевые требования по защите этих прав. Идея Закона о гарантиях прав субъектов персональных данных в связи с трансграничной передачей данных требует, чтобы такие договоры, основанные на его нормах, применялись и к персональным данным, уже переданным на территорию иностранных государств.

И хотя этот подход вряд ли можно назвать бесспорным в юридическом и практическом отношении, он все же является наиболее приемлемым решением в условиях спорного характера правового регулирования трансграничной передачи персональных данных, что наблюдается в данный момент в законодательстве Украины.

КУБКО Андрей — партнер, директор департамента ЮФ «Салком», г. Киев

---

Комментарии

Хорошо, да мало

Ольга БЕЛЯКОВА,
старший юрист ЮФ CMS Cameron McKenna

Сегодня украинское законодательство предлагает, к сожалению, лишь очень общие правила передачи персональных данных за рубеж. Хотя новая редакция Закона в некоторой степени и детализирует требования и основания для такой передачи по сравнению с первоначальной редакцией, этого все равно недостаточно для однозначного восприятия норм трансграничной передачи данных, особенно в эру глобализации бизнеса и аутсорсинга массы услуг зарубежным компаниям.

Одной статьи мало для регулирования такого серьезного вопроса. Поэтому сторонам трансграничной передачи, в том числе субъектам персональных данных, во избежание неоднозначного толкования закона необходимо четко и ясно договариваться между собой об условиях возможной передачи данных за границу, особенно когда речь идет о странах, не входящих в состав ЕС/ЕЭС. Такие условия могут содержаться не только в согласии субъекта персональных данных, но и, например, в общедоступных формах корпоративной политики (в случаях глобальной передачи данных внутри корпорации), договорах между юридическим и физическим лицом (например, в договоре о предоставлении туристических услуг необходимо предусмотреть исчерпывающий перечень данных, передаваемых принимающей стороне, и цель такой передачи) и т.п.

Нерешенные проблемы

Карина ПАВЛЮК,
юрист МЮГ AstapovLawyers

Законом определяются основания для передачи персональных данных иностранным компаниям, наиболее распространенным среди которых является предоставление субъектом персональных данных однозначного согласия на их передачу за границу. Со стороны владельца требуется уведомление Государственной службы Украины по вопросам защиты персональных данных (ГСЗПД Украины) о трансграничной передаче в случае регистрации базы персональных данных.

По-прежнему нерешенными остаются вопросы порядка проведения проверок и привлечения к ответственности иностранных компаний. Планируется, что ГСЗПД Украины будет просто фиксировать факт правонарушения и передавать информацию в соответствующий государственный орган страны, где физически находится иностранное предприятие, для осуществления проверки на месте.