Рубрики
Инструменты поиска
Сообщество
Избранное
Мой профиль
Войти
Трансграничная передача персональных данных
30.11.2021
Автор проанализировал порядок трансграничной передачи персональных данных.
Разделы материала:
Правовое регулирование
Трансграничная передача персональных данных, то есть их передача в иностранные государства (за пределы Республики Беларусь), регулируется:
• Законом от 07.05.2021 № 99-З «О защите персональных данных»;
• Указом от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных»;
• Законом от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
• приказом директора НЦЗПД от 15.11.2021 № 12 «О классификации информационных ресурсов (систем)»;
• приказом директора НЦЗПД от 15.11.2021 № 13 «Об уведомлении о нарушениях систем защиты персональных данных»;
• приказом директора НЦЗПД от 15.11.2021 № 14 «О трансграничной передаче персональных данных»;
• Регламентом № 2016/679 Европейского парламента и Совета Европейского Союза о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (далее Регламент).
 |
Дополнительно по теме • Общий регламент защиты персональных данных (GDPR). Рекомендация для резидентов Республики Беларусь. |
В целях реализации Закона № 99-З и с учетом Указа № 422 Национальный центр защиты персональных данных (далее - Центр):
• установил классификацию информационных ресурсов (систем), содержащих персональные данные, в целях определения предъявляемых к ним требований технической и криптографической защиты персональных данных (приказ директора НЦЗПД № 12);
• определил перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных (приказ директора НЦЗПД № 14);
• определил случаи, когда не требуется уведомление Центра о нарушениях систем защиты персональных данных (приказ директора НЦЗПД № 13).
Что такое трансграничная передача персональных данных
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства (ст.1 Закона № 99-З).
 |
Справочно В Российской Федерации трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (ст.3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). В Европе трансграничная передача персональных данных определяется как действия по передаче данных на территорию третьих стран (не являющихся членами ЕС) или международных организаций (ст.45(1) Регламента). |
Белорусский законодатель, как и европейский, не придает правового значения национальной принадлежности получателя таких данных в третьей стране.
Таким образом, квалифицирующие признаки трансграничной передачи персональных данных по национальному законодательству следующие:
1) факт передачи персональных данных на территорию иностранного государства;
2) целенаправленная передача таких данных оператором.
Указанные признаки позволяют выделить основной критерий трансграничной передачи данных - передача персональных данных под юрисдикцию другого государства с одновременным выбытием из-под юрисдикции Республики Беларусь.
При этом следует учитывать именно передачу персональных данных, то есть от одного лица другому. Если данные просто физически перемещаются через границу без передачи их другому лицу, то есть все время находятся под контролем оператора (уполномоченного лица), то трансграничной передачи данных в значении ст.9 Закона № 99-З нет. Но в любом случае рекомендуется отслеживать разъяснения Центра.
 |
Пример По мнению автора, не будет передачей на территорию иностранного государства персональных данных, если: • оператор - белорусское юридическое лицо передает персональные данные в свое представительство (или филиал), находящееся за рубежом, хотя формально данные передаются на территорию иностранного государства, то есть они передаются внутри организации; • работник организации (оператора) едет в зарубежную командировку с ноутбуком, на котором записаны персональные данные иных лиц. • данные остаются на территории Республики Беларусь, хотя и попадают к иностранному лицу, которое находится на ее территории (отсутствие признака 1). Размещение персональных данных на интернет-сайте, хостинг которого осуществляется в Республике Беларусь, но доступном на территории всего мира, не является трансграничной передачей данных. В этом случае инициатором передачи информации будет не владелец интернет-сайта, а пользователь, который сам приходит на данный ресурс и инициирует процесс передачи ему соответствующих данных (отсутствие признака 2). Осуществляемый вследствие алгоритмов протокола TCP/IP транзит данных через территорию третьих стран при передаче данных в сети Интернет также не будет их трансграничной передачей. Иной подход вступал бы в противоречие с архитектурой сети Интернет и информационных процессов, происходящих в ней, превращая нормы о трансграничной передаче данных в невыполнимые на практике. |
Правила трансграничной передачи персональных данных
| Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных |
|
За исключением случаев, когда: - дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты; - персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором; - персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством; - такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно; - обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь; - такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством; - получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных (п.1 ст.9 Закона № 99-З) |
С учетом п.2 ст.9 Закона № 99-З приказом директора НЦЗПД № 14 установлено, что в перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, включаются иностранные государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981, принятой в г. Страсбурге.
Ниже приведен перечень стран-сторон названной Конвенции.
| Государства - члены Совета Европы | Дата подписания | Дата ратификации | Дата вступления в силу | Примечания | R. | D. | A. | T. | C. | O. |
| Австрия |
28.01.1981 |
30.03.1988 |
01.07.1988 |
44 |
D. |
A. |
O. | |||
| Азербайджан |
03.05.2010 |
03.05.2010 |
01.09.2010 |
|||||||
| Албания |
09.06.2004 |
14.02.2005 |
01.06.2005 |
44 |
D. |
A. |
||||
| Андорра |
31.05.2007 |
06.05.2008 |
01.09.2008 |
D. |
A. |
|||||
| Армения |
08.04.2011 |
09.05.2012 |
01.09.2012 |
44 |
D. |
O. | ||||
| Бельгия |
07.05.1982 |
28.05.1993 |
01.09.1993 |
44 |
D. |
A. |
||||
| Болгария |
02.06.1998 |
18.09.2002 |
01.01.2003 |
|||||||
| Босния и Герцеговина |
02.03.2004 |
31.03.2006 |
01.07.2006 |
A. |
T. |
|||||
| Великобритания |
14.05.1981 |
26.08.1987 |
01.12.1987 |
44 |
D. |
A. |
T. |
|||
| Венгрия |
13.05.1993 |
08.10.1997 |
01.02.1998 |
44 |
D. |
A. |
||||
| Германия |
28.01.1981 |
19.06.1985 |
01.10.1985 |
44 |
D. |
A. |
T. |
|||
| Греция |
17.02.1983 |
11.08.1995 |
01.12.1995 |
44 |
O. | |||||
| Грузия |
21.11.2001 |
14.12.2005 |
01.04.2006 |
44 |
||||||
| Дания |
28.01.1981 |
23.10.1989 |
01.02.1990 |
44 |
A. |
T. |
||||
| Ирландия |
18.12.1986 |
25.04.1990 |
01.08.1990 |
44 |
D. |
A. |
||||
| Исландия |
27.09.1982 |
25.03.1991 |
01.07.1991 |
44 |
A. |
|||||
| Испания |
28.01.1982 |
31.01.1984 |
01.10.1985 |
D. |
A. |
|||||
| Италия |
02.02.1983 |
29.03.1997 |
01.07.1997 |
44 |
D. |
A. |
||||
| Кипр |
25.07.1986 |
21.02.2002 |
01.06.2002 |
44 |
A. |
O. | ||||
| Латвия |
31.10.2000 |
30.05.2001 |
01.09.2001 |
44 |
D. |
A. |
||||
| Литва |
11.02.2000 |
01.06.2001 |
01.10.2001 |
44 |
A. |
|||||
| Лихтенштейн |
02.03.2004 |
11.05.2004 |
01.09.2004 |
44 |
D. |
A. |
||||
| Люксембург |
28.01.1981 |
10.02.1988 |
01.06.1988 |
44 |
D. |
A. |
||||
| Мальта |
15.01.2003 |
28.02.2003 |
01.06.2003 |
|||||||
| Монако |
01.10.2008 |
24.12.2008 |
01.04.2008 |
44 |
A. |
|||||
| Нидерланды |
21.01.1988 |
24.08.1993 |
01.12.1993 |
44 |
D. |
A. |
T. |
|||
| Норвегия |
13.03.1981 |
20.02.1984 |
01.10.1985 |
44 |
D. |
A. |
T. |
|||
| Польша |
21.04.1999 |
23.05.2002 |
01.09.2002 |
44 |
||||||
| Португалия |
14.05.1981 |
02.09.1993 |
01.01.1994 |
44 |
A. |
O. | ||||
| Республика Молдова |
04.05.1998 |
28.02.2008 |
01.06.2008 |
D. |
A. |
|||||
| Российская Федерация |
07.11.2001 |
15.05.2013 |
01.09.2013 |
44 |
D. |
|||||
| Румыния |
18.03.1997 |
27.02.2002 |
01.06.2002 |
D. |
A. |
|||||
| Сан-Марино |
02.03.2015 |
28.05.2015 |
01.09.2015 |
A. |
||||||
| Северная Македония |
24.03.2006 |
24.03.2006 |
01.07.2006 |
D. |
A. |
|||||
| Сербия |
06.09.2005 |
06.09.2005 |
01.01.2006 |
44 |
D. |
A. |
||||
| Словацкая Республика |
14.04.2000 |
13.09.2000 |
01.01.2001 |
44 |
A. |
|||||
| Словения |
23.11.1993 |
27.05.1994 |
01.09.1994 |
A. |
||||||
| Турция |
28.01.1981 |
02.05.2016 |
01.09.2016 |
D. |
A. |
|||||
| Украина |
29.08.2005 |
30.09.2010 |
01.01.2011 |
D. |
||||||
| Финляндия |
10.04.1991 |
02.12.1991 |
01.04.1992 |
44 |
A. |
|||||
| Франция |
28.01.1981 |
24.03.1983 |
01.10.1985 |
44 |
D. |
A. |
||||
| Хорватия |
05.06.2003 |
21.06.2005 |
01.10.2005 |
44 |
D. |
A. |
||||
| Черногория |
06.09.2005 |
06.09.2005 |
06.06.2006 |
56 |
||||||
| Чешская Республика |
08.09.2000 |
09.07.2001 |
01.11.2001 |
44 |
A. |
|||||
| Швейцария |
02.10.1997 |
02.10.1997 |
01.02.1998 |
44 |
D. |
A. |
||||
| Швеция |
28.01.1981 |
29.09.1982 |
01.10.1985 |
44 |
A. |
|||||
| Эстония |
24.01.2000 |
14.11.2001 |
01.03.2002 |
44 |
D. |
A. |
| Государства - нечлены Совета Европы | Дата подписания | Дата ратификации | Дата вступления в силу | Примечания | R. | D. | A. | T. | C. | O. |
| Аргентина |
25.02.2019 a |
01.06.2019 |
||||||||
| Буркина-Фасо |
4 |
|||||||||
| Кабо-Верде |
19.06.2018 a |
01.10.2018 |
A. |
|||||||
| Маврикий |
17.06.2016 a |
01.10.2016 |
A. |
|||||||
| Марокко |
28.05.2019 a |
01.09.2019 |
||||||||
| Мексика |
28.06.2018 a |
01.10.2018 |
A. |
|||||||
| Сенегал |
25.08.2016 a |
01.12.2016 |
A. |
|||||||
| Тунис |
18.07.2017 a |
01.11.2017 |
||||||||
| Уругвай |
10.04.2013 a |
01.08.2013 |
Примечание: a - присоединение; s - подписание без оговорок о ратификации; su - правопреемство; r - подписание «ad referendum»;
R - оговорки; D - заявления, денонсации, частичные отмены; A - государственные органы; T - территориальное применение; C - уведомление; O - возражения.
Общее количество ратификаций, присоединений - 55.
|
|
Справочно В России, кроме указанных выше стран, приказом Роскомнадзора от 15.03.2013 № 274 утвержден перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных. Это: • Австралия - Австралийский союз; • Габонская Республика; • Государство Израиль; • Государство Катар; • Канада; • Малайзия; • Монголия; • Народная Республика Бангладеш; • Новая Зеландия; • Республика Ангола; • Республика Беларусь; • Республика Бенин; • Республика Замбия; • Республика Казахстан; • Республика Коста-Рика; • Республика Корея; • Республика Мали; • Республика Нигер; • Республика Перу; • Республика Сингапур; • Республика Таджикистан; • Республика Узбекистан; • Республика Чад; • Социалистическая Республика Вьетнам; • Тоголезская Республика; • Федеративная Республика Бразилия; • Федеративная Республика Нигерия; • Южно-Африканская Республика; • Япония. Центром перечисленные выше страны пока не включены в перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных. Среди них в том числе государство - член ЕАЭС. |
Порядок трансграничной передачи персональных данных
Положения, регламентирующие основания для трансграничной передачи данных, являются дополнительными по отношению к общим основаниям для обработки персональных данных, указанным в ст.4, 5, 6 и 8 Закона № 99-З. Таким образом, процесс легитимации трансграничной передачи персональных данных предполагает два этапа:
1) законное основание для обработки таких данных;
2) законное основание для трансграничной передачи таких данных.
В последнем случае это означает обязанность оператора убедиться до начала осуществления трансграничной передачи персональных данных в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных. На практике это означает проверку оператором принадлежности страны - получателя данных к членам Конвенции.
Если страна - получатель данных находится в соответствующем перечне, никаких дополнительных формальностей оператору совершать не требуется. Если же такая страна не относится к членам Конвенции, необходимо соблюдение одного из специальных оснований, указанных в ч.1 ст.9 Закона № 99-З, которая устанавливает исчерпывающий перечень оснований для трансграничной передачи персональных данных в страны, не обеспечивающие адекватный уровень защиты.
 |
Обратите внимание! Необходимо различать договор (пользовательское соглашение) и согласие субъекта персональных данных. |
В Законе № 99-З в качестве отдельных оснований для трансграничной передачи персональных данных выделены:
• согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
• договор, заключенный с субъектом персональных данных, в целях совершения действий, установленных этим договором.
Базовые требования к форме и содержанию согласия субъекта персональных данных закреплены в ст.5 Закона № 99-З.
|
|
Пример Трансграничная передача данных о клиенте туристическим агентством в зарубежный отель для целей бронирования неразрывно связана с оказанием туристических услуг. Аналогичным образом исполнение договора на предоставление трансграничных облачных сервисов может быть сопряжено с циркулированием данных через различные дата-центры в разных странах. Поэтому принимаемое посредством галочки пользовательское соглашение на предоставление сервисов, оказание которых невозможно без осуществления обработки данных в зарубежных дата-центрах, может быть легитимирующим основанием для трансграничной передачи персональных данных в страны, не обеспечивающие адекватный уровень защиты прав субъектов персональных данных, например в США, Китай, Индию. При этом принятие условий такого пользовательского соглашения не следует путать с выражением согласия с политикой конфиденциальности посредством проставления галочки, что, по сути, эквивалентно даче согласия на обработку персональных данных на условиях такой политики. В последнем случае, если такое согласие должно быть предоставлено обязательно в письменной форме с соблюдением положений ст.5 Закона № 99-З, проставления галочки недостаточно. В этой связи нужно четко разграничивать обработку персональных данных на основе пользовательского соглашения и согласия, особенно в случаях, когда и то и другое предполагает проставление галочки субъектом. |
Оператор не вправе самостоятельно оценивать адекватность уровня защиты прав субъектов персональных данных на основе соответствия законодательства соответствующей страны положениям Конвенции и применяемых мер безопасности персональных данных. Исключительная компетенция по установлению факта обеспечения иностранным государством адекватной защиты прав субъектов персональных данных принадлежит Центру.
Положение о порядке выдачи разрешения на трансграничную передачу персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, утв. приказом директора НЦЗПД № 14.
После того как трансграничная передача данных состоялась, оператор - импортер данных осуществляет обработку персональных данных в соответствии с законодательством о персональных данных страны своего пребывания, то есть белорусское законодательство не регулирует последующую трансграничную передачу данных, осуществляемую оператором-импортером.
Как следствие, если персональные данные попадут в страну, не обеспечивающую адекватный уровень защиты прав субъектов персональных данных, транзитом через адекватную страну, это не будет нарушением положений ст.9 Закона № 99-З. Такого рода транзитная передача может стать выходом в условиях, когда необходимо обеспечить передачу из Республики Беларусь персональных данных в страны, не обеспечивающие адекватного уровня защиты прав субъектов персональных данных, и получение согласия от субъектов практически невозможно при неприменимости всех остальных исключений.
Риски трансграничной деятельности: запрос со стороны иностранных государственных органов
Оператор персональных данных, осуществляющий трансграничную деятельность и присутствующий на территории нескольких стран, может подпадать под действие различных законов о персональных данных, конфликтующих между собой, что является прямым следствием отсутствия их унификации на международном уровне. В таком случае организация фактически вынуждена делать выбор меньшего из двух зол по результатам анализа всех возможных рисков, связанных с несоблюдением соответствующего требования законодательства (размеры штрафов и иные последствия, репутационные и медийные риски и пр.).
Например, необходимость передачи персональных данных за рубеж в связи с запросом иностранного государственного органа, исходящего из страны, не обеспечивающей адекватный уровень защиты, даже если такой запрос основан на законе этой страны, не основание, легитимирующее такую передачу в соответствии с требованиями Закона № 99-З. В этой связи официальная передача таких данных по национальному законодательству возможна лишь с согласия субъекта персональных данных. Аналогичный подход справедлив и применительно к передаче персональных данных из Европы в Республику Беларусь по запросу белорусских государственных органов.
|
|
Справочно Трансграничная передача персональных данных в страны, не обеспечивающие адекватный уровень защиты персональных данных, возможна при наличии следующих оснований (derogations): 1) согласие субъекта персональных данных в явной форме при наличии факта предварительного информирования субъекта о рисках, связанных с такой трансграничной передачей (ст.49(1)(а) Регламента); 2) передача персональных данных необходима для исполнения договора, сторонами которого являются оператор и субъект персональных данных, или для заключения такого договора по инициативе субъекта персональных данных (ст.49(1)(b) Регламента); 3) передача персональных данных необходима для заключения или исполнения договора, заключенного оператором с третьим лицом в интересах субъекта персональных данных (ст.49(1)(c) Регламента); 4) передача персональных данных обусловлена соображениями существенного публичного интереса (ст.49(1)(d) Регламента); 5) передача персональных данных необходима для установления, реализации или защиты правовых требований (ст.49(1)(e) Регламента); 6) передача персональных данных необходима для защиты жизненно важных интересов субъекта персональных данных или других лиц в случаях физической или юридической невозможности получения согласия от субъекта персональных данных (ст.49(1)(f) Регламента); 7) передаваемые персональные данные содержались в общедоступном реестре при условии соблюдения порядка использования такого реестра (ст.49 Регламента). |
Помимо вышеуказанных оснований Регламент допускает осуществление трансграничной передачи данных в случаях, когда имеют место адекватные гарантии (adequate safeguards). К таким гарантиям относятся:
• соглашение между государственными органами страны-экспортера и страны-импортера персональных данных;
• использование так называемых обязательных корпоративных правил (binding corporate rules, BCR), представляющих собой свод правил обработки данных, принятых в рамках компании или группы компаний и порождающих соответствующие права для субъектов персональных данных. При использовании таких правил все компании, охватываемые ими, превращаются в единое информационное пространство, в рамках которого обеспечивается общий уровень защиты прав субъектов персональных данных безотносительно к географическому местонахождению таких компаний. В случае нарушения прав субъекта персональных данных иностранным оператором, подпадающим под действие BCR, ответственность за его действия будет нести оператор, находящийся в стране местонахождения субъекта персональных данных. Обязательные корпоративные правила подлежат предварительному утверждению уполномоченным органом по защите персональных данных (ст.46(2)(b), ст.47 Регламента);
• использование стандартных договорных условий (standard contract clauses), одобренных Европейской комиссией. 4 июня 2021 г. Европейская комиссия утвердила новый набор стандартных условий для трансграничной передачи персональных данных в третьи страны (ст.46(2)(c) Регламента);
• использование договорных условий, разработанных национальными уполномоченными органами по защите персональных данных и одобренных Европейской комиссией (ст.46(2)(d) Регламента);
• использование кастомизированных стандартных договорных условий, которые были выработаны оператором, при условии их предварительного согласования с уполномоченным национальным органом по защите прав субъектов персональных данных (ст.46(3) Регламента);
• наличие кодексов поведения (code of conduct), подготовленных ассоциациями и иными объединениями операторов в соответствующих индустриях и одобренных уполномоченным органом по защите субъектов персональных данных (ст.40 Регламента). Оператор должен признать юридическую силу такого кодекса посредством включения отсылки к нему в договор или посредством иного юридически значимого действия. В отличие от BCR, рассчитанных на крупные компании, данный вариант предназначен преимущественно для организаций малого и среднего бизнеса (ст.46(2)(e) Регламента);
• прохождение оператором-импортером, на которого не распространяются требования Регламента, процедуры сертификации, регламентированной в ст.42 Регламента и подтверждающей факт принятия им достаточных и необходимых гарантий (ст.46(2)(f) Регламента).
Порядок выдачи разрешения на трансграничную передачу персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных
Установлен следующий порядок выдачи разрешения на трансграничную передачу персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных (Положение № 14).
| Шаг | Содержание | Срок | Документы |
|
1 |
Подача заявителем лично или через своих представителей в Центр заявления о выдаче разрешения | До совершения трансграничной передачи персональных данных | 1. В письменном виде или в виде электронного документа заявление, прилагает к нему проект договора, которым оформляется трансграничная передача персональных данных, согласованный заявителем и получателем персональных данных, на дату, предшествующую дате подачи заявления, либо иной документ, в соответствии с которым предполагается осуществлять передачу персональных данных. 2. Документ, подтверждающий полномочия заявителя (доверенность, решение суда, иные документы), - для письменного заявления, электронная копия документа, подтверждающего его полномочия, - для заявления, подаваемого в виде электронного документа. 3. По усмотрению заявителя иные документы, подтверждающие гарантии соблюдения прав субъектов персональных данных в иностранном государстве |
| Требования к заявлению: 1. Наименование организации, в которую подается заявление (то есть Центра). 2. Сведения о заявителе: - наименование юридического лица (иной организации) и его (ее) месте нахождения либо фамилия, собственное имя, отчество (если таковое имеется) физического лица (индивидуального предпринимателя) и адрес его места жительства (места пребывания); - фамилия, собственное имя, отчество (если таковое имеется) руководителя заявителя или уполномоченного представителя заявителя, его подпись (в случае подачи заявления в письменном виде) или электронная цифровая подпись (в случае подачи заявления в виде электронного документа); - лицо (структурное подразделение), ответственное за осуществление внутреннего контроля за обработкой персональных данных, и его контактные данные (фамилия, собственное имя, отчество (если таковое имеется), занимаемая должность, номер контактного телефона, адрес электронной почты (при его наличии)). 3. Сведения о получателе персональных данных: наименование юридического лица (иной организации) и его (ее) место нахождения либо фамилия, собственное имя, отчество (если таковое имеется) физического лица (индивидуального предпринимателя) и адрес его места жительства (места пребывания). 4. Сведения, относящиеся к передаче персональных данных: - цели обработки получателем; - категории обрабатываемых персональных данных; - срок хранения получателем персональных данных; - возможные способы защиты прав субъектов персональных данных в случае их нарушения | |||
|
2 |
Рассмотрение Центром заявления | В течение 30 дней со дня регистрации |
- |
| На данном этапе Центр: - изучает информацию об уровне защиты прав субъектов персональных данных на территории иностранного государства; - вправе изучать и иные не указанные заявителем обстоятельства и условия передачи, в том числе общие и отраслевые нормы права, применяемые в соответствующем государстве или юридическим лицом (иной организацией), а также действующие там профессиональные правила, информацию о правоприменительной практике в сфере обработки персональных данных; - вправе направить в адрес заявителя, получателя персональных данных, уполномоченного органа по защите персональных данных иностранного государства, на территорию которого передаются персональные данные, запрос о представлении документов и (или) сведений, необходимых для принятия решения о выдаче (отказе в выдаче) разрешения. В этом случае течение срока рассмотрения заявления приостанавливается со дня направления запроса до получения ответа | |||
|
3 |
Принятие Центром решения по заявлению | ||
| Центр может принять три вида решения: 1. Выдача разрешения. Разрешение выдается при условии обеспечения защиты прав субъектов персональных данных на уровне не ниже, чем это предусмотрено законодательством Республики Беларусь. 2. Уведомление о возможности трансграничной передачи персональных данных в соответствии с положениями абз.2-7 п.1 ст.9 Закона № 99-З. 3. Отказ в выдаче разрешения: - в случаях ликвидации (прекращения деятельности), смерти заявителя, получателя персональных данных; - если заявитель обрабатывает персональные данные в нарушение требований Закона № 99-З; - если представленные заявителем документы и (или) сведения не позволяют сделать вывод о надлежащей защите прав субъектов персональных данных, в том числе когда правовые, организационные и технические меры, принимаемые получателем персональных данных, не являются достаточными для обеспечения защиты прав субъектов персональных данных на уровне не ниже, чем это предусмотрено законодательством Республики Беларусь | |||
|
4 |
Уведомление заявителя о принятом Центром решении | В течение 7 рабочих дней со дня принятия соответствующего решения | Уведомление |
|
5 |
Запрет на внесение изменений в проект договора либо в иной документ, в соответствии с которым предполагается осуществлять передачу персональных данных, в части изменения целей обработки, категорий обрабатываемых персональных данных, срока хранения получателем персональных данных |
- | |
| Изменение указанных сведений после подписания договора подлежит согласованию с Центром в порядке, предусмотренном для выдачи разрешения | |||
|
6 |
Решение об отзыве Центром ранее выданного разрешения | В любой момент до окончания трансграничной передачи в случае | Решение об отзыве |
| Разрешение может быть отозвано в случае: - нарушения заявителем или получателем персональных данных условий, в соответствии с которыми осуществлялась выдача разрешения; - получения информации, подтверждающей, что на территории иностранного государства не обеспечивается уровень защиты персональных данных не ниже, чем это предусмотрено законодательством Республики Беларусь | |||
|
7 |
Уведомление об отзыве Центром ранее выданного разрешения | Незамедлительно, но не позднее дня, следующего за днем принятия такого решения | Уведомление |
| Трансграничная передача персональных данных после отзыва разрешения запрещается | |||
|
|
Дополнительно по теме • Запрос согласия субъекта персональных данных на трансграничную передачу персональных данных с комментариями (пример). • Согласие на трансграничную передачу персональных данных. • Алгоритм принятия решения о способе организации контроля за обработкой персональных данных и введения в штат должности DPO (data protection officer, менеджера (специалиста, инженера) по защите персональных данных) ответственного за осуществление внутреннего контроля за обработкой персональных данных. |