ГОСУДАРСТВЕННАЯ СЛУЖБА УКРАИНЫ ПО ВОПРОСАМ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПИСЬМО

от 3 сентября 2013 г. № 10/2306-13

Относительно хранения документации (баз данных) за пределами Украины

(Извлечение)

<…>
Законодательство Украины о защите персональных данных не содержит запрета относительно хранения персональных данных на территории других государств, в частности на удаленных серверах, находящихся в дата-центрах на территории Германии и США, но устанавливает определенные требования к трансграничной передаче персональных данных.

Лицо, которое будет осуществлять обработку персональных данных, а именно их хранение, является распорядителем персональных данных по отношению к владельцу персональных данных согласно требованиям статьи 2 и частей четвертой и пятой статьи 4 Закона Украины «О защите персональных данных». Отношения между владельцем и распорядителем персональных данных должны быть урегулированы договором, заключенным между ними.

При этом необходимо учитывать статью 29 Закона Украины «О защите персональных данных», которой установлены требования к передаче персональных данных иностранным субъектам.
<…>
Государства — участницы Европейского экономического пространства, а также государства, подписавшие Конвенцию Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных, признаются обеспечивающими надлежащий уровень защиты персональных данных (Германия присоединилась к Конвенции 01.10.85).

США не являются государством — участницей Европейского экономического пространства и не подписали Конвенцию Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных. Передача владельцем персональных данных сведений о физических лицах распорядителю персональных данных должна осуществляться на основании договора, заключенного между ними. Такой договор должен обеспечить реализацию прав физических лиц как субъектов персональных данных, в частности права:

знать о местонахождении базы персональных данных, которая содержит их персональные данные, ее назначение и наименование, местонахождение и/или место жительства (пребывания) распорядителя персональных данных;

на доступ к своим персональным данным;

предъявлять мотивированное требование относительно изменения или уничтожения своих персональных данных любым владельцем и распорядителем персональных данных, если эти данные обрабатываются незаконно или являются недостоверными;

обращаться с жалобами на обработку своих персональных данных, в том числе в уполномоченный государственный орган по вопросам защиты персональных данных, или в суд.

Для стран, которые не ратифицировали упомянутую выше Конвенцию, в частности для США, Служба рекомендует использовать Соглашение о передаче персональных данных, разработанное Американской торговой палатой в Украине и согласованное Службой, которое определяет обязательства компаний-экспортеров и компаний-импортеров обеспечивать надлежащую защиту персональных данных:
http://www.chamber.ua/files/documents/updoc/32/Agreement_PD_transfer_cont_proc_Chamber_logo.pdf <…>.

Базовые положения такого соглашения могут использоваться владельцем персональных данных в договоре с распорядителем персональных данных. Договор является обязующим для стороны, которой передаются персональные данные, в отношении процедур обеспечения прав субъектов персональных данных и надлежащего уровня защиты их персональных данных.