Трансграничная передача персональных данных в США
Подборка наиболее важных документов по запросу Трансграничная передача персональных данных в США (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Статьи, комментарии, ответы на вопросы
Статья: Особенности формирования межсистемных правовых образований для регулирования защиты персональных данных при их трансграничной передаче
(Нефедов Б.И., Истомин Н.А.)
("Российский юридический журнал", 2021, N 2)<42> На данном этапе ЕС заключил многочисленные двусторонние договоры по трансграничной передаче персональных данных. См., например: Agreement between the European Union and the United States of America on the processing and transfer of Financial Messaging Data from the European Union to the United States for the purposes of the Terrorist Finance Tracking Program, 2009; Agreement between the European Union and Australia on the processing and transfer of European Union-sourced passenger name record (PNR) data by air carriers to the Australian customs service, 2008; Agreement between the European Community and the Government of Canada on the processing of Advance Passenger Information and Passenger Name Record data, 2006.
(Нефедов Б.И., Истомин Н.А.)
("Российский юридический журнал", 2021, N 2)<42> На данном этапе ЕС заключил многочисленные двусторонние договоры по трансграничной передаче персональных данных. См., например: Agreement between the European Union and the United States of America on the processing and transfer of Financial Messaging Data from the European Union to the United States for the purposes of the Terrorist Finance Tracking Program, 2009; Agreement between the European Union and Australia on the processing and transfer of European Union-sourced passenger name record (PNR) data by air carriers to the Australian customs service, 2008; Agreement between the European Community and the Government of Canada on the processing of Advance Passenger Information and Passenger Name Record data, 2006.
"Научно-практический постатейный комментарий к Федеральному закону "О персональных данных"
(2-е издание, переработанное и дополненное)
(Савельев А.И.)
("Статут", 2021)<1> См.: Постановление Девятого арбитражного апелляционного суда от 16 августа 2016 г. N 09АП-30182/2016-АК по делу N А40-17595/16: "Для устранения выявленного нарушения Обществу необходимо разработать и использовать типовую форму письменного согласия субъекта ПДН на осуществление трансграничной передачи персональных данных на территорию США".
(2-е издание, переработанное и дополненное)
(Савельев А.И.)
("Статут", 2021)<1> См.: Постановление Девятого арбитражного апелляционного суда от 16 августа 2016 г. N 09АП-30182/2016-АК по делу N А40-17595/16: "Для устранения выявленного нарушения Обществу необходимо разработать и использовать типовую форму письменного согласия субъекта ПДН на осуществление трансграничной передачи персональных данных на территорию США".
Статья: Правовые аспекты трансграничной передачи данных между ЕС и США
(Шамраев А.В.)
("Международное публичное и частное право", 2022, N 4)До заключения TADPF трансграничная передача персональных данных в отношениях между европейскими и американскими партнерами продолжает регулироваться стандартными договорными условиями, возможность использования которых была подтверждена в вышеуказанном решении Европейского суда. Европейской Комиссией было одобрено два вида таких условий в зависимости от субъектного состава. В случае трансграничной передачи персональных данных процессорам из третьих стран применялись Стандартные договорные условия для передачи персональных данных процессорам, учрежденным в третьих странах, одобренные решением Комиссии N 2010/87/EC от 5 февраля 2010 г. <20>, и в остальных случаях Стандартные договорные условия для передачи персональных данных третьим странам, одобренные решением Комиссии ЕС N 2001/497/EC от 15 июня 2001 г. (с изменениями 2004 г.) <21>. В стандартных договорных условиях содержались положения, устанавливающие более высокие требования по сравнению с требованиями Директивы, в связи с чем на практике стандартные договорные условия были для американских корпораций менее привлекательны, чем Принципы и "Евро-американский щит приватности".
(Шамраев А.В.)
("Международное публичное и частное право", 2022, N 4)До заключения TADPF трансграничная передача персональных данных в отношениях между европейскими и американскими партнерами продолжает регулироваться стандартными договорными условиями, возможность использования которых была подтверждена в вышеуказанном решении Европейского суда. Европейской Комиссией было одобрено два вида таких условий в зависимости от субъектного состава. В случае трансграничной передачи персональных данных процессорам из третьих стран применялись Стандартные договорные условия для передачи персональных данных процессорам, учрежденным в третьих странах, одобренные решением Комиссии N 2010/87/EC от 5 февраля 2010 г. <20>, и в остальных случаях Стандартные договорные условия для передачи персональных данных третьим странам, одобренные решением Комиссии ЕС N 2001/497/EC от 15 июня 2001 г. (с изменениями 2004 г.) <21>. В стандартных договорных условиях содержались положения, устанавливающие более высокие требования по сравнению с требованиями Директивы, в связи с чем на практике стандартные договорные условия были для американских корпораций менее привлекательны, чем Принципы и "Евро-американский щит приватности".
Статья: Ответы Банка России на вопросы (предложения) банков, поступившие в рамках ежегодной встречи кредитных организаций с руководством регулятора (Приложение к Письму Банка России от 24.07.2023 N 03-23-16/6611)
("Официальный сайт Ассоциации "Россия", 2023)Неисполнение требований закона США грозит банкам других стран особыми санкциями со стороны Налоговой службы США, в том числе принудительными удержаниями денежных средств. В соответствии с частью 5 статьи 12 Закона N 152-ФЗ банк обязан запросить у иностранного налогового органа сведения, определенные в части 5 статьи 12 Закона N 152-ФЗ. Налоговый орган иностранного государства, особенно в государстве, не обеспечивающем адекватную защиту персональных данных (в частности, к которым на текущий момент относится США), может проигнорировать запрос сведений от банка либо предоставить неприемлемый для положительной оценки соблюдения налоговым органом, которому планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке, ответ на запрос сведений.
("Официальный сайт Ассоциации "Россия", 2023)Неисполнение требований закона США грозит банкам других стран особыми санкциями со стороны Налоговой службы США, в том числе принудительными удержаниями денежных средств. В соответствии с частью 5 статьи 12 Закона N 152-ФЗ банк обязан запросить у иностранного налогового органа сведения, определенные в части 5 статьи 12 Закона N 152-ФЗ. Налоговый орган иностранного государства, особенно в государстве, не обеспечивающем адекватную защиту персональных данных (в частности, к которым на текущий момент относится США), может проигнорировать запрос сведений от банка либо предоставить неприемлемый для положительной оценки соблюдения налоговым органом, которому планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке, ответ на запрос сведений.
Статья: Права и свободы человека и гражданина в цифровую эпоху: государства versus IT-гиганты
(Виноградов В.А.)
("Журнал российского права", 2024, N 9)Серьезные проблемы с уязвимостью персональных данных демонстрирует Meta. В начале 2023 г. по решению ирландской Комиссии по защите данных (DPC) компания получила штраф в размере 390 млн евро за утечки данных. Ранее этот IT-гигант уже был оштрафован на 265 млн евро решением той же комиссии по аналогичному поводу - расследование показало, что в 2019 г. на хакерских форумах появились личные данные 533 млн пользователей Facebook и Instagram, включая имена, адреса электронной почты, данные о местонахождении <36>. В мае 2023 г. ЕС оштрафовал Meta на 1,2 млрд долл. за несоблюдение Общего регламента ЕС по защите персональных данных (GDPR), что стало рекордной суммой <37>. Вопрос касался трансграничной передачи данных из ЕС в США, которая, по мнению европейского регулятора, ставит под угрозу конфиденциальность данных пользователей ввиду возможного доступа со стороны местных властей. В 2022 г. Meta пыталась оказать давление на ЕС, заявляя, что думает о закрытии Facebook и Instagram в ЕС, если у нее не будет возможности передавать данные в США. Такая передача важна для компании из-за оптимизации деятельности по таргетированию рекламы, т.е. затрагивает ее масштабные финансовые интересы <38>.
(Виноградов В.А.)
("Журнал российского права", 2024, N 9)Серьезные проблемы с уязвимостью персональных данных демонстрирует Meta. В начале 2023 г. по решению ирландской Комиссии по защите данных (DPC) компания получила штраф в размере 390 млн евро за утечки данных. Ранее этот IT-гигант уже был оштрафован на 265 млн евро решением той же комиссии по аналогичному поводу - расследование показало, что в 2019 г. на хакерских форумах появились личные данные 533 млн пользователей Facebook и Instagram, включая имена, адреса электронной почты, данные о местонахождении <36>. В мае 2023 г. ЕС оштрафовал Meta на 1,2 млрд долл. за несоблюдение Общего регламента ЕС по защите персональных данных (GDPR), что стало рекордной суммой <37>. Вопрос касался трансграничной передачи данных из ЕС в США, которая, по мнению европейского регулятора, ставит под угрозу конфиденциальность данных пользователей ввиду возможного доступа со стороны местных властей. В 2022 г. Meta пыталась оказать давление на ЕС, заявляя, что думает о закрытии Facebook и Instagram в ЕС, если у нее не будет возможности передавать данные в США. Такая передача важна для компании из-за оптимизации деятельности по таргетированию рекламы, т.е. затрагивает ее масштабные финансовые интересы <38>.
Статья: Технодетерминизм в частном праве: влияние биопринтинга на развитие концепции защиты права на цифровой образ
(Богданов Д.Е.)
("Вестник Пермского университета. Юридические науки", 2020, N 4)Заметим, что в настоящее время повышенное внимание начинают уделять вопросам трансграничной передачи персональных данных, что может повлечь за собой причинение вреда неопределенному кругу потерпевших. Так, 16 июля 2020 г. Европейский суд справедливости (European Court of Justice) отменил ранее принятое решение Европейской комиссии (Privacy Shield adaptivity determination) о том, что в США имеется адекватный механизм защиты персональных данных европейских граждан в соответствии с общим Регламентом ЕС по защите персональных данных, вступившим в силу 25 мая 2018 г. (General Data Protection Regulation, далее - GDPR) <5>. Суд указал, что в США не обеспечивается неприкосновенность частной жизни европейских граждан, у них отсутствуют эффективные средства правовой защиты.
(Богданов Д.Е.)
("Вестник Пермского университета. Юридические науки", 2020, N 4)Заметим, что в настоящее время повышенное внимание начинают уделять вопросам трансграничной передачи персональных данных, что может повлечь за собой причинение вреда неопределенному кругу потерпевших. Так, 16 июля 2020 г. Европейский суд справедливости (European Court of Justice) отменил ранее принятое решение Европейской комиссии (Privacy Shield adaptivity determination) о том, что в США имеется адекватный механизм защиты персональных данных европейских граждан в соответствии с общим Регламентом ЕС по защите персональных данных, вступившим в силу 25 мая 2018 г. (General Data Protection Regulation, далее - GDPR) <5>. Суд указал, что в США не обеспечивается неприкосновенность частной жизни европейских граждан, у них отсутствуют эффективные средства правовой защиты.
Статья: Закон США NDAA 2021 и правовые проблемы обеспечения банками конфиденциальности информации
(Лаутс Е.Б.)
("Банковское право", 2021, N 5)При этом ст. 6 Закона о персональных данных допускает ряд случаев, когда обработка персональных данных субъекта возможна без его согласия, в частности, когда обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. В рассматриваемом случае отказ от представления сведений по запросу по закону может привести к невозможности исполнения договора между банком и клиентом вследствие блокировки корреспондентского счета банка в долларах США. Согласно п. 4 ст. 12 Закона о персональных данных, трансграничная передача персональных данных возможна даже на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, и может осуществляться в случае исполнения договора, стороной которого является субъект персональных данных. Тем не менее в случае возникновения спора с клиентом существует риск признания такой передачи неправомерной, поскольку информация запрашивается третьим лицом, не являющимся стороной по договору банковского счета между банком и клиентом <22>. Кроме того, как было отмечено, персональные данные могут одновременно являться объектами банковской тайны, для которой установлен более жесткий режим передачи.
(Лаутс Е.Б.)
("Банковское право", 2021, N 5)При этом ст. 6 Закона о персональных данных допускает ряд случаев, когда обработка персональных данных субъекта возможна без его согласия, в частности, когда обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. В рассматриваемом случае отказ от представления сведений по запросу по закону может привести к невозможности исполнения договора между банком и клиентом вследствие блокировки корреспондентского счета банка в долларах США. Согласно п. 4 ст. 12 Закона о персональных данных, трансграничная передача персональных данных возможна даже на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, и может осуществляться в случае исполнения договора, стороной которого является субъект персональных данных. Тем не менее в случае возникновения спора с клиентом существует риск признания такой передачи неправомерной, поскольку информация запрашивается третьим лицом, не являющимся стороной по договору банковского счета между банком и клиентом <22>. Кроме того, как было отмечено, персональные данные могут одновременно являться объектами банковской тайны, для которой установлен более жесткий режим передачи.