Законодавство України про захист персональних даних не містить заборони відносно зберігання персональних даних на території інших держав, зокрема на видалених серверах, що знаходяться в дата-центрах на території Німеччини і США, але встановлює певні вимоги до трансграничної передачі персональних даних. Це роз'яснила Державна служба України з питань захисту персональних даних в листі № 10/2306-13.
Вказано, що особа, яка здійснюватиме зберігання персональних даних, є їх розпорядником по відношенню до власника персональних даних згідно з вимогами ст. 2 і частин 4 і 5 ст. 4 Закону "Про захист персональних даних". Стосунки між власником і розпорядником персональних даних мають бути врегульовані договоромув'язненим між ними. При цьому необхідно враховувати ст. 29 Закону "Про захист персональних даних", якому встановлені вимоги до передачі персональних даних іноземним суб'єктам.
Держави-учасники Європейського економічного простору, а також держави, що підписали Конвенцію Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних, визнаються такими, що забезпечують належний рівень захисту персональних даних (Німеччина приєдналася до Конвенції 01.10.85).
США не є державою-учасником Європейського економічного простору і не підписали Конвенцію Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних. Передача власником персональних цих відомостей про фізосіб розпорядникові персональних даних повинна здійснюватися на підставі договоруув'язненого між ними. Такий договір повинен забезпечити реалізацію прав фізосіб як суб'єктів персональних даних, зокрема права:
- знати про місцезнаходження бази персональних даних, яка містить їх персональні дані, її призначення і найменування, місцезнаходження і місце проживання (перебування) розпорядника персональних даних;
- на доступ до своїх персональних даних;
- пред'являти мотивовану вимогу відносно зміни або знищення своїх персональних даних будь-яким власником і розпорядником персональних даних, якщо ці дані обробляються незаконно або є недостовірними;
- поводитися із скаргами на обробку своїх персональних даних, у тому числі в уповноважений державний орган з питань захисту персональних даних, або до суду.
Для країн, які не ратифікували Конвенцію, зокрема для США, Служба рекомендує використовувати Угоду про передачу персональних даних, розроблене Американською торговою палатою в Україні і погоджене Службою, яке визначає зобов'язання компаній-експортерів і компаній-імпортерів забезпечувати належний захист персональних даних : http://www.chamber.ua/files/documents/updoc/ 32/Agreement_PD_transfer_cont_proc_Chamber_logo.pdf.
Базові положення такої угоди можуть використовуватися власником персональних даних в договорі з розпорядником персональних даних. Договір є зобов'язуючим для сторони, якій передаються персональні дані, відносно процедур забезпечення прав суб'єктів персональних даних і належного рівня захисту їх персональних даних.
