Законодательство Украины о защите персональных данных не содержит запрета относительно хранения персональных данных на территории других государств, в частности на удаленных серверах, находящихся в дата-центрах на территории Германии и США, но устанавливает определенные требования к трансграничной передаче персональных данных. Это разъяснила Государственная служба Украины по вопросам защиты персональных данных в письме № 10/2306-13.
Указано, что лицо, которое будет осуществлять хранение персональных данных, является их распорядителем по отношению к владельцу персональных данных согласно требованиям ст. 2 и частей 4 и 5 ст. 4 Закона «О защите персональных данных». Отношения между владельцем и распорядителем персональных данных должны быть урегулированы договором, заключенным между ними. При этом необходимо учитывать ст. 29 Закона «О защите персональных данных», которой установлены требования к передаче персональных данных иностранным субъектам.
Государства-участники Европейского экономического пространства, а также государства, подписавшие Конвенцию Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных, признаются обеспечивающими надлежащий уровень защиты персональных данных (Германия присоединилась к Конвенции 01.10.85).
США не являются государством-участником Европейского экономического пространства и не подписали Конвенцию Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных. Передача владельцем персональных данных сведений о физлицах распорядителю персональных данных должна осуществляться на основании договора, заключенного между ними. Такой договор должен обеспечить реализацию прав физлиц как субъектов персональных данных, в частности права:
- знать о местонахождении базы персональных данных, которая содержит их персональные данные, ее назначение и наименование, местонахождении и/или месте жительства (пребывания) распорядителя персональных данных;
- на доступ к своим персональным данным;
- предъявлять мотивированное требование относительно изменения или уничтожения своих персональных данных любым владельцем и распорядителем персональных данных, если эти данные обрабатываются незаконно или являются недостоверными;
- обращаться с жалобами на обработку своих персональных данных, в том числе в уполномоченный государственный орган по вопросам защиты персональных данных, или в суд.
Для стран, которые не ратифицировали Конвенцию, в частности для США, Служба рекомендует использовать Соглашение о передаче персональных данных, разработанное Американской торговой палатой в Украине и согласованное Службой, которое определяет обязательства компаний-экспортеров и компаний-импортеров обеспечивать надлежащую защиту персональных данных: http://www.chamber.ua/files/documents/updoc/32/Agreement_PD_transfer_cont_proc_Chamber_logo.pdf.
Базовые положения такого соглашения могут использоваться владельцем персональных данных в договоре с распорядителем персональных данных. Договор является обязующим для стороны, которой передаются персональные данные, в отношении процедур обеспечения прав субъектов персональных данных и надлежащего уровня защиты их персональных данных.
