Куперс

Бухучет и анализ

Трансграничную передачу персональных данных

Содержание

Особенности трансграничной передачи персональных данных: регламент отправки, документы и безопасность

Что это такое?

В российском законодательстве под этим явлением понимается передача персональных данных иностранному государству, иностранному государственному агентству, гражданину иностранного государства или иностранному юридическому лицу. Такое определение прописано в статье 3 редакции 2017 года Федерального Закона “О Персональных данных” от 27.07.2006.

Регламент отправки

Касательно регламента отправки, в случае необходимости трансграничной передачи персональных данных за пределы границы РФ любое лицо, выполняющее обработку такой информации, должно удостовериться, что права и интересы субъекта будут соблюдены в достаточной мере, то есть необходимо его согласие. Все страны, которые подписали Страсбургскую Конвенцию считаются способными обеспечивать достаточную защиту прав и интересов субъекта.

Также существует официальный список, принятый Роскомнадзором, стран, которые тоже удовлетворяют требованиям защиты информации при переводе через границу. В частности, туда входят:

  • Австралия.
  • Аргентина.
  • Израиль.
  • Канада.
  • Мексика.
  • Новая Зеландия.

Согласно закону “О Персональных данных” передача сведений через границу может быть запрещена по причине:

  • защиты конституционного строя Российской федерации;
  • нравственности;
  • здоровья;
  • прав и законных интересов граждан РФ;
  • национальной безопасности.

В то же время, трансграничная передача персональных данных в страны, которые не способны обеспечить достаточную защиту такой информации, разрешена только в нескольких случаях:

  1. было получено письменного согласие соответствующего субъекта на трансграничную передачу персональных данных;
  2. трансграничная передача данных разрешена по условиям международным договоров, участником которых является Россия;
  3. перевод информации в другую страну разрешен по условиям принятых законов, если это необходимо для защиты конституционного строя РФ, государственной безопасности, а также поддержания жизнеспособности транспортной системы, защиты интересов лиц, общества, государства в транспортной сфере при незаконном вторжении;
  4. отправка конфиденциальных сведений осуществляется для выполнения контракта, участником которого является субъект;
  5. передача данных через границу требуется для защиты жизни субъекта, его здоровья или иных важных интересов, а получение письменного согласие лица не является возможным.

Пошаговая инструкция

Таким образом, для того, чтобы осуществить перевод конфиденциальных сведений в другую страну необходимо:

  1. Удостовериться в Роскомнадзоре, является ли страна, в которую планируется перевод, участником Страсбургской Конвенции или же находится в приказе Роскомнадзора “Об утверждении Перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных”.
  2. Получить согласие соответствующего субъекта персональных данных на их обработку для выполнения трансграничной передачи.
  3. Подписать договор со стороной, которая становится получателем данных.
  4. Проверить каналы передачи информации.

Как обеспечить безопасность?

Для надежной отправки данных необходимо провести защиту каналов передачи персональной информации. Если же эта операция производится через Интернет или через другие незащищённые каналы, то рекомендуется использовать средства шифрования.

ВНИМАНИЕ. Обычно не требуется регистрация в Роскомнадзоре или одобрение письменного согласия для трансграничной передачи. Согласие должно быть просто подписано соответствующим субъектом. Однако необходимо уведомить Роскомнадзор о трансграничной передаче персональных данных.

Какие документы сопровождают процедуру?

  1. Согласие того, чьи данные передаются.
  2. Договор с принимающей стороной.
  3. Письменное уведомление Роскомнадзора.

Ответственность за незаконные действия

Если же об использовании конфиденциальных сведений не будет сообщено в Роскомнадзор, то это будет считаться незаконным переводом информации в другую страну. Это является нарушением статьи 19.7 Административного Законодательства РФ, что соответствует наказанию в размере 5 тысяч рублей. Если уведомление Роскомнадзора будут совершено после того, как персональные будут обработаны, то это будет таким же правонарушением.

Оформление согласия

Правила заполнения этого документа описаны в Федеральном Законе № 152. Его содержание является достаточно произвольным, однако нужно помнить о необходимых элементах заявления:

  1. Фамилия, имя, отчество субъекта, его адрес и серия, номер паспорта или иного документа, удостоверяющее личность гражданина.
  2. Фамилия, имя, отчество лица или название организации, которое, предполагается, будет выполнять обработку.
  3. Цели, для которых выполняется выяснение персональных данных.
  4. Список сведений, которые будут обработаны.
  5. Информация об организации, которая будет совершать дальнейшие операции с данными.
  6. Описание того, какие действия будут происходить с данными.
  7. Срок, в течение которого действует согласие субъекта.
  8. Подпись лица, выполненная лично.

Также в части 1 статье 9 Закона № 152 описаны критерии, которым должен соответствовать документ о согласии. Главными же из них являются добровольное заполнение заявление и присутствие необходимых элементов в нём.

Заявление необходимо предоставить строго в письменной форме, но возможно это сделать и через Интернет.

Общепринятой же формы заполнения не существует, поэтому придется сделать это самостоятельно или при помощи соответствующих служб.

В заключение можно сказать, что законодательство в сфере защиты персональных данных само по себе является в существенном усовершенствование, так как это довольно молодая сфера. Осуществление передачи персональных данных трансграничным способом и перевод подобных данных в другую страну является ещё более сложным явлением, так как зачастую необходимо учитывать законы несколько государств и международных организаций.

Обзор новых правил локализации и трансграничной передаче персональных данных

С 1 сентября 2015 г. в России вступил в силу Федеральный закон от 21 июля 2014 г.Федеральный закон от 21.07.2014 № 242-ФЗ (ред. от 31.12.2014) «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно телекоммуникационных сетях» № 242-ФЗ. Теперь при сборе персональных данных оператор обязан обеспечить запись, систематизацию, хранение и уточнение данных на территории России за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

Основные понятия:

  • Одним из ключевых вопросов является толкование термина “база данных” в контексте данных норм. Одно из пониманий данного термина содержится в ГК РФ. Определение “базы данных” можно встретить, например, в ГОСТ 20886-85, в котором база понимается как совокупность данных, организованных определенным образом. Согласно Модельному закону о персональных данных, принятому в г. Санкт-Петербурге 16.10.1999 Постановлением 14-19 под базой данных понимается “упорядоченный массив персональных данных”. Таким образом, источники исходят в основном из расширенного толкования термина “база данных”.
  • Понятие персональных данных определено в Конвенции № 108 “О защите физических лиц при автоматизированной обработке персональных данных» и законе “О персональных данных”. Определение персональных данных содержится в статье 3 данного закона. Под “персональными данными” в законе понимается любая информация, относящаяся к прямо или косвенным образом определяемому физическому лицу. Тем не менее, такая информация должна позволять идентифицировать физическое лицо. В случае если информация, используемая отдельно не позволяет идентифицировать лицо, данные не могут быть признаны персональными
  • Под оператором применительно к данному вопросу понимается субъект, который обладает информацией, технологиями по ее обработке и техническими средствами.
  • Под обработкой же персональных данных понимаются любые действия с такими данными, независимо от того, используются для этого автоматизированные средства или нет, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение

Сфера действия закона:

По кругу лиц:

  • Порядок определения гражданства субъектов персональных данных не урегулирован в нормативном порядке, что предоставляет возможность оператору самостоятельно решать данный вопрос. Сбор персональных данных должен осуществляться на территории России, что позволяет распространить действие нормы на иностранцев и лиц без гражданства.
  • Нормы закона применяются также к российским компаниям. Иностранным компаниям, которые имеют в РФ официальное представительство или филиал и к иностранным компаниям, не имеющим официального присутствия в России. В то же время закон экстерриториального действия не имеет и не распространяется на нерезидентов, собирающих персональные данные россиян за границей.

Во времени:

  • Порядок применения закона во времени также требует детального рассмотрения.

По общему правилу обратная сила закона применяться не должна, если иной порядок не был предусмотрен законом.

  • Как следует из разъяснений Минком связи на базы данных, созданные за рубежом до 1 сентября 2015 года требование о локализации распространяться не будет ( “архивные базы”). Тем не менее, изменение таких баз, их актуализация должна производиться с помощью баз, которые находятся на территории России

Персональные данные

Исполнение требований закона:

  • Поправки были внесены в ст. 18 ФЗ “О персональных данных”, в п. 5 которой указывается, что при сборе персональных данных оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации.
  • Исходя из толкования нормы, можно сделать вывод, что предусматривается обязательное требование осуществления на территории России поименованных в законе действий. То есть данные виды операций должны производиться с исполнением требования о “локализации” на территории России.
  • “Локализация” может производиться в любой форме как электронной, так и бумажной.

В п.5 ст. 18 предусматривается ряд исключений:

  1. Обработка, необходимая для осуществления возложенных законодательством на оператора функций. При этом данный факт будет устанавливаться, и проверяться в каждом конкретном случае Роско надзором
  2. Обработка необходима для осуществления правосудия или исполнения акта
  3. Обработка необходима для исполнения полномочий федеральных органов исполнительной власти
  4. Обработка необходима для осуществления профессиональной деятельности журналиста или законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных

Санкции:

  • В настоящее время каких-либо специальных норм, закрепляющих ответственность за нарушение правил локализации персональных данных, законодательством не предусмотрено.
  • Тем не менее в отношении субъектов, нарушающих правила о локализации могут быть предусмотрены следующие санкции:
  1. a) Ст.13.11 КОАП РФ устанавливает штраф за нарушение порядка сбора, хранения, использования или распространения персональных данных. Штраф за такие нарушения составляет не более 10 тысяч рублей
  2. b) В качестве другой санкции может быть применена возможность внесения доменных имен и сетевых адресов в реестр нарушителей прав субъектов персональных данных

Трансграничная передача данных:

  • Согласно статье 3 Закона о персональных данных трансграничная передача персональных данных — это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу
  • Помимо возможности запрета трансграничной передачи персональных данных в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, никаких ограничений на передачу персональных данных странам, обеспечивающим адекватную защиту прав субъектов в законе не предусмотрено.

  • Под странами, обеспечивающими адекватную защиту, понимаются страны, являющиеся сторонами Конвенции, а также иностранные государства, перечень которых установил Роскомнадзор в Приказе № 274 «Об утверждении Перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных»
  • Уполномоченным органом формируется перечень иностранных государств, которые не являются сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных.
  • Закон также обязывает оператора убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

При этом в соответствие с п.4 ст.12 Федерального закона от 27.07.2006 № 152-ФЗ ”О персональных данных” трансграничная передача может осуществляться в случаях:

  • Наличия письменного согласия субъекта персональных данных
  • Предусмотренных международными договорами Российской Федерации
  • Предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации
  • Исполнения договора, стороной которого является субъект персональных данных
  • Защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных

При этом при осуществлении трансграничной передачи необходимо осуществить следующие действия:

  1. Уведомить Роскомнадзор об осуществляемой трансграничной передаче
  2. Проинформировать субъекта персональных данных до начала обработки его персональных данных об осуществляемой трансграничной передаче
  3. Отразить условия трансграничной передачи персональных данных во внутренних нормативных документах оператора
  4. Обеспечить защиту канала передачи данных
  • После принятия Федерального закона от 21.07.2014 № 242-ФЗ было введено описанное ранее требование о “локализации” персональных данных.
  • Новый закон запретил трансграничную передачу персональных данных в базы данных, размещенные за пределами территории России. Тем не менее, в соответствие с разъяснениями Минсвязи, изменения в ФЗ «О персональных данных», внесенные ФЗ-242, не затронули положений закона о трансграничной передаче данных.
  • Поэтому трансграничная передача персональных данных за пределы России разрешена, как и ранее, с соблюдением условий, указанных в ст. 12 ФЗ «О персональных данных».

Нормативный акт:

Федеральный закон от 21.07.2014 № 242-ФЗ (ред. от 31.12.2014) «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно телекоммуникационных сетях».

Практическая реализация новых правил вызвала множество вопросов и поэтому требует более детального рассмотрения. Многие ответы, касающиеся применения законодательства о “локализации”, были выданы Минком связи России и Роскомнадзором.

Рекомендации Роском надзора и Минком связи по применению новых положений законодательства о персональных данных

Рекомендации и разъяснения Минком связи:

1) Определение гражданства субъекта персональных данных с целью выполнения требований локализации

  • Вопрос о порядке определения гражданства субъектов персональных данных не урегулирован в нормативном порядке. Законодатель тем самым предоставил возможность оператору персональных данных самостоятельно решать данный вопрос исходя из специфики его деятельности. Если данный вопрос не решен оператором, то возможно применение нормы ко всем персональным данным, сбор которых был осуществлен на территории Российской Федерации

2) Применение новых правил к компаниям-авиаперевозчикам

  • Договор воздушной перевозки удостоверяется билетом и багажной квитанцией. Авиаперевозчикам в целях реализации вышеуказанных положений закона, требуется осуществление деятельности по обработке персональных данных пассажира в целях оформления документов, удостоверяющих заключение договора воздушной перевозки. Требования ч. 5 ст. 18 ФЗ «О персональных данных» не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов, багажных квитанций и иных перевозочных документов, так как они подпадают под исключение, предусмотренное п. 2 ч. 1 ст. 6 ФЗ «О персональных данных».

3) Можно ли осуществлять трансграничную передачу персональных данных работников?

  • Осуществление такого типа передачи возможно в соответствие с законодательством России.

4) Необходимо ли осуществлять “локализацию” персональных данных работников, если такая передача осуществляется с целью соблюдения норм трудового законодательства?

  • В случае, если обработка персональных данных подпадает под исключения, предусмотренные пунктами 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных», положения части 5 статьи 18 152-ФЗ не применяются. Корректность такой квалификации определяется уполномоченными федеральными органами.

5) Могут ли граждане РФ размещать персональные данные в удобном для них формате и пользоваться услугами, предлагаемыми на мировом рынке товаров, работ и услуг?

  • Изменения, вносимые в законодательство Российской Федерации Федеральным законом №242-ФЗ, не препятствуют гражданам Российской Федерации получать за пределами Российской Федерации услуги, в случае, если в их рамках обрабатываются персональные данные граждан Российской Федерации за пределами территории Российской Федерации, в соответствии с международным договором или в соответствии с федеральным законом, либо в рамках иных исключений, на которые не распространяется норма части 5 статьи 18 152-ФЗ.

6) Имеет ли закон экстерриториальное действие?

  • Внутреннее законодательство государства действует исключительно на территории такого государства и не распространяется на нерезидентов государства, находящихся на территории иного государства.

7) Распространяются ли поправки на правоотношения, возникшие до его вступления в силу?

  • Закон распространяется на правоотношения, возникшие после его вступления в силу, если иное не определено в самом законе. В Федеральном законе №242-ФЗ не имеется указаний на иной порядок распространения его норм во времени. К “архивным” базам данных не применяется. В случае если в отношении данных стали осуществляться действия, предусмотренные частью 5 статьи 18, то “локализация” должна производиться.

8) Возможно ли осуществление обработки персональных данных, если субъект дает согласия на осуществление таких действий?

  • Само по себе это не является основанием для осуществления указанных действий.

9) Распространяется ли требование закона о “локализации” только на первичный сбор информации?

  • Трактовка в части первичного сбора является неверной по следующим основаниям. Закон не предусматривает понятия «первичный сбор», а устанавливает требования к обработке персональных данных при любом сборе информации.

10) На протяжении какого периода действует согласие на обработку персональных данных?

  • В законодательстве в сфере персональных данных отсутствует понятие «прекратившееся согласие». Согласно части 7 статьи 5 Федерального закона №152- ФЗ обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

11) Возможно ли передавать персональные данные работников иностранным компаниям, принадлежащим к той же группе компаний, что и российский работодатель, на основании безвозмездного договора о передаче данных?

  • Трансграничная передача персональных данных не запрещена при условии соблюдения требований, установленных в статье 12 Федерального закона №152-ФЗ. При этом трансграничная передача данных должна иметь заранее определенную цель обработки, при достижении которой субъекту персональных данных должно быть гарантировано уничтожение переданных данных на территории иностранного государства

12) В течение какого периода данные могут находиться на иностранных серверах третьих лиц после передачи?

  • Федеральным законом №152-ФЗ (часть 4 статья 21) предусмотрено, что в случае достижения цели обработки персональных данных (ПД), оператор обязан прекратить обработку ПД или обеспечить ее прекращение и уничтожить ПД в срок, не превышающий 30 дней с даты достижения цели обработки.
  • В случае отсутствия возможности уничтожения ПД в течение указанного срока оператор осуществляет блокирование ПД и обеспечивает их уничтожение в срок не более чем 6 месяцев.

13) Необходимо ли получить предварительное одобрение для того, чтобы осуществить трансграничную передачу персональных данных?

  • Федеральный закон №152-ФЗ не устанавливает подобных требований согласования Роскомнадзором документов или действий оператора персональных данных при трансграничной передаче данных на территорию любого иностранного государства.

14) Действительно ли не требуется повторное или дополнительное уведомление об обработке персональных данных после 1 сентября 2015 года. Нужно ли дополнительно сообщать, где находятся базы данных?

  • Понятия «повторного» или «дополнительного» уведомления не существует. Статьей 22 Федерального закона «О персональных данных» установлена обязанность оператора до начала обработки персональных данных направить уведомление. В части 2 указанной статьи приведен ряд исключений, когда такого уведомления не требуется. Если организация ранее направила в Роскомнадзор уведомление об обработке персональных данных, то после вступления в силу закона операторы, руководствуясь частью 7 данной статьи, должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.

Рекомендации и разъяснения Роскомнадзора:

1) Подпадает ли идентификационный номер автомобиля под определение «персональные данные»?

  • Государственный номер автомобиля, иная техническая информация, включая историю ремонта транспортного средства, не относится к персональным данным, поскольку не позволяет идентифицировать конкретное физическое лицо. Так, указанные сведения относятся не к субъекту персональных данных, а автомобильному средству.

2) Должны ли иностранные операторы персональных данных осуществляющие или планирующие осуществлять сбор и обработку персональных данных граждан РФ с использованием WEB-сайтов, осуществлять такую обработку и хранение на территории РФ?

  • Не имеет значения, расположена ли иностранная компания в России или нет, если она распространяет свою деятельность именно на российский сегмент, рассчитанный на российского потребителя, то 242-ФЗ будет к ней применяться. В связи с чем, сбор и обработка персональных данных российских граждан, территориально находящихся в Российской Федерации, должен осуществляться на территории России.

3) Какие особенности обработки общедоступных персональных данных и применимости к ним требований конфиденциальности?

  • Согласно п.10 ч.1 ст. 6 Федерального закона «О персональных данных» допускается без согласия субъекта персональных данных обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе. Соответственно, требование конфиденциальности, установленное ст. 7 Федерального закона «О персональных данных», на обработку указанных сведений не распространяется.

4) Какой срок и процедура для восстановления доступа к заблокированному сайту/странице сайта?

  • Сроки и порядок восстановления доступа к заблокированному сайту будет определен нормативным правовым актом Правительства Российской Федерации, разработанным во исполнение 242-ФЗ, который сейчас находится на стадии утверждения.

5) Имеется ли переходный период для компаний, чтобы они могли обеспечить выполнение новых требований?

  • Положения ФЗ-242 вступают в силу с 1 сентября 2015 года. Никаких исключений или переходных периодов ни 242-ФЗ, ни 526-ФЗ, внесший изменения в 242-ФЗ в части уточнения времени вступления его в законную силу, не установлено.

6) Утверждена ли форма для уведомления о месте расположения баз данных?

  • Статьей 22 Федерального закона «О персональных данных» установлена обязанность оператора до начала обработки персональных данных направить уведомление. В части 2 указанной статьи приведен ряд исключений, когда такого уведомления не требуется. 242-ФЗ вносятся изменения в часть 3, которая определяет требования к содержанию уведомления. Если организация ранее направила в Роскомнадзор уведомление об обработке персональных данных, то после вступления закона в силу операторы руководствуюсь частью 7 данной статьи, должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.

7) В каком виде должна быть оформлена база данных по сбору персональных данных по новому закону о персональных данных? В каком виде эта база данных должна храниться на российском хостинге, в виде файла или в виде сайта и т.д.?

  • 242-ФЗ вносит изменение только в части места нахождения базы данных при осуществлении определенных видов обработки, и не вносит изменений в Федеральный закон «О персональных данных» в части, касающейся мер (в том числе технических) по обеспечению безопасности персональных данных при их обработке (см. ст. 19 Федерального закона «О персональных данных»).

8) Насколько с точки зрения Роскомнадзора вероятна возможность перенесения ответственности за невыполнение норм законодательства о персональных данных в части передачи персональных данных за рубеж (новелл 242-ФЗ) до 1 сентября 2016 года?

  • Закон не предусматривает переходные положения, поэтому никакого перенесения ответственности за невыполнение норм законодательства о персональных данных не будет. Вместе с тем как было указано выше в случае выявления нарушений 242-ФЗ операторам персональных данных будут давать предписания по их устранению в определенный срок, который будет установлен подзаконным нормативным правовым актом.

9) Имеются ли еще какие-либо предписания/ограничения для деятельности серверов на территории России?

  • Деятельность технических площадок (серверов, центров обработки данных) на территории Российской Федерации должна соответствовать установленным требованиям конфиденциальности и безопасности персональных данных, обрабатываемых с использованием вышеуказанных технических мощностей. Руководящие документы по обеспечению безопасности размещены на официальных сайтах ФСТЭК России и ФСБ России.

Персональные данные

10) Какие категории персональных данных, подпадающие под сферу действия 242-ФЗ?

  • Положения 242-ФЗ относятся к любой информации, относящейся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), а не к отдельным категориям персональных данных (специальных персональных данных, биометрических персональных данных).

11) По каким критериям система должна определять, что человек является гражданином РФ (по месту жительства, месту рождения)?

  • Законодатель предоставил возможность операторам персональных данных самостоятельно определять процедуру установления гражданства в соответствии со спецификой деятельности каждого юридического лица, осуществляющего сбор персональных данных граждан России. В связи с чем, предполагается, что дополнительного законодательного регулирования данный вопрос не требует.

12) Распространяются ли положения 242-ФЗ на государственные и муниципальные базы данных?

  • В 242-ФЗ отсутствуют положения о том, что он не распространяется на государственные и муниципальные базы данных. Кроме того, согласно ст. 1 Федерального закона «О персональных данных» положения данного закона распространяются на органы государственной власти и местного самоуправления. Учитывая, что 242-ФЗ вносит изменения в Федеральный закон «О персональных данных», положения 242-ФЗ не могут не распространяться на порядок формирования и ведения государственных и муниципальных баз данных.

Правила трансграничной передачи персональных данных по GDPR

IT NewsНовости рынкаБезопасность

| 12.04.2019

Уже долгое время европейский «Регламент защиты персональных данных» (General Data Protection Regulation, GDPR) не сходит с первых позиций среди самых обсуждаемых вопросов, волнующих компании всего мира. Такое внимание документ получил благодаря экстерриториальности действия и крайне высоким штрафам за несоответствие его требованиям.

Некоторые российские компании ввиду особенностей своего бизнеса также попали под регулирование GDPR, и, соответственно, соблюдение его требований становится для них одной из приоритетных задач. Яркий тому пример – Сбербанк, где особое внимание уделили вопросам трансграничной передачи данных ввиду наличия дочерних обществ на территории ЕС. В частности, были детально проанализированы способы организации трансграничной передачи персональных данных, установленные GDPR.

Приведенный в настоящей статье анализ поможет многим российским компаниям найти правильный подход к выбору условий передачи персональных данных между компаниями, входящими в международную группу.

На сегодняшний день РФ не входит в список стран, гарантирующих, по мнению Европейской комиссии, надлежащий уровень защиты физических лиц при обработке их персональных данных В этой связи международные российские компании, которые имеют дочерние общества или аффилированные лица на территории ЕС, вынуждены на постоянной основе использовать такие механизмы трансграничной передачи данных, которые соответствуют установленным GDPR принципам их обработки и гарантируют их надлежащую защиту.

До выхода GDPR, когда европейское законодательство не носило экстерриториального характера, крупные российские компании выстраивали процесс передачи персональных данных путем заключения договора на передачу и договора на обработку данных.

Сегодня же им следует пересмотреть свой подход с учетом механизмов соблюдения соответствующих гарантий, предусмотренных нормами GDPR: среди них «Кодекс поведения», «Обязательные корпоративные правила» (Binding Corporate Rules), «Стандартные положения о защите данных» (Standard Contractual Clauses), «Сертификация».

1

Механизмы обеспечения соответствующих гарантий при трансграничной передачи персональных данных по GDPR

«Кодекс поведения»

«Кодекс поведения» представляет собой совершенно новый механизм, устанавливающий конкретные правила защиты данных в определенном секторе. Такой документ разрабатывается торговыми ассоциациями или объединениями, например, представляющими банковский сектор, по согласованию с заинтересованными сторонами – участниками рынка, после чего утверждается европейским регулятором (Data Protection Authority) и главным надзорным органом ЕС по защите данных (European Data Protection Board).

На сегодняшний день такой кодекс отсутствует в каком-либо секторе деятельности, поэтому рассматривать его как возможный механизм, позволяющий гарантировать надлежащий уровень защиты персональных данных, нецелесообразно в ближайшие 3–5 лет. Инициативы разработки аналогичного документа известны лишь в сфере облачных вычислений и в фармацевтической промышленности.

«Стандартные положения о защите данных» (Standard Contractual Clauses, SCC)

Этот документ разработан задолго до вступления в силу GDPR. Планируется, что обновленные формы уже в соответствии с требованиями GDPR будут опубликованы на сайте ЕС в ближайшее время.

Особенность таких положений заключается в том, что форма является дополнением к главному договору и в нее нельзя вносить изменения. Многие российские компании в рамках трансграничной передачи данных уже используют SCC в качестве приложения к основному договору, предусматривающему передачу данных.

Стандартные положения SCC бывают двух видов:

· «Контролер – Обработчик»,

· «Контролер – Контролер».

Форма «Контролер– Обработчик» подразумевает, что контролер поручает обработку персональных данных обработчику согласно целям, определенным контролером. Форма «Контролер – Контролер», в свою очередь, предусматривает, что каждая сторона самостоятельно определяет цель и средства обработки персональных данных. SCC детально описывает потоки данных, а также технические и организационные меры безопасности.

Стандартные положения SCC отлично подходят в случае с малым и средним бизнесом. Для компаний-гигантов такой подход представляется не совсем удобным и весьма трудозатратным, поскольку порядок передачи данных в условиях стремительного развития цифровых технологий и постоянного изменения бизнес-процессов подразумевает необходимость заключения бесчисленного количества приложений к SCC с детальным и точным описанием потоков данных.

«Обязательные корпоративные правила» (Binding Corporate Rules, BCR)

Самым же удобным механизмом трансграничной передачи данных для крупного бизнеса являются «Обязательные корпоративные правила» (Binding Corporate Rules-BCR). Данный документ представляет собой межгрупповой договор (свод правил), закрепляющий правила передачи персональных данных в рамках одной группы компаний. BCR предоставляет возможность международной группе компаний обмениваться данными в условиях стремительного развития бизнеса без детального описания в заключаемых SCC постоянно увеличивающихся потоков данных. Помимо повышения качественности трансграничного обмена, общие положения о защите персональных данных, закрепленные в BCR, являются фундаментом единого подхода к обработке и защите персональных данных в группе компаний.

BCR бывает двух типов:

• BCR-C используется в рамках передачи персональных данных от контролера, находящегося на территории ЕС, другим контролерам и обработчикам за пределами ЕС.

• BCR-P используется в рамках обработки персональных данных, полученных группой (обработчиком) от контролера, учрежденного в ЕС и не входящего в группу.

Самый распространенный вариант – BCR-C, который позволяет свободно обмениваться персональными данными в рамках одной группы компаний.

Особенность данного документа заключается в том, что для использования в работе группа должна согласовать текст BCR с европейским регулятором и получить подтверждение главного надзорного органа ЕС (European Data Protection Board) (последнее – при необходимости). Организации, имеющие утвержденный европейским регулятором BCR, считаются в ЕС передовыми и надежными по вопросам защиты данных как клиентами и контрагентами, так и европейским регулятором.

На сегодняшний день европейский регулятор утвердил 132 BCR, из которых 20% – финансово-кредитные организации, такие как Citigroup, JPMorgan. Однако в списке организаций, имеющих BCR, отсутствуют российские международные компании, имеющие дочерние общества на территории ЕС. Это обусловлено тем, что разработка и внедрение единых требований к обработке и защите персональных данных в группе и их дальнейшее практическое применение объективно являются трудоемкой задачей ввиду необходимости анализа и учета требований законодательств, применимых к участникам группы. Для разработки и внедрения BCR российской компании необходимо провести масштабную работу по выработке единых правил, требований и подходов, как организационных, так и технических, к обработке и защите ПДн, обязательных для применения всеми присоединившимися к BCR компаниями.

Тем не менее экстерриториальный характер GDPR заставил задуматься крупные российские компании, чьи дочерние общества и аффилированные лица находятся на территории ЕС, использовать именно такой подход к трансграничной передаче персональных данных в группе.

Преимущество BCR для российской группы компаний заключается не только в том, что такой документ позволит не только обеспечить единый подход к защите ПДн в группе и уменьшить трудозатраты на реализацию договорного сопровождения потоков данных по бизнес-процессам, но и существенным образом повысить уровень доверия европейских контрагентов, клиентов, а также европейского регулятора как к группе компаний, так и к России в целом.

«Сертификация»

Ст. 42 GDPR предусматривает сертификацию на соответствие требованиям GDPR. Эксперты в области защиты персональных данных уже три года ждут новостей о том, что же это за сертификация, какие требования будут предъявляться и как будет проходить процедура сертификации, кто будет аккредитованными компаниями, и т. д.

Согласно положению GDPR, для проведения такой сертификации главный надзорный орган ЕС по защите данных должен аккредитовать консалтинговые и аудиторские компании на проведение таких мероприятий. Однако на сегодняшний день European Data Protection Board не аккредитовал ни одну компанию, не говоря уже о том, что не были выдвинуты требования к таким организациям.

Как и кодексы поведения, вопрос внедрения сертификации и выработки алгоритма действий для организаций, желающих получить подтверждение на соответствие требованиям GDPR, может затянуться на годы.

Административные штрафы за нарушение правил трансграничной передачи данных

Нарушение требований к трансграничной передаче данных с территории ЕС может привести к самым высоким санкциям, достигающих €20 млн или 4% глобального годового оборота компании.

Какой подход выбрать?

На сегодняшний день российские компании имеют два возможных пути правового сопровождения трансграничной передачи данных с территории ЕС в Россию: использование стандартных положений о защите данных SCC или разработка BCR.

Первый подход удобен в следующих случаях:

· когда четко определены процессы, в рамках которых передаются персональные данные.

· когда передача данных имеет постоянный характер и не подвержена многочисленным изменениям в результате внедрения новых бизнес-процессов, что больше свойственно малому и среднему бизнесу.

Разработка BCR, в свою очередь, является более зрелым решением и требует от группы копаний четкого понимания ответственности после принятия и согласования такого документа. При направлении BCR на утверждение европейскому регулятору группа дает гарантию, что организации, входящие в ее состав, следуют единым правилам защиты персональных данных, соответствующим принципам GDPR.

Сбербанк, будучи лидером на российском финансовом рынке, не боится решать новые сложные задачи в части соответствия требованиям европейского законодательства. Очевидная польза разработки и внедрения BCR в группе «Сбербанк» состоит в стандартизации и повышении уровня зрелости процессов обработки и защиты персональных данных во всех организациях, входящих в группу.

При выборе ВCR в качестве правового механизма трансграничной передачи данных компании группы должны быть готовы к тому, что согласование обязательных корпоративных правил может занимать от полугода до полутора лет ввиду очереди из международных компаний со всего мира, нацеленных в полной мере соответствовать требованиям GDPR.

Эльвира ЧАЧЕ,

менеджер Центра организации обработки и защиты персональных данных Сбербанка

безопасность российских корпоративных данных, кибербезопасность, информационная безопасность

Журнал: Журнал IT-News, Подписка на журналы

Sberbank | Сбербанк

Трансграничная передача персональных данных: что это

Многие из нас порой сталкиваются с явлениями, которых ранее никогда не встречали. Одним из таких явлений можно назвать трансграничную передачу данных – это пересылка сведений, проходящая в особенном формате. Каком именно, при каких условиях и многое другое – вопросы, которые часто интересуют специалистов, работающих в сфере обеспечения информационной безопасности. Давайте разберем данную информацию в представленном материале, и ответим на давно интересующие вас вопросы.

Трансграничная передача персональных данных: что это

Что такое трансграничная передача персональных данных

В первую очередь необходимо разобрать, что же таит в себе это непонятное для многих явление – трансграничная передача персональных данных.

Так, под данным термином кроется такая передача персональных данных, при которых оператор направляет их непосредственно через государственную границу нашей страны, при этом, адресатом данной передачи является:

  • какой-либо орган властной структуры иного государства;
  • физическое лицо иностранного государства;
  • юридическое лицо.

Вопрос, касающийся передачи данных через границу, поднялся тогда, когда началось объединение государств Европы. В то время необходимо было сделать следующее:

  • создать унифицированное законодательство в данной области;
  • узаконить передачу данных через границы различных государств.

Персональные данные могут в некоторых случаях передаваться без разрешения на то их субъекта

Благодаря возникновению перечисленных необходимостей, произошло создание так называемой Конвенции, которая урегулировала общие вопросы относительно данного явления.

Однако, требовалось также решить вопрос с защитой персональных данных, точнее, с сохранением ее на должном уровне после того, как они окажутся на территории иностранного государства. Дело в том, что:

  • гражданин конкретной страны имеет реальную возможность отстоять свои права и интересы, находясь на территории государства, к которому он принадлежит;
  • при этом, шансы на осуществление защиты интересов на территории иной страны в реальности крайне малы, сделать это представляется практически невозможно.

Правила трансграничной передачи данных

Каким же образом происходит осуществление так называемой трансграничной передачи информационных сведений?

Какие правила регулируют проведение данной процедуры?

На этот вопрос отвечает одна из статей Федерального закона №152, посредством которого осуществляется регулирование связанных с персональными данными нюансов. Давайте рассмотрим обозначенные в ней установки.

1. Прежде чем начать проводить передачу данных, входящих в категорию персональных, через государственную границу, оператор, на которого возлагается данная задача, обязан убедиться в том, что принимающее сведения иностранное государство, через границу которого также будут переданы интересующие нас сведения, находится в процессе обеспечения адекватной защиты прав, имеющихся у субъекта искомых персональных данных.

2. Передача персональных сведений, осуществляемая через государственные границы на территорию иностранного государства, которое находится в процессе обеспечения так называемой адекватной (соответствующей требованиям ситуации) защиты прав субъекта рассматриваемых персональных данных, должна в обязательном порядке проводиться согласно Федеральному закону № 152. При этом, такая передача может:

  • запрещаться;
  • ограничиваться.

Целью создания таких ограничений и запретов является защита:

  • основ, на которых был создан конституционный строй нашей страны;
  • нравственности;
  • прав населения нашего государства;
  • здоровья населения Российской Федерации;
  • законных интересов граждан нашей страны
  • обеспечения на должном уровне оборонительной способности и безопасности государства.

3. Осуществление передачи персональной информации трансграничного типа на территорию иностранного государства может производиться без создания и обеспечения адекватного уровня защиты только в тех случаях, когда:

  • так называемый субъект персональных данных (физическое лицо, которое имеет к искомым данным прямое или косвенное отношение) дал письменное согласие на осуществление такой их передачи;
  • такой тип передачи предусматривается согласно заключенным Российской Федерацией международным договорам касательно вопросов о выдаче так называемых виз;
  • когда данные обстоятельства передачи персональных данных предусматриваются заключенными нашей страной международными договорами об оказании помощи гражданам по делам правовой, семейной, уголовной и гражданской категорий;
  • при условии, когда данные обстоятельства передачи предусматриваются на федеральном уровне, при наличии необходимости осуществить передачу ради защиты государства, обеспечения его оборонительной функции, и протекции конституционного строя Российской Федерации;
  • для исполнения заключенного на официальном уровне договора, одной из сторон которого является субъект, имеющий к искомым персональным данным прямое или косвенное отношение;
  • ради защиты здоровья, жизни или интересов субъекта персональных данных, представляющихся жизненно важными, а также ради защиты тех же наименований относительно иных лиц, при условии, что не имелось возможности получить от них письменное подтверждение и разрешение на передачу сведений.

Как видите, список исключений довольно широк, однако, необходимо отметить, что каких-либо противоречий он не вызывает, так как обоснованность каждого из пунктов вполне очевидно.

Федеральный закон «О персональных данных». Статья 12. Трансграничная передача персональных данных

Что же касается правил передачи, при которых не учитываются из ряда вон выходящие обстоятельства, то есть, пересылка сведений в другое государство производится в обычном режиме, чтобы организовать достойный (адекватный ситуации) уровень защиты сведений, необходимо проводить комплексные мероприятия различного типа, которые входят в основную часть работ, направленных на создание безопасной передачи персональных данных. Для этого разрабатываются следующие документы.

1. В первую очередь происходит разработка общих положений компании, а именно:

  • определяется ее организационная структуры;
  • разрабатывается список стран, в которые будет осуществляться передача персональных данных;
  • определяются цели передачи и приема с последующей обработкой передаваемых сведений за границей.

2. Далее осуществляется разработка и определение так называемых правовых обоснований передачи сведений персональной категории через границу, которые воплощаются в виде нормативно-правовой документации, которую в дальнейшем используют в качестве руководства.

3. Производится подробное описание объекта, подлежащего защите.

4. Устанавливаются конкретные характеристики пересылаемых персональных сведений, то есть определяются:

  • категории пересылаемых в иностранное государство персональных данных;
  • категории субъектов данных сведений;
  • методики обработки данной информации, которые могут быть полностью автоматизированным, не автоматизированными, или комбинированными.

5. Также осуществляется разработка регламента обеспечения безопасного взаимного обмена данными интересующей нас категории с иностранными представительствами компании:

  • описывается информационная система персональных данных, из которой осуществляется передача сведения;
  • описывается информационная система персональных данных, в которую осуществляется передача данных;
  • устанавливаются каналы передачи сведений;
  • определяются стандарты пересылки сведений;
  • прописываются протоколы передачи данных и тому подобное.

6. Производится подробное описание:

  • мероприятий, направленных на обеспечение должного уровня защиты данных;
  • средств, которые используются с той же целью (технические, в том числе из категории криптографических).

7. Также определяется состав законодательных актов иностранного государства, в которое осуществляется пересылка сведений, относительно вопросов, которые отражают защиту персональных данных.

8. Также разрабатываются заключительные положения. Какие шаги это в себя включает, рассмотрим в нижеследующей таблице.

Таблица 1. Этапы разработки заключительных положений

Первый этап Второй этап Третий этап
В первую очередь происходит разработка обязательств зарубежного филиала организации соблюдать законодательные установки, связанные с обработкой персональных данных государства, на территории которого он расположен. Во вторую очередь устанавливаются обязательства, касающиеся обеспечения требуемого уровня защиты сведений персональной категории, которые зарубежными филиалами принимаются и обрабатываются. Проставляются подписи лиц, состоящих:

  • в головном отделе организации;
  • в зарубежном филиале.
    Данные лица отвечают за выполнение заключительных положений, и именно поэтому обязаны завизировать их в письменном виде личной подписью.
    		•

    Видео – Презентация «Защита персональных данных»

    Подведем итоги

    Преимущества такой тщательной подготовки состоят в том, что при передаче персональных данных уменьшается риск проявления каких-либо угроз в их сторону за счет существующего руководства, положения которого определены довольно четко.

    Кроме того, происходит повышение ответственности лиц, занимающих какую-либо должность, и отвечающих за соблюдение определенных на законодательном уровне норм информационной безопасности.

    Надеемся, понятие трансграничной передачи данных стало вам немного более понятным. При условии, что остались какие-либо «белые пятна», мы рекомендуем вам еще раз прочесть данный материал, или обратиться к более подробным руководствам, описывающим данное явление.

    Передача сведений через государственные границы проводится согласно законодательным нормам

    Трансграничная передача ПДн: проблемы и пути решения

    Сегодня с распространением Интернета территориальных ограничений для ведения бизнеса с каждым днем становится все меньше и меньше. Число компаний, обращающихся за различного рода услугами к иностранным контрагентам растет, а российский клиент на глобальном рынке становится все более интересным. С распространением облачных технологий возросло число компаний, размещающих данные на зарубежных серверах.

    Несмотря на все преимущества отсутствия территориальных рамок, неизбежно возникают вопросы выбора юрисдикции и права для разрешения вопросов, связанных с отношениями контрагентов из разных стран.

    Особенно остро эта проблема возникает при рассмотрении вопроса передачи персональных данных между российскими и зарубежными партнерами.

    Трансграничная передача

    Напомним, что в соответствии с законодательством оператором признается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

    При этом под обработкой понимается любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    В соответствии со ст. 12 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления трансграничной передачи персональных данных.

    Что означает «адекватная защита»?

    Закон не содержит ни перечня мер, подпадающих под адекватную защиту, ни методов определения адекватности.

    В п. 1 ст. 12 закона указывается, что иностранные государства, ратифицировавшие Конвенцию Совета Европы от 28.01.1981 г. о защите физических лиц при автоматизированной обработке ПДн, точно обеспечивают так называемую адекватную защиту.

    Как же быть с остальными странами? Закон говорит, что государство, не являющееся стороной конвенции Совета Европы, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соответствия положениям указанной конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности ПДн. Обязанность контроля адекватных мер, применяемых к защите персональных данных, лежит на операторе, который должен изучить законодательство с требованиями, предъявляемыми к защите ПДн, и при отсутствии четких критериев еще и принять самостоятельно решение о том, есть или нет адекватная защита. Согласитесь, подход достаточно субъективный, а ведь оператор, помимо этого, является еще и лицом, заинтересованным в трансграничной передаче. Согласно той же ст. 12 уполномоченный орган (в настоящий момент таким органом является Роскомнадзор) по защите прав субъектов персональных данных утверждает перечень иностранных государств, не являющихся сторонами конвенции, но обеспечивающими адекватную защиту. На сайте Роскомнадзора опубликован проект приказа, в соответствии с которым к таким странам будут отнесены: Австралия, Аргентина, Израиль, Канада, Марокко, Малайзия, Мексика, Монголия, Новая Зеландия, Ангола, Бенин, Кабо-Верде, Республика Корея, Перу, Сенегал, Тунис, Чили, Специальный административный район Гонконг Китайской Народной Республики, Швейцария. При этом, согласно проекту, актуализацию перечня предполагается осуществлять не реже одного раза в год.

    Передача персональных данных в страны, не обеспечивающие адекватную защиту, возможна в следующих случаях (перечень исчерпывающий):

      при наличии согласия в письменной форме субъекта персональных данных (но здесь стоит учитывать, что согласие должно содержать прямое указание на трансграничную передачу ПДн и страну, в которую такая передача осуществляется);
      предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
      предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
      исполнения договора, стороной которого является субъект персональных данных;
      защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

    Ответственность за нарушение правил трансграничной передачи

    На данный момент законодательно закреплена только «общая» ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных, которая влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей (ст. 13.11 Кодекса об административных правонарушениях Российской Федерации).

    Трансграничная передача ПДн – это передача ПДн оператором через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

    По всей видимости, в ближайшем будущем дополнения в ФЗ «О персональных данных» еще будут – и это вызвано прежде всего неоднозначностью толкования российского законодательства и разнородностью нормативно-правовой базы тех стран, на территорию которых передаются персональные данные.

    Совет операторам, осуществляющим трансграничную передачу ПДн

    Несмотря на незначительность последствий, примите меры по комплексной защите ПДн – это поможет вам в спорной ситуации обосновать адекватность их защиты:

      общие положения (организационная структура компании;
      страна (страны), в которую передаются ПДн; цель передачи и обработки ПДн за границей);
      правовое обоснование трансграничной передачи персональных данных (перечень нормативно-правовых документов, на основании которых осуществляется передача и обработка ПДн);
      описание объекта защиты;
      характеристики передаваемых ПДн (категории ПДн, передаваемых за границу; категории субъектов ПДн; способы обработки ПДн – автоматизированная, неавтоматизированная, смешанная обработка);
      описание мероприятий и средств обеспечения защиты передаваемых ПДн (организационные мероприятия; технические средства защиты информации);
      состав законодательства иностранного государства, отражающего вопросы защиты ПДн;
      если страна трансграничной передачи не указана ни в одном из приведенных перечней, возьмите согласие с субъекта ПДн с прямым указанием на страну, в которую данные передаются.

    Автор статьи: Екатерина Макаренко

    Itsec.Ru (20.09.2013 в 12:03) | вверх страницы | к списку статей

    Интересные материалы:

    • Жигулевские кабельные сети

      Организация ООО "ЖИГУЛЁВСКИЕ КАБЕЛЬНЫЕ СЕТИ"Описание мер, предусмотренных ст. 18.1 и 19 Закона: назначены ответственные за…

    • Король говорит описание

      ШКОЛА ОРАТОРСКОГО ИСКУССТВАПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ и СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХдата публикации: 13.05.2017 г.дата вступления в…

    • Газпром бытовые системы

      Организация АО "ГАЗПРОМ БЫТОВЫЕ СИСТЕМЫ" Описание мер, предусмотренных ст. 18.1 и 19 Закона: назначено лицо,…

    • Счет фактура на возврат аванса

      Счет-фактура при возврате аванса Добрый день.Согласно абз. 2 п. 5 ст. 171 НК РФ вычетам…

    • Конвертирование квитанций

      Как работал Хочу рассказать о нелёгком труде, на этой работе я работаю ровно год -…

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *

    Наверх