Решение об адекватности
Решение об адекватности — это юридический акт уполномоченного органа государственной власти, констатирующий, что уровень защиты персональных данных на территории иностранного государства или в рамках международной организации соответствует требованиям национального законодательства в области защиты персональных данных. Данное решение является ключевым инструментом для легальной трансграничной передачи персональных данных без необходимости получения дополнительных разрешений или использования специальных механизмов (например, типовых договоров или обязательных корпоративных правил).
История возникновения и правовая основа
Концепция в европейском праве
Понятие «решение об адекватности» (adequacy decision) впервые было формализовано в законодательстве Европейского союза. В Директиве 95/46/EC о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных (статья 25) устанавливалось, что передача данных в третьи страны возможна только при условии, что страна-получатель обеспечивает «адекватный уровень защиты». Европейская комиссия получила полномочия оценивать уровень защиты в каждой конкретной стране и издавать соответствующие решения.
С принятием Общего регламента по защите данных (GDPR) в 2016 году (вступил в силу 25 мая 2018 года) механизм адекватности был сохранён и детализирован. Статья 45 GDPR закрепляет, что передача персональных данных в третью страну или международную организацию может осуществляться без каких-либо дополнительных условий, если Европейская комиссия приняла решение об адекватности. Решение должно содержать оценку законодательства страны, её правоприменительной практики, независимости надзорных органов и международных обязательств.
Развитие в российском законодательстве
В Российской Федерации институт, аналогичный решению об адекватности, был введён Федеральным законом от 21 июля 2014 года № 242-ФЗ, который внёс изменения в Федеральный закон «О персональных данных» (№ 152-ФЗ). Согласно статье 12 закона, трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется без дополнительных ограничений. Перечень таких государств утверждается Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Критерии оценки адекватности
Критерии Европейской комиссии
При принятии решения об адекватности Европейская комиссия оценивает следующие аспекты:
- Верховенство закона и уважение прав человека: общее состояние правового регулирования, наличие конституционных гарантий, судебная защита.
- Законодательство о защите данных: наличие и содержание специального закона, его соответствие принципам GDPR (целевое ограничение, минимизация данных, прозрачность, безопасность).
- Независимый надзорный орган: существование и реальная независимость органа, контролирующего соблюдение законодательства о данных.
- Международные обязательства: участие страны в международных договорах (например, Конвенция Совета Европы 108 о защите физических лиц при автоматизированной обработке персональных данных).
- Правоприменительная практика: наличие судебных прецедентов, эффективность механизмов защиты прав субъектов.
Критерии Роскомнадзора
Российский перечень государств, обеспечивающих адекватную защиту, формируется на основе оценки:
- Соответствия законодательства иностранного государства принципам защиты персональных данных, установленным в России (законность, справедливость, конфиденциальность, безопасность).
- Наличия в стране независимого органа по защите прав субъектов персональных данных.
- Участия государства в международных соглашениях в области защиты данных.
- Отсутствия систематических нарушений прав субъектов персональных данных.
Практика применения
Решения Европейской комиссии
По состоянию на 2024 год Европейская комиссия приняла решения об адекватности в отношении следующих стран и территорий: Андорра, Аргентина, Канада (только для коммерческих организаций, подпадающих под действие PIPEDA), Фарерские острова, Гернси, Израиль, Остров Мэн, Япония, Джерси, Новая Зеландия, Республика Корея, Швейцария, Великобритания (после Brexit), Уругвай. В отношении США действует специальный механизм (Data Privacy Framework), который заменял предыдущие соглашения (Safe Harbor и Privacy Shield), признанные Судом ЕС недействительными.
Важным прецедентом стало решение Суда Европейского союза по делу «Schrems II» (16 июля 2020 года), который признал недействительным решение об адекватности в отношении США в рамках Privacy Shield. Суд указал, что законодательство США (в частности, законы о национальной безопасности) не обеспечивает уровень защиты, «существенно эквивалентный» тому, который гарантируется в ЕС.
Перечень Роскомнадзора
Роскомнадзор ведёт перечень государств, обеспечивающих адекватную защиту персональных данных. В него входят страны — участницы Конвенции Совета Европы 108, а также ряд других государств, с которыми Россия имеет двусторонние соглашения. Полный перечень утверждается приказом Роскомнадзора и регулярно обновляется. По состоянию на 2024 год в перечень входят, в частности, все страны Европейского союза, Великобритания, Швейцария, Япония, Австралия, Канада, Новая Зеландия, Южная Корея, Израиль и другие. Передача данных в государства, не включённые в этот перечень, требует получения согласия субъекта персональных данных, заключения типового договора или использования иных законных оснований.
Критика и ограничения
Проблема «существенной эквивалентности»
Основная критика концепции решения об адекватности связана с тем, что полное соответствие законодательств разных стран практически недостижимо. Критики отмечают, что оценка «адекватности» часто носит политический, а не юридический характер. Например, решение о признании Японии (2019 год) было принято, несмотря на существенные различия в подходах к защите данных (меньший объём прав субъектов, более широкие полномочия спецслужб).
Уязвимость перед судебными оспариваниями
Как показало дело «Schrems II», решения об адекватности могут быть оспорены в судебном порядке. Европейский суд признал, что даже при наличии формального решения, фактический уровень защиты может быть недостаточным. Это создаёт неопределённость для бизнеса, который полагается на такие решения при трансграничной передаче данных.
Различия в подходах России и ЕС
Российский и европейский подходы к адекватности различаются по степени детализации и критериям. Европейская комиссия проводит глубокий анализ законодательства и правоприменительной практики, в то время как российский перечень во многом опирается на формальный критерий — участие в международных конвенциях. Это приводит к тому, что в российский перечень попадают страны, которые ЕС не признаёт адекватными (например, некоторые страны СНГ).
Значение для международного бизнеса
Решение об адекватности существенно упрощает ведение международного бизнеса, особенно для компаний, работающих в сфере облачных вычислений, аутсорсинга, финансовых услуг и электронной коммерции. Наличие такого решения позволяет:
- Передавать данные без заключения дополнительных договоров.
- Снижать юридические риски и затраты на комплаенс.
- Ускорять процессы интеграции информационных систем.
Однако в условиях геополитической напряжённости и различий в правовых системах, решения об адекватности становятся предметом переговоров и могут быть отозваны в одностороннем порядке.
Источники
- Регламент Европейского парламента и Совета Европейского союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных (GDPR).
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями и дополнениями).
- Решение Суда Европейского союза от 16 июля 2020 года по делу C-311/18 (Data Protection Commissioner против Facebook Ireland Limited и Maximillian Schrems).
- Приказ Роскомнадзора от 15.03.2013 № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных».
- Доклад Европейской комиссии о решениях об адекватности (2023).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →