Comments 5
..если что, под трансграничку можно подвести как всякие azure ad со слаками и атласианами, так и документы содержащие ПДн сотрудников или клиентов в условном гуглдоке.
Практическую полезность статьи сильно увеличили бы конкретные примеры, считать ли трансграничной передачей и если да - как легализовать оную, в часто встречающихся сценариях (если у нас за границей SaaS, DBaaS, виртуальный сервер, облачное хранилище, резервные копии и т.п.) Более или менее однозначно всё в случае с SaaS, когда данные реально передаются конкретному иностранному лицу - провайдеру этого сервиса, для которого ПнД выглядят именно как ПнД, а не как набор байтов, и которое поэтому может выполнить требования по их защите, удалению и т.п. В остальных вариантах остаётся простор для широкой трактовки...
Вот вам сценарий, который может стать реальностью:
1. Опрашиваем клиентов с помощью WhatsApp (в любом виде: и в виде текстового чата с ботом и в виде файлов - форм с ответами), ответы содержат ПДн;
Сушим сухари, готовимся к путешествиям в казённые дома.
Почему?
А) Серверы WhatsApp, Slack, Zoom и других подобных сервисов находятся за рубежом;
Б) в пользовательском соглашении указано, что провайдер услуги может творить с данными, передаваемыми через его серверы, всё, что угодно и по запросу властей отдаст любые данные.
https://faq.whatsapp.com/808280033839222/
https://www.whatsapp.com/legal/privacy-policy-eea#ea2SG9qUySboIlMvL
https://slack.com/trust/privacy/privacy-policy#collect
Трансграничная передача персональных данных: новый порядок