ГСЗПД отметила, что законодательство Украины о защите персональных данных не содержит запрета относительно хранения персональных данных на территории других государств, в частности на удаленных серверах, находящихся в дата-центрах на территории Германии и США, но устанавливает определенные требования к трансграничной передаче персональных данных.
Государства - участницы Европейского экономического пространства, а также государства, подписавшие Конвенцию Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных, признаются обеспечивающими надлежащий уровень защиты персональных данных (Германия присоединилась к Конвенции 01.10.85).
США не являются государством - участницей Европейского экономического пространства и не подписали Конвенцию Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных. Передача владельцем персональных данных сведений о физических лицах распорядителю персональных данных должна осуществляться на основании договора, обеспечивающего реализацию прав физических лиц как субъектов персональных данных, в частности таких:
- знать местонахождение базы персональных данных, ее распорядителя и назначение;
- на доступ к своим персональным данным;
- предъявлять мотивированное требование относительно изменения или уничтожения своих персональных данных любым владельцем и распорядителем персональных данных, если эти данные обрабатываются незаконно или являются недостоверными;
- обращаться с жалобами на обработку своих персональных данных, в том числе в уполномоченный государственный орган по вопросам защиты персональных данных, или в суд.
Для стран, не ратифицировавших упомянутую выше Конвенцию, в частности для США, Служба рекомендует использовать Соглашение о передаче персональных данных, разработанное Американской торговой палатой в Украине и согласованное Службой, определяющее обязательства компаний-экспортеров и компаний-импортеров обеспечивать надлежащую защиту персональных данных.
Базовые положения такого соглашения могут использоваться владельцем персональных данных в договоре с распорядителем персональных данных. Договор является обязующим для стороны, которой передаются персональные данные, в отношении процедур обеспечения прав субъектов персональных данных и надлежащего уровня защиты их персональных данных (письмо от 03.09.2013 г. №10/2306-13).