Персональные данные на зарубежном хостинге - Юридические вопросы

Ситуация следующая - сайт размещен на серверах hetzner в Германии, требуется предоставить возможность доступа к результатам экзаменов с стороны фронта.
Для этого в базе соответственно необходимо хранить данные: ФИО, паспортные данные, сами результаты. Эта информация относится к персональным данным по закону "О персональных данных"

персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

На нас пытаются наехать - нельзя размещать персональные данные за пределами страны, вот если бы ваш сайт был на территории РФ - другое дело (размещать сайт у нас я категорически против, прошлогодняя история с обвалом сайта в режиме экзаменов на мастаке и moinet явно показала - доверять соотношению цена\качества наших хостеров для больших проектов я не буду еще много лет)
У hetzner есть документация по обеспечению безопасности данных, при необходимости будет представлена
Прошу проконсультировать по поводу следующих аспектов закона:

обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

Шифрование всех полей БД через md5 до момента загрузки на сервер - является ли достаточной мерой обезличивания? Считаю так на основании следующего пункта

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Единственно, в чем сомневаюсь и не нашел четкого соответствия в законе - Трансграничная передача персональных данных
Собственно вопрос только один - если зашифрованные данные на территории РФ уже считаются обезличенными - попадают ли они под определение "персональные данные" и действие пункта трансграничной передачи?

С самим законом можно ознакомиться здесь http://www.rg.ru/2006/07/29/personaljnye-dannye-dok.html

Статья 12. Трансграничная передача персональных данных

1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

...

оговорюсь, я не юрист, но уверен, что в самой Германии существует нечто вроде Data Protection Act, т.е. закон о защите персональных данных. удостоверьтесь, чтобы железо Вашего хостинга было действительно размещено в его германских помещениях, а не где-либо в другой стране, т.к. в этом случае опять же, согласно Статьи 12, потребуется наличие в этой стране соответствующего законодательства.

Уффьюю... похоже на прогулку по минному полю   

оговорюсь, я не юрист, но уверен, что в самой Германии существует нечто вроде Data Protection Act, т.е. закон о защите персональных данных. удостоверьтесь, чтобы железо Вашего хостинга было действительно размещено в его германских помещениях, а не где-либо в другой стране, т.к. в этом случае опять же, согласно Статьи 12, потребуется наличие в этой стране соответствующего законодательства.
Уффьюю... похоже на прогулку по минному полю   

у хостера в германии есть документ по обеспечению безопасности, там описан как порядок доступа к железу так и ПО, но вопрос - принимают ли это наши юристы, ведь то ПО и документы не проходили в ФСТЕК...
Про минное поле согласен

Я думаю, Петр, что если Вы прикроетесь необходимым минимумом документов, тем самым выказав властям Ваш проффесионализм, усердие и добросовестность в вопросе защиты личных данных в Вашем владении, то это может помочь Вам встретить проверяющих с готовностью.

надеюсь нижеследующее поможет понять, что я имею в виду под "минимум документов":

По мнению экспертов компании ReignVox, обеспечение защиты ПДн при их трансграничной передаче является составной частью работ по комплексной защите персональных данных на предприятии. Для обоснования адекватности защиты ПДн при передаче данных в за-рубежный филиал компании необходима реализация ряда мероприятий, включая разработку документа (или нескольких документов), который отражает следующие основные моменты:

    * Общие положения (организационная структура компании; страна (страны), в которую передаются ПДн; цель передачи и обработки ПДн за границей);
    * Правовое обоснование трансграничной передачи персональных данных (перечень нормативно – правовых документов, на основании которых осуществляется передача и обработка ПДн);
    * Описание объекта защиты;
    * Характеристики передаваемых ПДн (категории ПДн, передаваемых за границу; категории субъектов ПДн; способы обработки ПДн (автоматизированная, неавтоматизированная, смешанная обработка));
    * Регламент обеспечения безопасного информационного обмена персональными данными с зарубежными филиалами (представительствами) (описание ИСПДн из которой (которых) передаются ПДн; описание ИСПДн, куда передаются ПДн; каналы передачи данных; стандарты и протоколы передачи данных и т.д.); Описание мероприятий и средств обеспечения защиты передаваемых ПДн (организационные мероприятия; технические средства защиты информации, в том числе средства криптографической защиты информации);
    * Состав законодательства иностранного государства, отражающего вопросы защиты ПДн;
    * Заключительные положения (зарубежный филиал обязуется соблюдать законодательство по обработке ПДн страны, в которой он находится; обязуется обеспечить соответствующую защиту полученных и обрабатываемых ПДн; подписи ответственных лиц головной организации и зарубежного филиала под вышеперечисленными положениями).
Источник: Information Security - http://www.itsec.ru/articles2/Inf_security/transgranichnaya-peredacha-pd

похоже, российские банкиры уже начали набираться опыта в Вашем вопросе - загляните на этот форум: http://dom.bankir.ru/showthread.php?t=81875. может стоит их потеребить и пойти по их следам?

огромное спасибо за развернутый ответ, пойду думать дальше, буквально через пару недель будет весьма актуально

рад быть полезным

искренне желаю чистых вод через две недели :-)