Алексей Ветров
Эксперт по защите данных IC-TECH
Если российская компания или ИП обрабатывают персональные данные клиентов из Европейского Союза (например, принимают заказы через сайт или оказывают онлайн-услуги), они всё равно считаются оператором ПДн по ФЗ-152 и обязаны подать уведомление в Роскомнадзор.
В уведомлении нужно:
указать категорию субъектов — «иные физические лица, в том числе иностранные граждане»;
описать цели — заключение и исполнение договоров, предоставление услуг дистанционно и др.;
прописать место хранения — база должна быть локализована на территории РФ (ст. 12 ФЗ-152);
указать виды обработки — сбор, хранение, использование, передача и т. д.
При этом, если вы работаете с гражданами ЕС, важно учитывать не только российский закон, но и требования GDPR — это отдельный риск для бизнеса.
В уведомлении нужно:
указать категорию субъектов — «иные физические лица, в том числе иностранные граждане»;
описать цели — заключение и исполнение договоров, предоставление услуг дистанционно и др.;
прописать место хранения — база должна быть локализована на территории РФ (ст. 12 ФЗ-152);
указать виды обработки — сбор, хранение, использование, передача и т. д.
При этом, если вы работаете с гражданами ЕС, важно учитывать не только российский закон, но и требования GDPR — это отдельный риск для бизнеса.
Обоснование по законодательству
- ФЗ-152, ст. 22: оператор обязан уведомить Роскомнадзор до начала обработки любых ПДн, в том числе иностранных граждан.
- ФЗ-152, ст. 12: локализация баз данных граждан РФ обязательна, но для иностранцев допускается хранение за пределами России, если при этом не затрагиваются данные россиян.
- GDPR (ст. 3): распространяется на компании вне ЕС, если они предлагают товары/услуги гражданам ЕС или отслеживают их поведение (например, через сайт).
Как подать уведомление шаг за шагом
- Войти в личный кабинет оператора на портале Роскомнадзора (через Госуслуги).
- Создать уведомление или внести изменения в действующее.
- В разделе «Категории субъектов» указать «иные физические лица (в том числе иностранные граждане)».
- В «Целях обработки» прописать оказание услуг, исполнение договоров и клиентскую поддержку.
- В «Месте хранения» указать сервер или облако на территории РФ (если база смешанная, это обязательно).
- Подписать уведомление КЭП и отправить.
Если КЭП нет — подать уведомление можно на бумаге.
Пример из практики
Онлайн-школа в России принимает студентов из ЕС. В уведомлении в Роскомнадзор они указали:
- категории субъектов: «граждане РФ, иные физические лица (в том числе иностранные граждане)»;
- цели: «оказание образовательных услуг дистанционно»;
- место хранения: «сервер в г. Москва».
Таким образом, закон выполнен. Дополнительно компания внедрила согласия по GDPR для студентов из ЕС.
Рекомендации и выводы
- Если вы работаете с иностранными клиентами, это обязательно отражается в уведомлении.
- Для граждан РФ — база только в России; для иностранцев можно хранить и в ЕС, но обычно лучше всё держать локализовано, чтобы не нарушить ст. 12.
- При работе с ЕС учитывайте GDPR: информирование на сайте, отдельное согласие, политика конфиденциальности.
- Лучше разделять юридическую часть (ФЗ-152) и маркетинговую (GDPR), чтобы избежать рисков.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
