В поле «Трансграничная передача ПДн» указывается:
факт передачи за границу;
страны, куда возможна передача;
наличие или отсутствие в этих странах адекватной защиты прав субъектов ПДн (по списку, утверждённому Роскомнадзором).
Обоснование по законодательству
ФЗ-152, ст. 12: трансграничная передача ПДн допускается только в страны, обеспечивающие адекватную защиту прав субъектов, или при наличии письменного согласия субъекта.
ФЗ-152, ст. 22: уведомление должно содержать сведения о трансграничной передаче.
Приказ Роскомнадзора № 274 (ред. 2023): утверждён перечень стран с адекватной защитой (например, страны ЕАЭС, большинство европейских стран, но не США).
Пример формулировки для уведомления
«Трансграничная передача персональных данных осуществляется на территорию Республики Беларусь и Республики Казахстан (страны, обеспечивающие адекватную защиту прав субъектов). В отдельных случаях возможна передача данных в США (страна без адекватной защиты) на основании согласия субъектов персональных данных.»
Пример из практики
Компания использовала CRM-систему, где серверы находились в ЕС, и систему email-рассылок, работающую через серверы в США. В уведомлении указали ЕС как страну с адекватной защитой, а США — только при наличии отдельного согласия пользователя. При проверке Роскомнадзор признал формулировки корректными.
Рекомендации и выводы
— Уточните у подрядчиков (CRM, облачные сервисы), где физически расположены серверы.
— Если страна есть в списке Роскомнадзора — укажите её напрямую.
— Если страна не входит в список (например, США), обязательно получите письменное согласие субъектов ПДн и зафиксируйте это в политике.
— Не оставляйте поле пустым, если трансграничная передача реально есть: это будет считаться недостоверными сведениями.
