Что такое трансграничная передача данных
Трансграничная передача персональных данных — это передача персональных данных (далее – ПДн) на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Это понятие закреплено в статье 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).
Трансграничная передача ПДн простыми словами
Когда компания, работающая в России, отправляет персональные данные своих клиентов, сотрудников или пользователей в другую страну — речь идет о трансграничной передаче. Это может быть как прямая отправка данных на зарубежный сервер, так и использование иностранных сервисов (например, CRM, облачных платформ или аналитических инструментов), которые технически обрабатывают или хранят персональные данные за пределами РФ.
Почему важно следить за трансграничной передачей ПДн?
Трансграничная передача персональных данных требует особого внимания, поскольку:
- Законы других стран по защите данных могут отличаться от российских;
- Нарушение законодательства РФ может привести к штрафам и блокировке интернет-ресурсов;
- Гарантии защиты прав субъектов данных должны быть соблюдены не только на территории РФ, но и за ее пределами.
В следующем разделе мы подробно разберем, какие требования к трансграничной передаче установлены в статье 12 закона 152-ФЗ.
Требования законодательства РФ к трансграничной передаче персональных данных (ст. 12 152-ФЗ)
Статья 12 Федерального закона № 152-ФЗ устанавливает особые условия для трансграничной передачи персональных данных. Закон требует, чтобы оператор — юридическое или физическое лицо, обрабатывающее персональные данные — выполнил ряд обязательных действий до начала передачи данных за границу.
Рассмотрим основные положения статьи 12 подробно:
1. Оценка уровня защиты в иностранном государстве
Перед передачей ПДн оператор обязан убедиться, что иностранное государство, на территорию которого осуществляется передача, обеспечивает адекватную защиту прав субъектов персональных данных.
Перечень стран, гарантирующих необходимый уровень защиты, утвержден Роскомнадзором. Если страна не включена в этот перечень, передача допустима только при наличии письменного согласия субъекта ПДн или при соблюдении исключений, указанных в законе. Посмотреть перечень таких стран можно здесь.
2. Исключения, при которых разрешена передача в «незащищенные» страны
Даже если страна не входит в перечень «безопасных», передача возможна, если:
- Субъект дал письменное согласие на такую передачу;
- Передача предусмотрена международным договором РФ;
- Это необходимо для исполнения договора с субъектом (например, доставка товара);
- Это требуется для защиты жизни, здоровья или иных жизненно важных интересов субъекта;
Согласие субъекта должно быть отдельным, конкретным и оформлено в письменной форме с указанием государства, в которое будут переданы данные.
3. Уведомление Роскомнадзора о трансграничной передаче персональных данных
Согласно пункта 3 ст. 12 152 ФЗ оператор обязан уведомить Роскомнадзор о намерении осуществлять трансграничную передачу ПДн до её начала. Это уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных предусмотренного статьей 22 152 ФЗ.
Если вы вообще не заполняли уведомление в Роскомнадзор, узнать пошагово как это сделать можно тут.
Что должно быть указано в уведомлении о намерении осуществлять трансграничную передачу персональных данных (ст. 4 152 ФЗ):
- Страны, в которые предполагается передача;
- Наименование оператора, адрес оператора, дату и номер раннее направленного уведомления;
- Основания и цели передачи;
- Категории ПДн и субъектов;
- Меры по обеспечению безопасности данных.
Что должен сделать оператор до подачи уведомления о трансграничной передаче (ст. 5 152 ФЗ):
1. Как защищаются персональные данные
Вы должны выяснить:
- Какие меры безопасности применяются у иностранного получателя (например, шифрование, ограничение доступа, контроль сотрудников);
- Что будет происходить с данными после окончания работы (например, как и когда они будут удалены).
Например, иностранная компания использует дата-центры с сертификацией ISO 27001, хранит данные 12 месяцев и затем автоматически удаляет их.
2. Что говорит закон той страны о персональных данных
Если страна, в которую вы передаёте данные: не входит в утверждённый перечень «безопасных» стран Роскомнадзора, то вам нужно запросить и изучить:
- Субъект дал письменное согласие на такую передачу;
- Какие законы в этой стране регулируют защиту ПДн;
- Какие права у людей в этой стране на свои данные;
- Есть ли там ответственность за нарушения.
Если вы, например, передаёте данные в США — она не входит в список «безопасных», и не является участником Конвенции. Значит, нужно получить информацию о местных законах и гарантиях безопасности.
3. Кто именно получит данные
Вы должны получить контактную информацию о каждом лице, которому будут переданы данные:
- Название организации или ФИО;
- Номера телефонов;
- Почтовый адрес;
- E-mail.
Это нужно, чтобы в случае нарушения можно было установить ответственность или обратиться к получателю напрямую.
Что относится к трансграничной передаче персональных данных
Чтобы правильно выполнить требования законодательства, важно точно понимать, что именно считается трансграничной передачей персональных данных, а также какие данные попадают под регулирование 152-ФЗ.
Какие действия бизнеса считаются трансграничной передачей
Любое перемещение персональных данных с территории РФ на территорию другого государства — это трансграничная передача. При этом не имеет значения, происходит ли это автоматически, вручную или в рамках использования цифрового сервиса.
На практике трансграничной передачей может считаться:
- Отправка e-mail с резюме кандидата на зарубежный адрес;
- Синхронизация данных с CRM-системой, физически размещенной на иностранных серверах;
- Использование веб-аналитики, собирающей IP-адреса, поведенческие данные, cookies (например, Google Analytics);
- Передача информации через мессенджеры (Telegram, WhatsApp), если серверы находятся за рубежом;
- Хранение базы клиентов или сотрудников в облачных сервисах (Dropbox, OneDrive и др.);
- Передача данных в офис иностранной компании (например, отчетность, служебные записки с ФИО сотрудников);
- Использование SaaS-сервисов с функцией регистрации и хранения пользовательских данных.
Даже если данные временно копируются или к ним предоставляет доступ иностранный контрагент — это уже передача в понимании закона.
Какие данные считаются персональными по 152-ФЗ
Закон определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу. Это понятие гораздо шире, чем просто ФИО или паспорт.
Примеры персональных данных:
- Фамилия, имя, отчество;
- Паспортные данные;
- Адрес проживания и регистрации;
- Электронная почта;
- Телефонный номер;
- IP-адрес (в ряде случаев);
- Геолокация, cookies, поведение на сайте;
- Сведения о здоровье, семейном положении, религиозных взглядах (относятся к специальным категориям данных);
- Фотографии и видеозаписи;
- ИНН, СНИЛС, номер банковского счета.
Если набор обезличенных данных (например, возраст + город + профессия) может в совокупности позволить установить личность — он также подпадает под 152-ФЗ.
Что грозит бизнесу за неисполнение законодательства
Несоблюдение требований статьи 12 152-ФЗ о трансграничной передаче персональных данных может повлечь для компании финансовые, административные и репутационные риски. Законодательство в сфере персональных данных ужесточается с каждым годом, а контроль со стороны Роскомнадзора становится более точечным и системным.
- Административная ответственность
Ключевым инструментом воздействия на нарушителей остаются штрафы, предусмотренные Кодексом об административных правонарушениях РФ (КоАП РФ), в частности:
Статья 13.11 КоАП РФ — Нарушение законодательства о персональных данных:
- Часть 1: Обработка ПДн без оснований или несовместимая с целями сбора —
штраф до 300 000 ₽; за повторное нарушение – до 500 000 ₽, для юридических лиц - Часть 2: Обработка ПДн без письменного согласия субъекта (в случаях, когда оно требуется) —
штраф до 700 000 ₽; за повторное нарушение – до 1 500 000 ₽, для юридических лиц - Часть 10: Несоблюдение обязанности по уведомлению Роскомнадзора —
штраф до 300 000 ₽; несвоевременная подача – до 3 000 000 ₽, для юридических лиц
Как видно, при повторных нарушениях статья 13.11 КоАП РФ предусматривает более высокие штрафы.
- Блокировка ресурсов
На основании Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Роскомнадзор вправе потребовать от операторов связи ограничить доступ к интернет-ресурсу, нарушающему закон о персональных данных.
Это особенно критично для компаний с сайтами, через которые собираются заявки, резюме, обращения пользователей.
- Уголовная ответственность (в исключительных случаях)
Если нарушение повлекло тяжкие последствия (например, утечка большого объема ПДн, повлекшая ущерб или мошенничество), может наступать уголовная ответственность по статье 137 УК РФ — «Нарушение неприкосновенности частной жизни».
Рекомендации для бизнеса по соблюдению требований статьи 12 152-ФЗ
Компании, работающие с персональными данными и использующие зарубежные сервисы или партнеров, должны подойти к вопросу трансграничной передачи ПДн осознанно и системно. Ниже — практические шаги, которые помогут соблюсти законодательство и избежать рисков.
- Проведите аудит обработки персональных данных
- Определите, какие данные вы собираете и обрабатываете;
- Установите, где они хранятся и обрабатываются (физически — сервер, логически — в каком ПО);
- Выявите, осуществляется ли трансграничная передача и на каких условиях.
Результатом аудита должен быть регистр информационных систем, где указаны:
- источники сбора;
- категории данных;
- страны-получатели;
- правовые основания передачи.
- Уточните юридическую природу передачи
- Передача осуществляется на основании договора?
- Получено ли согласие субъекта в письменной форме (если необходимо)?
- Входит ли страна в перечень «дружественных» государств, признанных обеспечивающими адекватный уровень защиты ПДн?
Полный перечень стран можно уточнить на сайте Роскомнадзора. Примеры стран с надлежащей защитой: Беларусь, Казахстан, Израиль. Примеры «небезопасных»: США, Китай.
- Получите согласие на трансграничную передачу (при необходимости)
- Согласие должно быть:
- письменным;
- добровольным;
- конкретным (указывать государство, цель и объем передачи).
Не путайте общее согласие на обработку ПДн с согласием на трансграничную передачу — это разные документы.
- Уведомите Роскомнадзор
С 2023 года уведомление Роскомнадзора стало обязательной стадией перед началом трансграничной передачи:
- Подайте уведомление через официальный портал pd.rkn.gov.ru;
- Дождитесь рассмотрения и возможного запрета;
- Пересмотрите используемые ИТ-сервисы
- Отдавайте предпочтение российским или локализованным решениям (в том числе с дата-центрами на территории РФ);
- Заключайте договоры обработки ПДн с иностранными поставщиками (включая стандартные положения об уровне защиты);
- Подготовьте сотрудников
- Проведите инструктаж по вопросам обращения с ПДн;
- Включите пункт о трансграничной передаче в локальные акты и политику безопасности;
- Назначьте ответственного за защиту персональных данных.
Соблюдение требований по трансграничной передаче персональных данных — не просто юридическая формальность. Это необходимый элемент репутационной устойчивости и правовой безопасности бизнеса. Нарушения в этой сфере не только влекут штрафы, но и могут подорвать доверие клиентов и партнеров.
Совет: даже если вы используете минимальный объем данных и считаете, что «ничего серьезного» не происходит — проведите юридическую и ИБ-экспертизу. Это дешевле, чем последствия незамеченного нарушения.
