Трансграничная передача персональных данных: правила и ограничения
Как законно передавать персональные данные за рубеж: требования статьи 12 152-ФЗ, список адекватных стран, уведомление Роскомнадзора, практические сценарии для бизнеса.
Трансграничная передача персональных данных: правила и ограничения
Международные SaaS-сервисы, облачные хранилища, удалённые сотрудники за границей, иностранные клиенты и партнёры -- всё это сценарии, при которых персональные данные пересекают границы России. С ужесточением требований 152-ФЗ трансграничная передача стала одной из самых сложных тем для бизнеса. Рассказываем, как организовать передачу данных за рубеж без нарушения закона.
Что такое трансграничная передача
Трансграничная передача персональных данных -- это передача данных на территорию иностранного государства органу власти, физическому или юридическому лицу другого государства. Регулируется статьёй 12 Федерального закона 152-ФЗ «О персональных данных».
Важно: Требование о локализации данных (статья 18, часть 5, 152-ФЗ) означает, что первичные сбор, запись, систематизация и хранение персональных данных российских граждан должны осуществляться на территории России. Трансграничная передача возможна только как вторичная операция.
Страны с адекватным уровнем защиты
Роскомнадзор ведёт перечень стран, обеспечивающих адекватную защиту прав субъектов персональных данных. В этот перечень входят:
- Страны-участницы Конвенции Совета Европы N 108 (большинство европейских стран)
- Страны, отдельно включённые Роскомнадзором на основании оценки их законодательства
Передача в такие страны осуществляется в упрощённом порядке. Полный актуальный список доступен на сайте Роскомнадзора.
Передача в страны без адекватной защиты
Для передачи данных в страны, не обеспечивающие адекватную защиту, необходимо одно из дополнительных оснований:
- Письменное согласие субъекта на трансграничную передачу
- Исполнение договора, стороной которого является субъект
- Защита жизни, здоровья или иных жизненно важных интересов
- Наличие договора между оператором и иностранным получателем, обеспечивающего защиту данных
Уведомление Роскомнадзора
С 1 марта 2023 года оператор обязан уведомить Роскомнадзор о намерении осуществлять трансграничную передачу до начала передачи. Порядок:
- Направить уведомление по установленной форме
- Указать страну назначения, цели передачи, категории данных и субъектов
- Дождаться решения -- Роскомнадзор может запретить или ограничить передачу
- Срок рассмотрения -- до 10 рабочих дней
Роскомнадзор вправе запретить трансграничную передачу в целях защиты нравственности, здоровья, прав и законных интересов граждан, обороноспособности и безопасности государства.
Допустимые и недопустимые сценарии
| Сценарий | Статус | Что нужно сделать |
|---|---|---|
| Использование зарубежного облака (AWS, Azure) для хранения ПДн | Допустимо при условиях | Первичное хранение -- в РФ, в облако -- копия; уведомить РКН; согласие или договор |
| Международный SaaS (CRM, HR-система) с серверами за рубежом | Требует оценки | Проверить наличие серверов в РФ; при отсутствии -- локализовать первичную базу в России |
| Удалённый сотрудник за границей работает с клиентской базой | Допустимо при условиях | Уведомить РКН; обеспечить защищённый доступ (VPN); ограничить объём данных |
| Передача данных клиентов иностранному партнёру | Допустимо при условиях | Получить согласие или обосновать договорной необходимостью; уведомить РКН |
| Хранение всех ПДн исключительно на зарубежных серверах | Запрещено | Нарушение требования о локализации. Необходима миграция в РФ |
| Бронирование отелей / авиабилетов за рубежом | Допустимо | Исполнение договора с субъектом; уведомление РКН рекомендуется |
| Массовый экспорт базы клиентов за рубеж | Высокий риск | РКН может запретить; требуется детальное обоснование и согласие субъектов |
Особые категории данных
Для специальных категорий персональных данных (здоровье, расовая принадлежность, политические взгляды, биометрия) действуют дополнительные ограничения. Трансграничная передача таких данных требует:
- Письменного согласия субъекта (в большинстве случаев)
- Повышенных мер защиты при передаче
- Дополнительного обоснования необходимости передачи
Как правильно организовать трансграничную передачу
1. Проведите инвентаризацию потоков данных
Определите все случаи, когда персональные данные покидают территорию России: облачные сервисы, партнёры, сотрудники за рубежом, международные платёжные системы.
2. Обеспечьте локализацию
Убедитесь, что первичная база данных находится на серверах в России. Зарубежные системы должны получать данные как вторичные копии.
3. Подготовьте правовую базу
- Включите пункт о трансграничной передаче в согласие на обработку
- Заключите договоры с иностранными контрагентами, включающие обязательства по защите данных
- Подготовьте обоснование необходимости передачи
4. Уведомите Роскомнадзор
Направьте уведомление о трансграничной передаче до начала фактической передачи данных. Дождитесь подтверждения.
5. Внедрите технические меры
- Шифрование данных при передаче
- VPN-каналы для удалённого доступа
- Журналирование всех операций передачи
- Минимизация объёма передаваемых данных
Важно: Многие компании не осознают, что использование зарубежных облачных сервисов (Google Workspace, Slack, Notion) для работы с персональными данными -- это трансграничная передача, требующая соблюдения всех описанных процедур.
Ответственность за нарушения
- Нарушение требования о локализации: штраф до 6 000 000 рублей, повторно -- до 18 000 000 рублей
- Трансграничная передача без уведомления РКН: штрафы по статье 13.11 КоАП РФ
- Роскомнадзор вправе потребовать прекратить обработку и уничтожить данные
Используете международные сервисы или работаете с зарубежными партнёрами? Обратитесь к нам для аудита трансграничных потоков данных или начните с экспресс-аудита, чтобы выявить потенциальные нарушения.