Найти в Дзене
Code-x Web Development

Трансграничная передача персональных данных. Как соблюдать 152-ФЗ?

6 мин
Что такое трансграничная передача данных? Трансграничная передача персональных данных (ПДн) - это отправка ПД на территорию другого государства иностранному правительственному органу, физическому или юридическому лицу. Это определение подробно изложено в статье 3 Федерального закона № 152-ФЗ от 27.07.2006 «О личных данных» (далее – Закон № 152-ФЗ). Если говорить простыми словами, то если компания, работающая в России передает личные данные клиентов, сотрудников или пользователей в другую страну, это считается международной передачей. Сюда входит использование зарубежных сервисов, таких как CRM, облачные хранилища, аналитика и любые платформы, которые технически хранят или обрабатывают данные за пределами России. В некоторых случаях может показаться, что передача не производится, но на самом деле данные поступают на иностранные серверы. Почему за этим нужно следить? Требования к трансграничной передаче по ст. 12 152-ФЗ? Статья 12 Закона № 152-ФЗ вводит особые условия для передачи ПДн за

Что такое трансграничная передача данных?

Трансграничная передача персональных данных (ПДн) - это отправка ПД на территорию другого государства иностранному правительственному органу, физическому или юридическому лицу. Это определение подробно изложено в статье 3 Федерального закона № 152-ФЗ от 27.07.2006 «О личных данных» (далее – Закон № 152-ФЗ).

Если говорить простыми словами, то если компания, работающая в России передает личные данные клиентов, сотрудников или пользователей в другую страну, это считается международной передачей. Сюда входит использование зарубежных сервисов, таких как CRM, облачные хранилища, аналитика и любые платформы, которые технически хранят или обрабатывают данные за пределами России. В некоторых случаях может показаться, что передача не производится, но на самом деле данные поступают на иностранные серверы.

Почему за этим нужно следить?

  • правила защиты данных в других странах могут сильно отличаться от российских;
  • нарушения могут привести к штрафам и проблемам вплоть до блокировок ресурсов;
  • права субъектов данных должны быть защищены даже тогда, когда данные уехали за пределы РФ.

Требования к трансграничной передаче по ст. 12 152-ФЗ?

Статья 12 Закона № 152-ФЗ вводит особые условия для передачи ПДн за границу. До начала передачи оператор обязан выполнить ряд действий.

1) Оценить уровень защиты в стране-получателе.

Перед передачей оператор должен убедиться, что государство, куда уходят данные, обеспечивает адекватную защиту прав субъектов ПДн.

Роскомнадзор утверждает перечень стран, которые считаются обеспечивающими надлежащий уровень защиты. Если страны в перечне нет, передача возможна только:

  • при наличии письменного согласия субъекта ПДн на трансграничную передачу, или
  • при наличии оснований-исключений, прямо указанных в законе.

2) Когда можно передавать данные в страны без защиты?

Если страна не входит в перечень, передача допускается, когда:

  • субъект дал письменное согласие на такую передачу;
  • передача предусмотрена международным договором РФ;
  • передача нужна для исполнения договора с субъектом (например, доставка товара);
  • передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта.

Ключевой момент, согласие на трансграничную передачу должно быть отдельным, конкретным и письменным, с указанием государства, куда уходят данные.

3) Уведомить Роскомнадзор о намерении осуществлять трансграничную передачу.

По п. 3 ст. 12 152-ФЗ оператор обязан до начала передачи направить уведомление о намерении осуществлять трансграничную передачу ПДн. Это отдельная процедура, не то же самое, что уведомление об обработке ПДн по ст. 22 152-ФЗ.

В уведомлении обычно отражают:

  • страны, куда планируется передача;
  • сведения об операторе (наименование, адрес) и реквизиты ранее направленного уведомления;
  • основания и цели передачи;
  • категории ПДн и категории субъектов;
  • меры по обеспечению безопасности данных.

Что оператору стоит выяснить до подачи уведомления?

Чтобы уведомление не было формальным, а требования ст. 12 реально выполнялись, оператор заранее собирает фактуру.

1) Как именно защищаются данные у иностранного получателя?

Нужно понять:

  • какие меры безопасности применяются (шифрование, контроль доступа, регламенты, контроль персонала);
  • что происходит с данными после завершения работ (как и когда удаляются, есть ли резервные копии).

2) Какие гарантии даёт право страны-получателя?

Если страна не в перечне «безопасных», важно запросить и изучить:

  • какие местные законы регулируют защиту данных;
  • какие права есть у людей на свои данные;
  • есть ли ответственность за нарушения.

3) Кто конкретно получает данные?

Стоит заранее собрать контакты каждого получателя:

  • название организации или ФИО;
  • телефон;
  • почтовый адрес;
  • e-mail.

Это помогает и для внутреннего контроля, и для разборов инцидентов.

Что обычно считается трансграничной передачей?

Любое перемещение ПДн с территории РФ на территорию другого государства это трансграничная передача. Неважно, вручную вы это сделали или автоматом через сервис.

Частые примеры из жизни:

  • отправили e-mail с резюме кандидата на зарубежный адрес;
  • синхронизировали данные с CRM, которая размещена на иностранных серверах;
  • используете веб-аналитику, которая собирает IP, cookies и поведенческие данные (например, Google Analytics);
  • передаёте данные через мессенджеры, если инфраструктура обработки находится за рубежом;
  • храните базы клиентов или сотрудников в облаках вроде Dropbox, OneDrive и т.д.;
  • пересылаете отчётность в иностранный офис, где есть ФИО сотрудников;
  • используете SaaS с регистрацией пользователей и хранением их данных.

Даже временное копирование или предоставление доступа иностранному контрагенту часто уже попадает под понятие передачи.

Какие данные считаются персональными по 152-ФЗ?

По 152-ФЗ персональные данные это любая информация, прямо или косвенно относящаяся к физическому лицу. Это намного шире, чем ФИО и паспорт.

Примеры ПДн:

  • ФИО;
  • паспортные данные;
  • адрес проживания и регистрации;
  • e-mail и телефон;
  • IP-адрес (в ряде случаев);
  • геолокация, cookies, поведение на сайте;
  • сведения о здоровье, семейном положении, религии (это уже спецкатегории);
  • фото и видео;
  • ИНН, СНИЛС, реквизиты банковского счёта.

Если даже «обезличенный» набор признаков (возраст + город + профессия) позволяет в совокупности вычислить человека, такой набор тоже может подпасть под 152-ФЗ.

Что грозит бизнесу за нарушения?

Игнорирование требований ст. 12 152-ФЗ обычно бьёт сразу по трём направлениям - деньги, репутация, работоспособность сервисов.

1) Административная ответственность

Основные штрафы идут по ст. 13.11 КоАП РФ:

  • ч. 1: обработка ПДн без оснований или несовместимая с целями сбора, штраф до 300 000 ₽ (для юрлиц), при повторе до 500 000 ₽;
  • ч. 2: обработка без письменного согласия, когда оно требуется, штраф до 700 000 ₽, при повторе до 1 500 000 ₽;
  • ч. 10: неисполнение обязанности по уведомлению Роскомнадзора, штраф до 300 000 ₽, при несвоевременной подаче до 3 000 000 ₽.

Повторные нарушения почти всегда дороже.

2) Блокировка ресурсов

На основании Федерального закона № 149-ФЗ Об информации, информационных технологиях и о защите информации Роскомнадзор может требовать ограничения доступа к ресурсу, который нарушает требования по персональным данным. Для компаний, которые собирают заявки через сайт, это прямой удар по продажам и коммуникациям.

3) Уголовная ответственность в тяжёлых случаях

Если нарушение привело к тяжким последствиям (например, крупная утечка с ущербом или мошенничеством), теоретически может включаться ст. 137 УК РФ Нарушение неприкосновенности частной жизни.

Практические шаги для соблюдения ст. 12 152-ФЗ

1) Проведите аудит обработки ПДн

Нужно понять:

  • какие данные вы собираете;
  • где они физически хранятся и где обрабатываются (серверы, облака, ПО);
  • есть ли трансграничная передача и на каких условиях.

Полезный результат аудита это реестр информационных систем с указанием источников сбора, категорий данных, стран-получателей и правовых оснований передачи.

2) Определите правовое основание передачи

Проверьте:

  • это передача по договору или по поручению?
  • нужно ли письменное согласие и получено ли оно?
  • входит ли страна в перечень государств с адекватной защитой (полный перечень смотри в нашем Телеграмм-канале, ссылка в шапке).

3) Получите согласие на трансграничную передачу, если оно требуется

Согласие должно быть:

  • письменным;
  • добровольным;
  • конкретным: с указанием государства, цели и объёма передачи.

И да, общее согласие на обработку ПДн и согласие на трансграничную передачу это разные документы.

4) Уведомьте Роскомнадзор до начала передачи

Уведомление подаётся отдельно (п. 3 ст. 12 152-ФЗ), не смешивайте его с уведомлением по ст. 22 152-ФЗ.

5) Пересмотрите ИТ-ландшафт

  • по возможности выбирайте российские или локализованные решения с дата-центрами в РФ;
  • с иностранными поставщиками оформляйте договорные условия по обработке и защите ПДн, фиксируйте уровень мер безопасности.

6) Подготовьте людей и локальные акты

  • проведите инструктаж по обращению с ПДн;
  • пропишите трансграничную передачу в локальных документах и политике безопасности;
  • назначьте ответственного за защиту ПДн.

Соблюдение требований по трансграничной передаче это не бюрократия ради бюрократии, а способ не нарваться на штрафы, не потерять сайт из-за блокировок и не словить репутационный пожар. Здравый подход такой, даже если кажется, что данных мало и всё «по мелочи», один раз нормально проверить цепочку сервисов и передач почти всегда дешевле, чем потом разгребать последствия.

Больше полезных статей читай на нашем канале.