С момента масштабных изменений в регулировании трансграничной передачи персональных данных (ТПД), вступивших в силу в марте 2022 г., практика применения законодательства претерпела значительную эволюцию. Если на начальном этапе перед операторами стояла задача первичного приведения документов в соответствие с обновленными нормами Федерального закона № 152-ФЗ, то к 2026 г. акцент сместился в сторону фактического исполнения требований и взаимодействия с регулятором в условиях сформировавшейся правоприменительной практики.
Автор: Дарья Грунтович, руководитель группы по защите ПДн Angara Security
Для организаций, планирующих или осуществляющих передачу данных за пределы Российской Федерации, понимание текущих трендов регулирования является критически важным для бесперебойности бизнес-процессов и минимизации юридических рисков. Рассмотрим ключевые аспекты, характеризующие режим ТПД.
Разрешительный характер ТПД как устоявшаяся процедура
Ключевое изменение, которое операторы уже интегрировали в свои бизнес-процессы, — переход от уведомительного к разрешительному порядку трансграничной передачи в государства, не обеспечивающие адекватной защиты прав субъектов.
В настоящее время взаимодействие с Роскомнадзором требует от оператора тщательной предварительной проработки. На практике ведомство оценивает не только формальный пакет документов, но и обоснованность передачи, соответствие целей обработки составу данных, а также оценивает юрисдикцию получателя с учетом текущей внешнеполитической повестки. Операторам следует учитывать, что сроки рассмотрения уведомлений могут варьироваться, а любое несоответствие в обосновании необходимости ТПД является основанием для отказа. В связи с этим при запуске новых продуктов или изменении договорных отношений с иностранными контрагентами необходимо закладывать временной резерв на прохождение согласовательных процедур.
Контроль на техническом уровне и реестровая дисциплина
С 2024–2025 гг. регулятор начал активнее использовать инструменты автоматизированного контроля за трансграничным трафиком, применяемые при проверках сайтов операторов на техническом уровне. Нарушение установленного порядка ТПД влечет не только административную ответственность, но и риск оперативного ограничения передачи данных на инфраструктурном уровне.
Для бизнеса это означает необходимость синхронизации юридической документации (политик обработки, уведомлений, договоров) с фактической архитектурой передачи данных. Роскомнадзор при проведении проверок обладает правом запрашивать информацию о фактическом местонахождении баз данных и маршрутах передачи информации. Выявленные расхождения квалифицируются как нарушение, что может повлечь блокировку ресурсов оператора или внесение его в соответствующие реестры недобросовестных участников рынка.
Проблематика оценки иностранного контрагента
Обязанность оператора проводить оценку соблюдения иностранным лицом конфиденциальности и безопасности ПДн (ч. 5 ст. 12 152-ФЗ) остается одной из наиболее сложных задач для реализации. На практике многие иностранные контрагенты, особенно из юрисдикций с иными стандартами защиты данных (ЕС, США), отказываются предоставлять детальную информацию о своих мерах безопасности либо не готовы подписывать договоры, содержащие обязательства, соответствующие строгим требованиям российского законодателя.
В сложившихся условиях операторам рекомендуется:
- Включать в договоры с иностранными контрагентами подробные положения об обеспечении безопасности данных, максимально приближенные к требованиям ст. 19 152-ФЗ.
- Фиксировать все попытки запроса информации у контрагента и его отказы в предоставлении данных. Это может служить доказательством добросовестности оператора при проведении оценки и возникновении спорных ситуаций.
- Рассматривать возможность маршрутизации данных через юрисдикции, входящие в перечень стран с адекватной защитой, либо через дружественные государства, где требования к безопасности данных могут быть унифицированы с российскими.
Трансграничная передача и оптимизация потоков данных
В условиях усложнения трансграничной передачи все больше компаний пересматривают целесообразность хранения и обработки данных за рубежом. Если в 2022–2023 гг. многие организации стремились к резервированию данных в иностранных дата-центрах, то сегодня наблюдается обратный тренд – возврат на локальные мощности или перенос в юрисдикции с предсказуемым режимом взаимодействия с РФ (страны ЕАЭС, Китай).
Для компаний, которые объективно не могут отказаться от ТПД (например, в рамках работы глобальных ИТ-платформ или логистических цепочек), критически важно документально обосновать невозможность обработки персональных данных без осуществления передачи за пределы Российской Федерации. Наличие технико-экономического обоснования, подкрепленного заключением профильных специалистов, может стать весомым аргументом при взаимодействии с контролирующими органами.
Кроме того, при выстраивании сопряженных с ТПД процессов необходимо принимать во внимание важнейший аспект, связанный с локализацией баз данных на территории Российской Федерации, поскольку требования закона в этом вопросе однозначны: сбор персональных данных в базы данных, размещенные за пределами Российской Федерации, запрещен.
Заключение
Регуляторный режим в сфере ТПД к 2026 г. приобрел черты устойчивой системы, основанной на сочетании разрешительных процедур и применения инструментов автоматизированного контроля. Для операторов персональных данных основными факторами успешного прохождения этого этапа являются:
- Тщательная проработка юридической базы под каждое направление передачи.
- Обеспечение соответствия документов реальным бизнес-процессам.
- Готовность к диалогу с регулятором, предполагающему глубокое обоснование потребностей бизнеса в трансграничной передаче.
Игнорирование установленных требований или формальный подход к их реализации создают высокие риски приостановки деятельности и репутационных потерь, тогда как проактивная позиция в вопросах комплаенса позволяет выстроить устойчивую модель обмена данными в текущих условиях.