Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

Как передавать данные за рубеж законно

4
32 мин
Когда российская компания подключает зарубежный сервис рассылок, отдаёт базу клиентов иностранному подрядчику или просто ставит на сайт чужую аналитику, происходит трансграничная передача персональных данных. С 1 марта 2023 года такая передача за границу проходит под отдельным контролем Роскомнадзора, и начать её «по умолчанию» уже нельзя. Сначала оператор оценивает получателя, определяет, в какую категорию стран тот попадает, и уведомляет регулятор о намерении, и только потом, в зависимости от страны, запускает передачу. В этом материале разбираем, что закон относит к трансграничной передаче персональных данных, чем она отличается от локализации, как уведомить Роскомнадзор и когда можно начинать передачу, какие страны считаются безопасными и что грозит за нарушение. Текст пригодится специалистам по защите данных, юристам, ИБ-службам и руководителям, которые отвечают за работу с персональными данными в компании. Определение дано в статье 3 Федерального закона от 27.07.2006 № 152-ФЗ «О
Оглавление
Изображение: OpenAI
Изображение: OpenAI

Когда российская компания подключает зарубежный сервис рассылок, отдаёт базу клиентов иностранному подрядчику или просто ставит на сайт чужую аналитику, происходит трансграничная передача персональных данных. С 1 марта 2023 года такая передача за границу проходит под отдельным контролем Роскомнадзора, и начать её «по умолчанию» уже нельзя. Сначала оператор оценивает получателя, определяет, в какую категорию стран тот попадает, и уведомляет регулятор о намерении, и только потом, в зависимости от страны, запускает передачу.

В этом материале разбираем, что закон относит к трансграничной передаче персональных данных, чем она отличается от локализации, как уведомить Роскомнадзор и когда можно начинать передачу, какие страны считаются безопасными и что грозит за нарушение. Текст пригодится специалистам по защите данных, юристам, ИБ-службам и руководителям, которые отвечают за работу с персональными данными в компании.

Содержание

  1. Что такое трансграничная передача персональных данных
  2. Когда передача становится трансграничной
  3. На каком основании можно передавать данные за рубеж
  4. Перечень стран и три режима передачи
  5. Уведомление Роскомнадзора о намерении
  6. Когда Роскомнадзор может запретить передачу
  7. Трансграничная передача и локализация
  8. Какие документы оформляет оператор
  9. Ответственность за нарушения
  10. Частые вопросы
  11. Коротко о главном

Что такое трансграничная передача персональных данных

Определение дано в статье 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — закон о персональных данных). Под трансграничной передачей персональных данных закон понимает передачу данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Формулировка короткая, но именно из неё вырастают все практические сложности, потому что под неё попадает гораздо больше ситуаций, чем кажется на первый взгляд.

Два понятия здесь стоит держать в голове. Оператором закон называет организацию или человека, которые определяют цели обработки данных и сами их обрабатывают, например работодателя, интернет-магазин или банк. Субъектом персональных данных считается человек, к которому относятся данные, то есть клиент, сотрудник или посетитель сайта. Именно оператор отвечает за то, чтобы передача данных субъектов за рубеж шла по правилам статьи 12 закона о персональных данных.

Три признака трансграничной передачи

Чтобы понять, подпадает ли конкретная ситуация под статью 12 закона о персональных данных, удобно проверить её по трём признакам.

  1. Передаются именно персональные данные, то есть любая информация, относящаяся к определённому или определяемому человеку.
  2. Данные уходят за пределы России, на территорию иностранного государства.
  3. Получателем выступает иностранное лицо, то есть орган власти, физическое или юридическое лицо другой страны.

Когда совпадают все три условия, передача становится трансграничной, и к ней применяются требования статьи 12 того же закона.

Подробный разбор самих критериев и пограничных формулировок есть в материале партнёра по защите данных. Подробнее читайте в статье «Трансграничная передача ПДн: правовые основания».

Что не относится к трансграничной передаче

Передача данных между двумя российскими организациями трансграничной не является, даже если технически данные ходят по интернету. Не считается ею и использование сервисов, чьи серверы и юридическое лицо находятся в России. Например, веб-аналитика на российской инфраструктуре остаётся внутри страны и под статью 12 закона о персональных данных не подпадает, при условии что у сервиса нет зарубежных субподрядчиков и точек обработки за границей, иначе цепочку придётся проверять отдельно. Граница проходит по получателю и территории, а не по факту, что данные где-то передаются по сети.

Когда передача становится трансграничной

Самая частая ошибка в том, что трансграничную передачу понимают буквально, как отправку файла с данными за рубеж. На деле под неё попадает множество повседневных операций, где никто ничего сознательно не «пересылает». Если иностранное лицо получает доступ к данным, передача уже состоялась, и неважно, лежит база в России или нет.

Подрядчики, облака и сервисы на сайте

Доступ зарубежного подрядчика или разработчика к базе, которая физически хранится в России, закон тоже считает трансграничной передачей, потому что данные получает иностранное лицо. Хранение данных на иностранном облаке или хостинге тоже подпадает под статью 12 закона о персональных данных. То же касается зарубежных облачных сервисов по модели SaaS [software as a service, программное обеспечение как услуга], через которые компания ведёт клиентов, рассылки или поддержку. Отдельно стоит отметить иностранные сервисы на сайте, их часто не замечают. Встроенная аналитика, капчи, шрифты и сети доставки контента передают данные посетителей на серверы за пределами страны.

В реальной инфраструктуре каналов больше, чем кажется, и многие из них для ИБ-службы невидимы. Под трансграничную передачу попадают интеграции по API и веб-хукам с зарубежным контрагентом, корпоративная почта и мессенджеры на иностранной инфраструктуре, системы видеоконференций, резервное копирование в зарубежное облако, а также платёжные и антифрод-сервисы с обработкой за границей. Отдельный сложный случай связан с субподрядчиками облачного сервиса. Зарубежный сервис может сам передавать данные своим обработчикам, поэтому оценивать нужно не только прямого получателя, но и понимать, куда данные уходят дальше по цепочке. На практике стоит запросить у вендора актуальный список субобработчиков и закрепить в договоре его обязанность заранее сообщать об изменении этого состава.

Здесь часто возникает вопрос, кто подаёт уведомление, когда данные за рубеж уходят через сервис подрядчика. По статье 6 закона оператор вправе поручить обработку другому лицу по договору, и тогда зарубежный сервис выступает обработчиком по поручению. Само такое лицо согласие субъектов не собирает. По общему правилу за действия обработчика перед субъектом отвечает оператор, но когда обработчик иностранный, а при трансграничной передаче это обычная ситуация, закон возлагает ответственность перед субъектом и на оператора, и на самого иностранного получателя. Обязанность же оценить получателя и уведомить Роскомнадзор в любом случае лежит на операторе, потому что именно он определяет цели обработки. Поэтому переложить уведомление на иностранного вендора нельзя, даже если технически данные за границу отправляет он.

Для ИБ-службы это означает, что трансграничные потоки надо сначала найти, а потом контролировать. Помогает инвентаризация, чек-лист для неё мы приводим в разделе про документы, а способы технического контроля разберём там же. Без такой ревизии компания нередко уведомляет регулятор о паре очевидных передач и при этом годами передаёт данные посетителей за рубеж через чужой счётчик на сайте.

На каком основании можно передавать данные за рубеж

Трансграничная передача относится к обработке персональных данных, поэтому для неё нужно общее законное основание из статьи 6 закона о персональных данных. Чаще всего таким основанием служит согласие субъекта, но возможны и другие. Это, например, исполнение договора, стороной которого выступает сам человек, или выполнение обязанностей, возложенных на оператора законом. Само по себе уведомление Роскомнадзора основания для передачи не даёт. Это отдельная процедурная обязанность поверх него.

Нужно ли отдельное согласие на передачу

Вокруг согласия много путаницы, и тянется она из прежней редакции закона. До 1 марта 2023 года при передаче в страны без адекватной защиты закон прямо требовал письменного согласия субъекта. Поправки, внесённые Федеральным законом от 14.07.2022 № 266-ФЗ, этот режим изменили. Теперь отдельного письменного согласия именно на трансграничную передачу статья 12 закона о персональных данных не требует, на смену ему пришло уведомление о намерении и оценка получателя. Это не значит, что согласие исчезло, оно по-прежнему может быть основанием обработки по статье 6 того же закона, и в нём логично отразить цель передачи данных за рубеж.

Как именно оформить согласие на обработку, мы разбирали отдельно. Подробнее читайте в статье «Согласие на обработку персональных данных».

Перечень стран и три режима передачи

Дальнейшая логика целиком зависит от того, в какую страну уходят данные. Закон делит государства на тех, кто обеспечивает адекватную защиту прав субъектов, и всех остальных, и от этого деления зависит, когда можно начинать передачу. Адекватной считается защита, которая соответствует уровню Конвенции Совета Европы № 108, и вывод об этом для каждой страны делает Роскомнадзор. Он же утверждает перечень таких государств. Действующий список закреплён приказом Роскомнадзора от 05.08.2022 № 128 и применяется с 1 марта 2023 года.

В перечень входят 89 государств, разбитых на две большие группы. Первая, 55 стран, которые подписали Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Этот документ, известный как Конвенция № 108, ратифицирован Россией ещё в 2005 году и действует для неё с 2013 года. Вторая группа, 34 страны, которые Конвенцию не подписывали, но их законодательство и меры защиты ей соответствуют. Состав перечня со временем меняется, поэтому проверять свою страну нужно по действующей редакции приказа на дату подачи уведомления, и делать это стоит до любых действий, потому что именно от этого зависит порядок передачи.

Страны с адекватной защитой

В первой группе почти вся Европа, а также Турция, Грузия, Армения, Азербайджан и ряд других государств-участников Конвенции. Во второй группе много партнёров России по ближнему зарубежью и Азии. Туда входят Беларусь, Казахстан, Киргизия, Таджикистан, Узбекистан, а также Китай, Индия, Япония, Республика Корея, Канада, Израиль, Бразилия и другие государства. Передача в любую из этих стран всё равно остаётся трансграничной и требует уведомления, но режим для них мягче.

Перечень построен на уровне защиты данных в стране, а не на политических отношениях с Россией, и под санкционную повестку он не пересматривался. Поэтому в нём остаётся почти весь Евросоюз, США в него при этом не входят. Сам по себе статус недружественного государства страну из перечня не убирает и режим передачи не меняет. Но это не значит, что в такие страны можно передавать данные свободно. Помимо общего порядка, у Роскомнадзора есть право запретить или ограничить конкретную передачу в целях защиты безопасности государства, его экономических и финансовых интересов, и эти основания мы разбираем ниже. То есть страна может быть в перечне, а отдельную передачу всё равно ограничат отдельным решением.

Прочие страны вне перечня

Если государства получателя в перечне нет и Конвенцию оно не подписывало, действует строгий режим с ожиданием решения регулятора. Характерным примером служат Соединённые Штаты, которых в перечне нет. Поэтому передача данных на американские серверы, в том числе через популярные иностранные веб-сервисы, попадает в категорию прочих стран со всеми её ограничениями.

Категория страны получателя Нужно ли уведомление Когда можно начать передачу Сторона Конвенции № 108 или страна из перечня приказа Роскомнадзора № 128 (89 государств) Да, до начала передачи Сразу после направления уведомления (ч. 10 ст. 12 152-ФЗ) Страна вне перечня и не сторона Конвенции Да, до начала передачи После истечения срока рассмотрения, 10 рабочих дней, и при отсутствии запрета (ч. 11 ст. 12 152-ФЗ) Любая страна при решении Роскомнадзора о запрете Да Передача запрещена или ограничена

Три режима трансграничной передачи персональных данных. Источник, статья 12 Федерального закона № 152-ФЗ. 📷
Три режима трансграничной передачи персональных данных. Источник, статья 12 Федерального закона № 152-ФЗ. 📷

Уведомление Роскомнадзора о намерении и пошаговый порядок

С 1 марта 2023 года передать персональные данные за рубеж «по умолчанию» нельзя. Сначала оператор обязан направить в Роскомнадзор отдельное уведомление о намерении передавать данные за рубеж. Эта обязанность появилась с поправками, которые внёс в закон о персональных данных Федеральный закон от 14.07.2022 № 266-ФЗ, и распространяется на всех операторов независимо от того, в какую страну уходят данные. Уведомление о намерении передавать данные за границу подаётся отдельно от уведомления об обработке по статье 22 того же закона, через которое оператор попадает в реестр Роскомнадзора. Это два разных документа, и одно не заменяет другое.

Куда и как подать уведомление

Подать уведомление можно на Портале персональных данных Роскомнадзора, в разделе трансграничной передачи. Отдельный бумажный бланк для заполнения от руки искать не нужно, уведомление формируется через электронную форму на самом портале, а перечень сведений в нём задан частью 4 статьи 12 закона о персональных данных, которую разбираем ниже. Закон допускает два способа подачи такого уведомления. Документ на бумажном носителе направляют почтой, электронный вариант подписывают усиленной квалифицированной электронной подписью (УКЭП) и отправляют через портал, вход на который идёт через подтверждённую учётную запись Госуслуг. При электронной подаче дублировать уведомление бумажной копией не требуется, а если документ подаётся за организацию, учётная запись на Госуслугах должна быть к ней привязана. Подписывает уведомление уполномоченное лицо оператора, обычно руководитель или сотрудник, действующий по доверенности.

После отправки Роскомнадзор отдельным письмом об успешной регистрации не извещает, поэтому статус уведомления оператор отслеживает сам через тот же портал по регистрационному номеру. Подача уведомления бесплатна, госпошлины за неё нет. Правила распространяются на любого оператора, включая индивидуальных предпринимателей и малый бизнес, поэтому отнести себя к исключениям только по размеру компании нельзя.

Отдельный вопрос возникает с передачами, которые компания уже ведёт. Требование уведомить действует и для них, поэтому потоки, запущенные без уведомления, нужно привести в соответствие, а не считать, что новый порядок касается только будущих проектов. Если страна получателя из перечня адекватной защиты, передачу можно не останавливать на время оформления. Когда страна вне перечня, поток на период рассмотрения уведомления придётся приостановить, иначе передача станет неправомерной.

Что указать в уведомлении

Состав сведений закреплён в части 4 статьи 12 закона о персональных данных. Уведомление о намерении содержит семь блоков информации, и каждый из них проверяется регулятором.

  • Наименование или ФИО и адрес оператора, а также дата и номер ранее поданного уведомления об обработке по статье 22 того же закона.
  • Сведения о лице, ответственном за организацию обработки персональных данных, с контактными телефонами и адресами.
  • Правовое основание и цель трансграничной передачи и дальнейшей обработки переданных данных.
  • Категории и перечень передаваемых персональных данных.
  • Категории субъектов, чьи персональные данные передаются за рубеж.
  • Перечень иностранных государств, куда планируется передача.
  • Дата проведённой оператором оценки того, как иностранные получатели соблюдают конфиденциальность и обеспечивают безопасность персональных данных.

Последний пункт отсылает к отдельной обязанности, которую легко пропустить. Оценку получателей оператор проводит не после подачи уведомления, а до неё. Без этой оценки уведомление будет неполным, а сама передача неправомерной.

Оценка иностранного получателя до передачи

До того как подать уведомление, оператор обязан получить от будущего получателя данных сведения по части 5 статьи 12 того же закона. Речь о мерах, которые иностранный орган власти, физическое или юридическое лицо принимает для защиты переданных данных, и об условиях, на которых обработка будет прекращена. Если данные уходят в страну вне перечня адекватной защиты, к этому добавляется информация о правовом регулировании персональных данных в государстве получателя. Третий блок сведений касается самого получателя, его наименования и контактов.

На практике сведения запрашивают у получателя письмом или анкетой и закрепляют гарантии защиты в договоре с иностранным контрагентом. Результат оценки оператор фиксирует собственным документом, на его дату и ссылается седьмой пункт уведомления. Смысл в том, что ответственность за судьбу данных не заканчивается на границе. Если оператор видит, что получатель не обеспечивает защиту или попросту не предоставляет запрошенные сведения, передавать данные нельзя.

Эти же сведения Роскомнадзор вправе запросить уже после подачи уведомления. На ответ оператору отводится 10 рабочих дней с даты получения запроса, и при необходимости этот срок продлевается ещё не более чем на 5 рабочих дней, если оператор направит мотивированное объяснение причин. Важно не путать этот срок со сроком, который закон отводит самому регулятору на рассмотрение уведомления. Это разные сроки разной природы, хотя оба отсчитываются в рабочих днях. Чтобы не запутаться, сведём все сроки статьи 12 закона о персональных данных в одну таблицу.

Срок Что происходит Норма (статья 12 152-ФЗ) 10 рабочих дней Роскомнадзор рассматривает уведомление и вправе вынести запрет часть 9 10 рабочих дней Оператор отвечает на запрос регулятора о сведениях часть 6 плюс 5 рабочих дней Продление срока ответа по мотивированному уведомлению оператора часть 6 5 рабочих дней Решение о запрете по представлению профильных ведомств часть 13

Когда можно начинать передачу

На этом шаге операторы путаются чаще всего. Момент старта передачи зависит от того, куда уходят данные. Закон разводит два случая, и для оператора это определяет, начинать передачу сразу или дожидаться окончания срока рассмотрения.

Когда данные передаются в страну, которая входит в перечень государств с адекватной защитой или является стороной Конвенции Совета Европы № 108, передачу разрешено начинать сразу после направления уведомления. Дожидаться отдельного решения Роскомнадзора при этом не нужно. Это прямо следует из части 10 статьи 12 закона о персональных данных. Поэтому проверить страну получателя по перечню стоит ещё до подачи уведомления, потому что именно от этого зависит момент старта.

Если же страна получателя в перечень не входит и Конвенцию не подписывала, действует часть 11 статьи 12 закона. Передавать данные туда запрещено, пока регулятор рассматривает уведомление. На рассмотрение закон отводит Роскомнадзору 10 рабочих дней с даты поступления уведомления (часть 9 статьи 12), и именно в этот срок регулятор вправе вынести решение об ограничении или запрете. Если по истечении этих десяти рабочих дней Роскомнадзор запрета не вынес, передачу можно начинать. Единственное исключение, когда передать данные в такую страну можно немедленно, наступает при защите жизни, здоровья или иных жизненно важных интересов субъекта или других людей.

Это означает, что подготовку стоит начинать заранее. Для стран из перечня адекватной защиты процедура почти не тормозит работу. Для остальных закладывайте в график срок рассмотрения в 10 рабочих дней, а с учётом выходных это календарно около двух недель, и не запускайте передачу раньше. Передача без уведомления или до истечения срока ожидания образует нарушение, за которое предусмотрена административная ответственность, о ней подробнее в разделе про штрафы.

Когда Роскомнадзор может запретить или ограничить передачу

Подача уведомления не гарантирует, что передавать данные можно будет в любом объёме и навсегда. Закон даёт Роскомнадзору право запретить или ограничить трансграничную передачу. Основания перечислены в статье 12 закона о персональных данных и распадаются на несколько групп.

  • Защита нравственности, здоровья, прав и законных интересов граждан.
  • Защита основ конституционного строя и безопасности государства.
  • Обеспечение обороны страны.
  • Защита экономических и финансовых интересов России.
  • Защита прав граждан России, а также суверенитета, безопасности и иных интересов страны на международной арене дипломатическими и международно-правовыми средствами.

Решения первой группы, по нравственности, здоровью и правам граждан, регулятор принимает сам, по результатам рассмотрения уведомления. Решения второй группы, по обороне, безопасности государства, экономическим интересам и защите граждан на международной арене, выносятся по представлению профильных ведомств, например органов безопасности, обороны или Министерства иностранных дел.

Сам порядок принятия таких решений установлен отдельными актами Правительства. Постановление Правительства РФ от 10.01.2023 № 6 устанавливает порядок решений по второй группе оснований, которые принимаются по представлениям ведомств, а также порядок информирования операторов. На вынесение решения по такому представлению Роскомнадзору отведено 5 рабочих дней. Постановление Правительства РФ от 16.01.2023 № 24 касается первого трека, решений в целях защиты нравственности, здоровья, прав и законных интересов граждан. Среди оснований запрета здесь, например, отказ иностранного получателя принимать меры защиты или включение иностранного юридического лица в перечень нежелательных организаций.

Для оператора практический смысл здесь только один. Если Роскомнадзор выносит решение о запрете или ограничении, продолжать передачу нельзя, а оператор обязан обеспечить уничтожение ранее переданных данных иностранным получателем, это прямо закреплено частью 14 статьи 12 того же закона. Чтобы такое требование вообще можно было исполнить, обязанность уничтожить данные и подтвердить это документом стоит заранее закрепить в договоре с иностранным получателем, иначе проконтролировать уничтожение за границей будет нечем. Для бизнеса это куда более серьёзное последствие, чем штраф. Остановка трансграничного потока и уничтожение уже ушедших данных способны парализовать сервис, завязанный на иностранную инфраструктуру, поэтому риск запрета для компании обычно весомее, чем сам по себе административный штраф.

Практика запретов Роскомнадзора

Регулятор этим правом пользуется, но решения о запрете выносятся точечно, а названия компаний и страны Роскомнадзор по ним публично не раскрывает, поэтому ориентироваться на «громкие кейсы» здесь не получится. Куда практичнее держать в голове отдельную линию контроля, которая касается иностранных веб-сервисов. Позиция регулятора в том, что встроенная зарубежная аналитика и подобные инструменты передают данные посетителей за рубеж, и за такую передачу без уведомления операторам направляют предписания. Для большинства компаний реальный риск не в адресном запрете конкретной передачи, а именно в этом массовом контроле сайтов и в общих штрафах за обработку без оснований.

Чем трансграничная передача отличается от локализации

Трансграничную передачу часто смешивают с локализацией, хотя это два разных требования закона. Локализация закреплена в части 5 статьи 18 закона о персональных данных и обязывает оператора записывать, систематизировать, накапливать, хранить, уточнять и извлекать персональные данные граждан России с использованием баз данных, находящихся на территории страны. Иными словами, первичная работа с данными россиян должна идти на серверах в России.

Передача за рубеж отвечает на другой вопрос, можно ли и как отдавать данные иностранному получателю. Эти требования действуют параллельно, и выполнение одного не освобождает от другого. Компания может законно передавать данные за границу, уведомив регулятор, и при этом обязана хранить первичную базу россиян в России. С 1 июля 2025 года локализация ужесточилась. Федеральный закон от 28.02.2025 № 23-ФЗ изменил часть 5 статьи 18 закона о персональных данных и прямо запретил использовать зарубежные базы данных при первичном сборе персональных данных граждан России. Для трансграничных потоков это значит, что путь со сбором данных сразу на зарубежных серверах закрыт, первичный сбор идёт в России, а уже потом, при необходимости, данные передаются за границу по правилам статьи 12 закона о персональных данных.

Признак Трансграничная передача (ст. 12 152-ФЗ) Локализация (ч. 5 ст. 18 152-ФЗ) Что регулирует Передачу данных иностранному получателю за рубеж Место первичной работы с данными россиян Основное требование Уведомить Роскомнадзор о намерении, оценить получателя Хранить и обрабатывать первичную базу на серверах в России Когда выполняется Перед передачей данных за границу При сборе и первичной обработке данных граждан России Связь Требования действуют параллельно, выполнение одного не освобождает от другого

Сами требования к защите персональных данных мы разбирали подробно. Подробнее читайте в статье «Защита персональных данных: требования, уровни защищённости и меры».

Какие документы оформляет оператор

Любая передача данных за рубеж оставляет за собой бумажный след, и при проверке регулятор смотрит именно на него. Комплект документов складывается из нескольких частей, и собирать его лучше до начала передачи, а не задним числом.

Порядок действий оператора от инвентаризации до начала передачи. Источник, статья 12 Федерального закона № 152-ФЗ. 📷
Порядок действий оператора от инвентаризации до начала передачи. Источник, статья 12 Федерального закона № 152-ФЗ. 📷
  • Уведомление о намерении осуществлять трансграничную передачу, поданное в Роскомнадзор.
  • Документ с результатами оценки иностранного получателя, со сведениями о мерах защиты и условиях прекращения обработки.
  • Законное основание обработки по статье 6 закона о персональных данных, чаще всего согласие субъекта, с отражённой целью передачи за рубеж.
  • Договор или поручение на обработку с иностранным контрагентом, где закреплены меры защиты и обязательства по конфиденциальности.
  • Внутренние документы оператора, политика и регламент трансграничной передачи, а также реестр самих передач.

Как устроены внутренние документы оператора, мы показывали на примере политики обработки. Подробнее читайте в статье «Политика обработки персональных данных».

Что закрепить в договоре с иностранным контрагентом

Договор с зарубежным получателем выполняет двойную роль. Он оформляет правовые отношения по передаче и одновременно служит подтверждением оценки получателя. В нём имеет смысл зафиксировать меры защиты, которые принимает контрагент, цели и сроки обработки переданных данных, обязательство соблюдать конфиденциальность и условия прекращения обработки. Чем подробнее эти положения, тем проще оператору обосновать перед регулятором, что передача шла под контролем, а не вслепую. Документы, которые оператор подаёт в Роскомнадзор и предъявляет при проверке, оформляются на русском языке, а иностранные договоры и анкеты получателя сопровождаются переводом.

Чек-лист инвентаризации трансграничных потоков

Прежде чем оформлять документы, ИБ-служба должна понять, какие данные и куда реально уходят. Этот шаг обычно и вскрывает скрытые передачи. Пройдитесь по типовым каналам и проверьте каждый.

  • Облачные сервисы и хостинг, где лежат или обрабатываются данные клиентов и сотрудников.
  • Зарубежные SaaS-сервисы для рассылок, поддержки, аналитики и совместной работы.
  • Встроенные на сайте иностранные инструменты, счётчики, капчи, шрифты и сети доставки контента.
  • Доступ зарубежных подрядчиков и разработчиков к рабочим базам и системам.
  • Передача данных сотрудников в иностранную головную или родственную компанию внутри группы.
  • Интеграции по API и веб-хукам, корпоративная почта и мессенджеры на иностранной инфраструктуре, видеоконференции, резервные копии в зарубежном облаке, платёжные сервисы.

Как контролировать трансграничные потоки технически

Найти потоки помогает не только опрос подразделений, но и работа с инфраструктурой. Начинать стоит с владельцев систем и договоров с подрядчиками, где видно реальное место обработки данных. Технически исходящие соединения вскрываются по журналам прокси и межсетевого экрана, по DNS-запросам к зарубежным доменам и по анализу исходящего трафика. Внешние сервисы на сайте находят разбором сетевых запросов страницы в инструментах разработчика, и здесь важно проверить не только статическую вёрстку, но и скрипты, которые подгружаются динамически и после согласия на cookie, иначе часть обращений останется незамеченной. Понять, куда конкретно уходит трафик, помогает проверка конечных доменов по их принадлежности, потому что сервис может отвечать с российского адреса через сеть доставки контента, а обрабатывать данные за границей. Поэтому фильтрация по геолокации IP полезна как сигнал, но сама по себе место обработки не доказывает.

Дальше потоки нужно держать под контролем, и здесь работает связка нескольких классов средств. Системы предотвращения утечек настраивают на исходящие каналы, то есть на почту, веб и мессенджеры, чтобы ловить выгрузку персональных данных наружу. Прокси и межсетевые экраны нового поколения логируют и при необходимости блокируют обращения к зарубежным адресам и внешним API, а закрытая по умолчанию исходящая фильтрация отсекает то, что явно не разрешено. Средства контроля облачных сервисов класса CASB вскрывают теневые подключения к неучтённым иностранным SaaS, которые подразделения нередко подключают в обход ИБ-службы. События об исходящих соединениях полезно собирать в SIEM, чтобы видеть аномалии и новые направления передачи. Поверх всего этого собирают карту потоков данных как отдельный документ и ведут реестр трансграничных передач, который наполняется по результатам инвентаризации.

Часть зарубежных сервисов проще убрать, чем легализовать, тем более что после запрета на первичный сбор данных россиян за рубежом многие из них уведомлением и не спасти. Шрифты, капчи и счётчики нередко можно разместить на собственном сервере или заменить российскими, тогда передача за рубеж просто прекращается. Иностранную веб-аналитику переводят на отечественные счётчики с серверами в стране, например Яндекс Метрику или Топ Mail.ru. Зарубежные сервисы рассылок, системы управления клиентами, видеоконференцсвязь, корпоративную почту и облачное хранение замещают российскими аналогами, которых на рынке уже достаточно по каждому из этих классов. Для сайта стоит отдельно проверить баннер согласия на использование cookie и раскрыть факт трансграничной передачи в политике обработки персональных данных, чтобы посетитель понимал, куда уходят его данные.

Ответственность за нарушения

Административная ответственность

Отдельной статьи именно за нарушение правил трансграничной передачи в Кодексе об административных правонарушениях нет. Нарушения квалифицируются по общим составам статьи 13.11 КоАП РФ о нарушении законодательства о персональных данных. Если данные передают за рубеж без законного основания или с нарушением заявленных целей, нарушение подпадает под часть 1 статьи 13.11. Штраф для должностных лиц составляет от 50 до 100 тысяч рублей, для юридических лиц от 150 до 300 тысяч рублей. Повторное нарушение по части 1.1 поднимает штраф для юридических лиц до диапазона от 300 до 500 тысяч рублей, а для должностных лиц от 100 до 200 тысяч. Суммы указаны на дату публикации, перед применением их стоит сверить с действующей редакцией кодекса.

Здесь важно не попасться на распространённую путаницу. В части 10 статьи 13.11 КоАП РФ действительно есть штраф для юридических лиц от 100 до 300 тысяч рублей, но он установлен за неуведомление о намерении обрабатывать персональные данные по статье 22 закона о персональных данных, а не за трансграничную передачу. Многие обзоры ошибочно переносят этот штраф на трансграничную передачу. Отдельного состава за неуведомление именно о ней закон не вводил. Встречаются и более громкие цифры, штрафы в миллионы рублей, но они относятся к другим нарушениям. Суммы от 1 до 6 миллионов и от 6 до 18 миллионов рублей по частям 8 и 9 той же статьи предусмотрены за несоблюдение локализации, а отдельные крупные штрафы установлены за утечки данных. К самой трансграничной передаче эти составы прямого отношения не имеют.

Уголовная ответственность

Существует и уголовная ответственность, но она применяется в иных случаях. Статья 272.1 УК РФ карает незаконные использование, передачу, сбор или хранение компьютерной информации с персональными данными, которая получена неправомерным доступом или иным незаконным путём. Если такие действия сопряжены с трансграничной передачей, наказание по части 4 этой статьи доходит до восьми лет лишения свободы со штрафом до двух миллионов рублей. К добросовестному оператору, который просто забыл вовремя уведомить регулятор, уголовная статья отношения не имеет, для него всё ограничивается административным штрафом.

Об ответственности оператора в целом мы рассказывали в базовом материале. Подробнее читайте в статье «Оператор персональных данных: кто это, обязанности и уведомление Роскомнадзора».

Частые вопросы

Нужно ли всегда уведомлять Роскомнадзор о трансграничной передаче

Да, по части 3 статьи 12 закона о персональных данных оператор обязан уведомить регулятор о намерении до начала передачи независимо от страны получателя. Исключения из этой обязанности немногочисленны. Постановлением Правительства от 29.12.2022 № 2526 они установлены только для операторов, которые передают данные в рамках функций, возложенных международным договором или законом на государственные и муниципальные органы. Это, например, международные перевозки, обеспечение обороны и безопасности, дипломатические сношения, оказание государственных услуг. Для обычного коммерческого бизнеса таких исключений нет, уведомлять нужно.

Можно начинать передачу сразу после уведомления или ждать ответа

Всё зависит от страны получателя, и закон разделяет здесь два случая. В государства с адекватной защитой и стороны Конвенции № 108 передачу можно начинать сразу после направления уведомления. В прочие страны нужно дождаться окончания срока рассмотрения в 10 рабочих дней и убедиться, что регулятор не вынес запрет.

Передача данных работников в зарубежный головной офис считается трансграничной

Да, такая передача тоже считается трансграничной. Иностранная головная или родственная компания признаётся иностранным юридическим лицом, поэтому передача ей данных сотрудников подпадает под статью 12 закона о персональных данных. Внутри группы компаний льгот для таких передач закон не предусматривает, процедура та же. Регулярные передачи внутри холдинга удобно вести по единому внутреннему регламенту и типовому договору между связанными компаниями, но это не отменяет ни уведомления, ни оценки получателя. Отдельно стоит случай, когда работник сам вводит свои данные на иностранном ресурсе, например покупает билет или заполняет анкету в командировке. Это его собственное действие, и уведомлять за него оператор не обязан.

Как передавать за рубеж биометрию и специальные категории данных

Сама процедура трансграничной передачи для них общая, по статье 12 закона о персональных данных. Но поверх неё действуют усиленные требования к таким данным. Специальные категории, например сведения о здоровье или судимости, обрабатываются по статье 10, а биометрия по статье 11 того же закона, которая требует отдельного согласия субъекта. Поэтому до передачи за рубеж нужно сначала выполнить эти требования, а затем пройти обычный порядок уведомления и оценки получателя.

Считается ли передача в Беларусь, Казахстан и другие страны ЕАЭС трансграничной

Да, и для них действуют общие правила. Передача в любую другую страну трансгранична, включая партнёров России по Евразийскому экономическому союзу (ЕАЭС). Из его участников Армения относится к сторонам Конвенции, а Беларусь, Казахстан и Киргизия включены в перечень государств с адекватной защитой по второму основанию, так что все они в перечне есть. Соседние Таджикистан и Узбекистан в ЕАЭС не входят, но тоже включены в перечень. Передачу в любую из этих стран можно начинать сразу после уведомления, не дожидаясь отдельного решения регулятора.

Считаются ли иностранные сервисы на сайте передачей данных за рубеж

Как правило, такие сервисы передают данные за рубеж. Встроенная зарубежная аналитика, капчи и подобные инструменты отправляют данные посетителей на иностранные серверы, а это уже трансграничная передача. Например, счётчик Google Analytics отправляет данные за пределы России, на инфраструктуру Google, а США в перечень адекватной защиты не входят. У таких сервисов есть технический нюанс, который меняет всю картину. Аналитика собирает и отправляет данные одновременно, в момент первичного сбора, а с 1 июля 2025 года первичный сбор данных граждан России на зарубежных серверах запрещён. Поэтому уведомлением подобный сервис не легализуется. Выход остаётся один, перейти на российский аналог с серверами в стране или отказаться от сервиса.

Нужно ли отдельное согласие именно на трансграничную передачу

Отдельного письменного согласия именно на трансграничную передачу действующая редакция статьи 12 закона о персональных данных не требует. Такое правило действовало до 1 марта 2023 года. Нужно законное основание обработки по статье 6 того же закона, чаще всего согласие, и в нём стоит отразить цель передачи данных за рубеж.

Подавать одно уведомление или отдельное на каждую страну

Закон не требует отдельного уведомления на каждого получателя. В одном уведомлении оператор указывает перечень иностранных государств, куда планирует передачу, и категории получателей. Если позже состав стран, целей или получателей существенно меняется, уведомление стоит подать заново. Отдельного порядка актуализации статья 12 закона о персональных данных не описывает, но расхождение поданных сведений с реальной передачей само по себе создаёт риск претензий регулятора.

Что грозит за передачу без уведомления

Передача без основания или не по заявленным целям квалифицируется по части 1 статьи 13.11 КоАП РФ, штраф для юридических лиц от 150 до 300 тысяч рублей. Если за рубеж переправляют данные, полученные неправомерным доступом или иным незаконным путём, наступает уголовная ответственность по части 4 статьи 272.1 УК РФ.

Коротко о главном

Трансграничная передача охватывает не только пересылку файлов иностранному получателю, но и доступ зарубежных подрядчиков к данным, иностранные облака и встроенные на сайте чужие сервисы. С 1 марта 2023 года такую передачу нельзя начать, не уведомив Роскомнадзор о намерении и не оценив получателя. Дальше всё зависит от страны, в государства с адекватной защитой из перечня приказа Роскомнадзора № 128 передавать можно сразу, в остальные только после десяти рабочих дней и при отсутствии запрета.

Практический порядок действий укладывается в несколько шагов. Сначала проведите инвентаризацию и найдите все трансграничные потоки, включая скрытые. Затем оцените получателей и соберите основания обработки. После этого подайте уведомление, проверьте страну по перечню и поймите свой режим старта. Не путайте трансграничную передачу с локализацией, выполнять нужно оба требования. И помните, что отдельного состава за нарушение именно трансграничной передачи нет, но общие штрафы статьи 13.11 КоАП РФ и усиление контроля делают осторожность выгоднее, чем риск.

Оригинал публикации на сайте CISOCLUB: "Трансграничная передача персональных данных: что это, уведомление Роскомнадзора и ответственность".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.