Трансграничная передача персональных данных (далее — ТПП) — это передача данных на территорию иностранного государства иностранным органам власти, иностранным физическим и юридическим лицам. В 2022–2023 годах статья 12 Федерального закона № 152-ФЗ была существенно переработана: вместо уведомительного порядка было введено предварительное согласование с Роскомнадзором.
Новый порядок ТПП с 1 марта 2023 года
Согласно действующей редакции ст. 12 152-ФЗ, оператор, планирующий осуществлять ТПП, обязан:
- До начала передачи данных уведомить Роскомнадзор через портал операторов.
- Получить от иностранного получателя подтверждение обеспечения надлежащей защиты данных.
- Дождаться ответа РКН (срок рассмотрения — до 10 рабочих дней). Если РКН не запретил передачу — она разрешена.
Страны с «надлежащим уровнем защиты»
Для государств, ратифицировавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Конвенция 108), уведомление РКН не требуется. К таким странам относятся большинство государств ЕС, Великобритания, Израиль, Аргентина и ряд других.
Список государств, обеспечивающих надлежащую защиту, утверждается приказом Роскомнадзора и периодически обновляется.
Исключение: Даже в «безопасные» страны ТПП запрещена, если данные могут быть использованы для действий, направленных против интересов РФ или её граждан. РКН вправе запретить передачу данных в любую страну.
Что не является трансграничной передачей
Не признаётся ТПП:
- Обработка данных в рамках международного договора РФ.
- Передача данных в целях охраны жизни и здоровья.
- Передача данных, сделанных субъектом общедоступными.
- Исполнение договора, стороной которого является субъект ПД.
Практические примеры ТПП
| Ситуация | Является ли ТПП | Что требуется |
|---|---|---|
| Использование Salesforce (США) для CRM | Да | Уведомление РКН или замена на российский аналог |
| Отправка email через Mailchimp (США) | Да | Уведомление РКН + сохранение первичной БД в РФ |
| Размещение сайта на хостинге в Германии | Да (для данных граждан РФ) | Перенос данных в РФ или уведомление РКН |
| Использование Яндекс.Облако | Нет (данные в РФ) | Не требуется |
| Отправка данных партнёру в Беларуси | Да (СНГ не входит в список) | Уведомление РКН |
Ответственность
За ТПП без уведомления РКН предусмотрен штраф по ч. 14 ст. 13.11 КоАП: до 100 000 рублей для организаций. За повторное нарушение — до 300 000 рублей. Кроме того, передача данных в страну, для которой РКН ввёл ограничения, влечёт возбуждение уголовного дела по ст. 272 УК РФ (неправомерный доступ к компьютерной информации) в случае умысла.
Связанные статьи
О российских сервисах как альтернативе зарубежным читайте в статье Российские аналоги иностранных сервисов для сайтов. О требованиях к локализации данных — в материале Локализация данных на территории РФ: требования ФЗ-242.
Итог
Трансграничная передача данных — область с высоким регуляторным риском. Большинство иностранных SaaS-сервисов технически несовместимы с российскими требованиями. Проведите аудит используемых сервисов на help152.ru и выясните, какие из них создают риск нарушения законодательства.