Трансграничная передача персональных данных: что это такое простыми словами

Что такое трансграничная передача ПДн?

Под осуществлением трансграничной передачи персональных данных понимается любое действие, в результате которого ПДн российских граждан становятся доступны иностранному получателю на территории иностранного государства: органу власти, физическому или юридическому лицу. При этом неважно, каким способом осуществляется эта передача: через API-интеграцию, выгрузку базы данных, веб-трафик или электронную почту.

В каких случаях происходит трансграничная передача ПДн?

Трансграничная передача ПДн осуществляется всякий раз, когда персональные данные граждан РФ становятся доступны системам, серверам или лицам, находящимся за пределами России.

Большинство компаний сталкивается с трансграничной передачей даже не подозревая об этом. Перечислим наиболее распространенные случаи, которые предприниматели часто игнорируют, считая их безобидными.

• Google Analytics и другие системы веб-аналитики. При подключении Google Analytics данные о поведении посетителей автоматически передаются на серверы Google, расположенные за пределами РФ.
• Зарубежные CRM и ERP-системы. Если данные клиентов хранятся в таких системах, как Salesforce, HubSpot, Pipedrive или SAP, то они физически находятся на серверах иностранных провайдеров. Это прямое осуществление трансграничной передачи ПДн.
• Иностранные мессенджеры и почтовые сервисы. Переписка с клиентом осуществляется через WhatsApp (серверы Meta в США), а общение с сотрудниками ведется по электронной почте Gmail? В таких случаях также происходит передача ПДн за рубеж.
• Облачные хранилища. Серверы таких популярных облачных хранилищ, как AWS, Microsoft Azure и Google Cloud, расположены в иностранных государствах. Хранение там любых персональных данных означает трансграничную передачу.
• Отправка резюме в иностранный головной офис. Отправка ПДн соискателя дочерним российским офисом в материнскую компанию за рубежом тоже является трансграничной передачей, требующей согласия субъекта и уведомления РКН.
• Бронирование отеля или билетов для сотрудника в зарубежной командировке. Передача информации о работнике иностранной авиакомпании или гостинице квалифицируется как трансграничная передача. Здесь, однако, закон предусматривает исключение: если это необходимо для исполнения договора, в котором субъект является стороной, то согласие не требуется.
• Трекеры задач и инструменты совместной работы. Если ПДн сотрудников или клиентов хранятся в таск-трекерах Jira, Notion, Asana, Trello, а серверы расположены за рубежом, то уже происходит процесс трансграничной передачи.
• Трансграничная пересылка персональных данных в автоматическом режиме между двумя информационными СДО. Частный, но показательный случай. Если система дистанционного обучения российской компании синхронизирует данные слушателей с зарубежным модулем в автоматическом режиме, каждая такая синхронизация квалифицируется как трансграничная передача и требует соблюдения порядка, установленного ст. 12 закона 152-ФЗ.

Локализация и трансграничная передача: в чем разница

Понимание того, что относится к трансграничной передаче ПДн, требует разграничения двух последовательных процессов: первичного сбора данных на территории РФ и их последующей передачи иностранному получателю. Это не взаимозаменяемые операции, как может показаться на первый взгляд.

Локализация персональных данных — это требование закона о том, что первичная запись, систематизация, накопление, хранение и уточнение персональных данных граждан РФ должны осуществляться на серверах, физически расположенных на территории России. Это требование закреплено в ч.5 ст. 18 Федерального закона № 152-ФЗ.

Трансграничная передача — это уже следующий шаг: передача ранее локализованных данных за пределы РФ иностранному получателю. Например, данные клиентов собраны в российской базе, а затем синхронизируются с зарубежной CRM-системой для работы отдела продаж. Эта синхронизация и является трансграничной передачей.

Как осуществить трансграничную передачу ПДн законно

Трансграничная передача персональных данных является одной из наиболее регламентированных операций в сфере работы с ПДн. Законом №152-ФЗ установлен четкий порядок ее осуществления, и отступление от него даже по незнанию не освобождает оператора от ответственности. Ниже представлен пошаговый алгоритм, который позволит провести передачу информации законно и без рисков для бизнеса.

Шаг 1. Локализуйте первичную базу данных в РФ
Это отправная точка, без которой все остальное теряет смысл. Первичный сбор, в том числе запись и хранение данных должны осуществляться на серверах, физически расположенных на территории России.

Шаг 2. Определите статус страны-получателя
Не все страны одинаковы с точки зрения российского законодательства о персональных данных. Роскомнадзор ведет перечень иностранных государств, обеспечивающих адекватный уровень защиты ПДн. В него входят государства-участники Конвенции Совета Европы № 108, а также ряд других стран, признанных регулятором безопасными.
Если страна-получатель входит в этот перечень, то передача ПДн осуществляется в упрощенном порядке. Если страны нет в этом списке (например, США), то оператор обязан самостоятельно оценить уровень защиты данных у иностранного партнера и доказать Роскомнадзору, что передача безопасна для субъектов ПДн.

Шаг 3. Получите согласие субъектов ПДн
В большинстве случаев трансграничная передача требует отдельного, явно выраженного согласия субъекта персональных данных. Включить условие о трансграничной передаче в общее согласие на обработку ПДн недостаточно, так как формулировка должна быть конкретной и прозрачной.
Существуют исключения, когда согласие не требуется: если передача необходима для исполнения требований законодательств или международного договора, стороной которого является субъект, а также в целях защиты его жизненно важных интересов.

Шаг 4. Подайте уведомление в Роскомнадзор до начала передачи
Статья 12 Федерального закона № 152-ФЗ устанавливает: уведомление о намерении осуществить трансграничную передачу подается в Роскомнадзор до начала передачи ПДн. Не в день передачи или на следующий день, а именно заблаговременно. Кроме того, уведомление о трансграничной передаче должно быть подано отдельно от общего уведомления об обработке ПДн. О том, что необходимо включить в этот документ и как правильно его заполнить, рассказываем далее.

Шаг 5. Дождитесь ответа регулятора

Порядок ожидания зависит от статуса страны-получателя.
Если страна входит в перечень государств, обеспечивающих адекватную защиту прав субъектов ПДн, утвержденный Роскомнадзором, передачу данных можно начинать сразу после подачи уведомления.
Если же страна в перечень не включена, то тогда необходимо дождаться рассмотрения уведомления от РКН. У регулятора есть на это 10 рабочих дней с момента его подачи. По итогам РКН может:

• Разрешить передачу;
• направить запрос о предоставлении дополнительных сведений;
• вынести запрет или ограничение на трансграничную передачу.

Если за 10 рабочих дней запрет не поступил, передача считается согласованной и может быть начата. Игнорирование запрета Роскомнадзора влечет существенно более серьезную ответственность, чем первичное нарушение порядка уведомления.

Уведомление Роскомнадзора о трансграничной передаче ПДн: как подать

Уведомление Роскомнадзора о трансграничной передаче персональных данных подается в электронной форме через портал Госуслуги после авторизации через ЕСИА. Документ подписывается руководителем или уполномоченным лицом. Если действует уполномоченное лицо, его профиль на Госуслугах должен быть привязан к организации, от имени которой оно действует. Самостоятельно разработанные формы регулятором не принимаются — используется только официальная форма, размещенная на портале.

В уведомлении указываются:

• наименование/ФИО и адрес оператора, а также дата и номер ранее поданного общего уведомления о намерении осуществлять обработку ПДн;
• страна или страны, в которые планируется передача ПДн;
• цели и правовые основания трансграничной передачи;
• категории и перечень передаваемых ПДн;
• категории субъектов, чьи данные будут передаваться.

Штрафы за нарушение правил трансграничной передачи персональных данных

Нарушение правил трансграничной передачи ПДн влечет административную ответственность по статье 13.11 КоАП РФ. Так, для должностных лиц назначается штраф на сумму от 100 тысяч рублей до 200 тысяч рублей при первичном нарушении и до 800 тысяч рублей при повторном, а для юридических лиц — от 1 млн рублей до 6 млн рублей при первичном и до 18 миллионов рублей при повторном нарушении.

Помимо административной ответственности, не исключается уголовная ответственность по статье 272.1 УК РФ, в том числе за незаконную передачу, распространение или предоставление доступа к ПДн, сопряженным с трансграничной передачей.

Образец уведомления о трансграничной передаче ПДн

Роскомнадзор разработал и опубликовал на своем портале официальную форму уведомления о трансграничной передаче ПДн. Ее заполнение осуществляется в электронном виде после авторизации через ЕСИА (Госуслуги). Готовое уведомление подписывается электронной подписью руководителя или уполномоченного лица.

Самостоятельно разработанные формы регулятором не принимаются. Уведомление, составленное в произвольном виде и направленное по электронной почте или в бумажном виде без соблюдения установленного порядка, не будет считаться поданным, а передача ПДн за рубеж будет квалифицирована как осуществленная без уведомления РКН со всеми вытекающими санкциями.

Скачать форму уведомления о трансграничной передаче ПДн

Заключение

Подготовка полного пакета документов для трансграничной передачи требует юридической экспертизы и понимания как российского законодательства, так и правового режима страны-получателя. Ошибки на любом из этапов оборачиваются штрафами и запретом на передачу ПДн. Для того, чтобы защититься от рисков, рекомендуем обращаться к профессионалам. Юристы из нашей команды готовы помочь вам правильно подготовиться к подаче уведомления.

Поделиться в социальных сетях:

Наталия Рагулина

Руководитель юридического отдела

8 лет опыта

более 300 выигранных дел

Автор статьи

111 публикаций на сайте

Подробнее о специалисте