Трансграничная передача персональных данных по 152‑ФЗ

Трансграничная передача персональных данных по 152‑ФЗ

В глобальной экономике данные легко пересекают границы: облачные сервисы, аутсорс-поддержка, международные платежи, аналитика и реклама — все это создает сценарии трансграничной передачи. Чтобы действовать законно и безопасно, оператору важно понимать, как 152‑ФЗ регулирует передачу персональных данных в иностранные государства и какие условия нужно соблюсти.

Что такое трансграничная передача ПДн

Трансграничная передача персональных данных — это передача ПДн на территорию иностранного государства, иностранному органу власти, иностранному физическому или юридическому лицу. Важно: передача — это не только отправка файла, но и удаленный доступ из‑за рубежа к данным, размещенным в России.

Примеры:

• доступ иностранного сотрудника к CRM с российскими клиентами;
• хостинг или бэкапы у зарубежного облачного провайдера;
• передача платежных данных в международные платежные системы;
• использование зарубежных сервисов аналитики или техподдержки.

Правовая база: 152‑ФЗ и связанные нормы

Основные правила установлены в ст. 12 Федерального закона «О персональных данных». Для ширеого контекста полезно посмотреть:

• общие положения и термины — О персональных данных: 152‑ФЗ;
• структура документа и статьи — Структура и статьи 152‑ФЗ;
• принципы и условия обработки — Принципы и условия обработки;
• обязанности оператора — Обязанности оператора;
• безопасность и меры защиты — Безопасность и защита ПД по 152‑ФЗ;
• обзор закона — Федеральный закон № 152‑ФЗ.

Ключевая идея: до начала трансграничной передачи оператор должен убедиться, что в стране получения обеспечивается адекватная защита прав субъектов ПДн, либо выбрать один из законных оснований для передачи без такой оценки.

Адекватная защита ПДн: критерии и оценка

Адекватная защита ПДн означает, что в принимающем государстве действуют механизмы, сопоставимые по уровню с российскими требованиями к правам субъектов, безопасности и контролю. На практике учитывают:

• наличие специального закона о персональных данных и надзорного органа;
• участие государства в международных соглашениях по защите ПДн;
• судебную и регуляторную практику защиты прав субъектов;
• требования к уведомлению субъектов, безопасности, уведомлению об инцидентах и т. п.

Если уверенности в адекватности нет, оператор должен использовать специальные основания и дополнительные меры защиты (см. ниже).

Условия передачи ПДн за рубеж: когда это допустимо

Закон допускает передачу в иностранные государства 152‑ФЗ при соблюдении одного из условий. Удобно сравнить сценарии по двум осям — адекватность и основание:

Сценарий	Страна с адекватной защитой	Страна без адекватной защиты	Примечания
Наличие законного интереса и общих оснований обработки	Допустимо при соблюдении ст. 5 и 6 152‑ФЗ	Требуются специальные основания из ст. 12	Минимизируйте состав данных
Согласие субъекта	Допустимо	Допустимо, но требуется письменное согласие на трансграничную передачу	Форма по ст. 9; фиксируйте страну и получателя
Исполнение договора с субъектом	Допустимо	Допустимо	Передавайте строго необходимый объем ПДн
Защита жизни, здоровья, иных жизненно важных интересов	Допустимо	Допустимо	Документируйте факт необходимости
Международные договоры/законы РФ, госфункции	Допустимо	Допустимо	Следуйте спецрежимам и ограничениям

Ключевые акценты:

• Письменное согласие обязательно, если вы опираетесь именно на согласие как основание для передачи в страну без адекватной защиты. Оно должно соответствовать требованиям ст. 9 152‑ФЗ (подробнее — Согласие на обработку ПДн).
• Если основание — исполнение договора с субъектом, письменное согласие не требуется, но объем и цели передачи должны быть строго необходимыми.
• При любом сценарии обеспечьте пропорциональность, безопасность и прозрачность для субъекта.

Уведомления и контроль Роскомнадзора

Полномочия Роскомнадзора включают контроль за трансграничной передачей и возможность запрашивать у операторов сведения, ограничивать или приостанавливать передачу в целях защиты прав субъектов и безопасности. Практически это означает:

• заранее оценивать риски и готовить обоснование законности передачи;
• при запуске новых трансграничных процессов — проверять необходимость уведомления и быть готовыми к предоставлению информации по запросу регулятора;
• отслеживать изменения практики и разъяснений.

Подробнее о надзоре и реестрах — в материале Роскомнадзор: контроль и реестры.

Локализация и трансграничная передача: как совместить

Требование локализации (первичная запись/сбор ПДн граждан РФ на территории РФ) не запрещает трансграничную передачу. Типовая модель соответствия:

• первичный сбор и хранение — на российских серверах;
• затем — выборочная и законная передача необходимых данных за рубеж по одному из оснований ст. 12;
• обеспечение эквивалентной защиты у зарубежного получателя.

Важно документировать архитектуру и маршруты данных, чтобы показать, что локализация соблюдена, а последующая трансграничная передача законна и безопасна. См. также Безопасность и защита ПД по 152‑ФЗ.

Алгоритм принятия решения и чек‑лист

1. Опишите поток данных:

• кто отправитель и получатель (контроллер/оператор, обработчик);
• какие категории ПДн (обычные, специальные, биометрические);
• какова цель и частота передачи; есть ли удаленный доступ.

1. Оцените страну назначения:

• есть ли признаки адекватной защиты;
• регуляторные риски и практика.

1. Выберите законное основание:

• исполнение договора, жизненно важные интересы, закон/договоры, либо согласие (для неадекватных стран — в письменной форме).

1. Подготовьте документы:

• договорные обязательства с зарубежным получателем (конфиденциальность, безопасность, запрет на перепередачу без разрешения);
• уведомления субъектов/политики;
• реестр операций обработки; оценка рисков.

1. Реализуйте меры защиты:

• шифрование, псевдонимизация, контроль доступа, журналы действий;
• минимизация и хранение тайм‑ауты, ограничение доступа по географии/VPN.

1. Проведите тестовую передачу и аудит логов; настройте мониторинг инцидентов.

Договорные и технические меры защиты

Договорные меры (рекомендуемые положения):

• передача только по документированным инструкциям оператора;
• цели, объем и категории ПДн; запрет на несогласованную перепередачу;
• стандарты безопасности и уведомления об инцидентах;
• субобработчики — только с согласия оператора и эквивалентными обязательствами;
• аудит и подтверждение выполнения мер.

Технические и организационные меры:

• шифрование в транзите и на хранении, управление ключами в РФ;
• минимизация и псевдонимизация передаваемых наборов данных;
• сегментация доступов и геофильтры; раздельные среды для прод/тест;
• DLP/EDR/журналы доступа; контроль выгрузок и API‑лимиты;
• резервное копирование с учетом местоположения бэкапов.

Эти меры согласуются с общими требованиями 152‑ФЗ; подробнее — Безопасность и защита ПД по 152‑ФЗ.

Частые ситуации и ошибки

• «Облако с дата‑центром за рубежом, но интерфейс на русском». Это трансграничная передача — нужна оценка адекватности и законное основание.
• «Бэкапы у международного провайдера». Бэкап тоже содержит ПДн — применяются те же правила.
• «Аналитика и рекламные пиксели». Отправка идентификаторов устройств, IP и событий — это ПДн; настройте минимизацию и правовые основания.
• «Удаленная поддержка из‑за рубежа». Сам факт доступа — передача; оформите допсоглашение, журналируйте доступы, ограничьте видимость ПДн.
• «Согласие в свободной форме для неадекватной страны». Риск: при опоре на согласие требуется письменная форма и конкретика (страна, получатель, цели).
• «Забыли о локализации». Первичная запись ПДн граждан РФ должна быть на территории РФ.

Права субъектов и информирование

Прозрачность — обязательное условие. Сообщайте субъектам:

• цели и правовые основания обработки и передачи;
• страну назначения и категорию получателей;
• потенциальные риски, если уровень защиты ниже российского;
• способы реализации прав доступа, исправления, отзыва согласия.

Смотрите также материалы: Права субъектов персональных данных и Согласие на обработку ПДн.

Ответственность за нарушения

Нарушение правил трансграничной передачи может повлечь административные штрафы, предписания и ограничения со стороны регулятора, а также репутационные риски и гражданско‑правовые последствия. Обзор мер и санкций — в разделе Ответственность и штрафы. Историю изменений требований и их актуальный контекст см. в материале История и изменения 152‑ФЗ.

FAQ по трансграничной передаче

• Вопрос: Удаленный доступ администратора из другой страны — это трансграничная передача? Ответ: Да. Доступ приравнивается к передаче, на него распространяются правила ст. 12.
• Вопрос: Если иностранный провайдер заявляет о «регионе RU», но делает бэкапы вне РФ? Ответ: Такие бэкапы — трансграничная передача. Нужны основания и меры защиты.
• Вопрос: Анонимизированные данные можно свободно передавать? Ответ: Только если уровень обезличивания исключает идентификацию субъекта у получателя. Иначе это ПДн.

Вывод и следующий шаг

Трансграничная передача персональных данных 152‑ФЗ требует системного подхода: оценить адекватность защиты, выбрать законное основание, выполнить локализацию, внедрить договорные и технические меры, обеспечить прозрачность для субъектов и готовность к контролю. Начните с картирования потоков данных и обновления документов.

Перейдите к смежным разделам, чтобы закрыть все требования: Принципы и условия обработки, Обязанности оператора, Безопасность и защита ПД. Если вы выстраиваете международный обмен данными, сверьте процесс с Роскомнадзор: контроль и реестры и подготовьте корректные согласия.