Трансграничная передача данных: для чего нужна и как настроить

С 1 марта 2023 года отечественные компании обязаны уведомлять Роскомнадзор, если собираются передавать персональные данные в другие страны. А также если хранят их на иностранных серверах — например, в облачном сервисе. В противном случае бизнес рискует нарушить закон и получить штраф.

Рассказываем, что относится к трансграничной передаче данных, что важно о ней знать, как правильно уведомить РКН и в каких случаях этого делать не нужно.

Что такое трансграничная передача персональных данных

Это отправка компанией или предпринимателем персональных данных за пределы России. Сюда относится ФИО, адрес проживания, контакты и другая личная информация о гражданине: клиенте, заказчике или подрядчике.

Согласно 152-ФЗ «О персональных данных», под ТПД попадают несколько сценариев:

1. Прямая отправка информации иностранному юрлицу. Например, когда российская компания передает клиентскую базу зарубежному партнеру.
2. Хранение персональных данных в иностранных сервисах. Если бизнес загружает информацию в облако или пользуется хостингом, сервера которого находятся за пределами России.
3. Предоставление иностранному лицу доступа к данным. Например, когда зарубежный подрядчик подключается к CRM отечественной компании, хоть технически информация остается в РФ.

При этом к трансграничной передаче персональных данных не относится обмен информацией с филиалом российской организации, даже если он расположен за рубежом.

Примеры использования трансграничной передачи персональных данных

Рассказываем подробнее, какие действия относятся к каждому сценарию ТПД.

1. Прямая отправка информации иностранному юрлицу. Это случаи, когда зарубежная организация или предприниматель получает данные напрямую. И неважно, каким способом: по электронной почте, через облако или API. Если получатель зарегистрирован за пределами РФ, это считается трансграничной передачей персональных данных. Поэтому к ней относится:

• отправка данных клиентов зарубежному партнёру;
• передача резюме кандидатов в иностранную головную компанию;
• передача паспортных данных для бронирования отелей или билетов через зарубежного туроператора.

2. Хранение персональных данных в иностранных сервисах. Сюда относятся любые программы, чьи сервера расположены за пределами России. Так, трансграничной передачей персональных данных будет считаться загрузка информации во многие популярные инструменты:

• системы аналитики — например, Google Analytics или Adobe Analytics;
• электронную почту — Google Mail, Yahoo, Microsoft Outlook;
• сообщения в Facebook и других сервисах компании Meta*;
• облачные хранилища — Google Drive или Dropbox.

3. Предоставление иностранному лицу доступа к данным. Иногда информация физически остается на российских серверах, но к ней получает удалённый доступ иностранный подрядчик или партнёр. Даже если не отправлять ничего напрямую, сам факт доступа уже считается трансграничной передачей. Сюда относится:

• доступ зарубежных подрядчиков к CRM, аналитике, почте или рекламным кабинетам;
• передача логинов/паролей к облачным сервисам, на которых хранятся ПД;
• временный доступ к данным для проведения аудита, настройки IT-инфраструктуры или запуска рекламы.

Новые правила подачи уведомления в Роскомнадзор

Ранее передавать информациию в некоторые страны можно было без всяких уведомлений. Но в июле 2022 года был принят новый Федеральный закон N 266-ФЗ. С 1 марта 2023 года операторы ПД должны заранее уведомлять Роскомнадзор об отправке данных в любое государство.

Как подготовиться к трансграничной передаче персональных данных

Первым делом нужно зарегистрироваться как оператор персональных данных (ОПД). Без этого статуса обрабатывать и передавать информацию нельзя. Заполнить форму для регистрации можно онлайн на сайте Роскомнадзора.

Роскомнадзор принимает форму для регистрации в двух видах: бумажном или электронном

Если страна-получатель обеспечивает адекватную защиту ПД, отправлять информацию или пользоваться зарубежным сервисом разрешено сразу после регистрации. Список таких стран можно найти в приказе Роскомнадзора № 128 от 05.08.2022. Среди них — Австрия, Грузия, Норвегия, КНР и другие государства.

Если получатель данных или сервер для их хранения находятся в «небезопасной» стране — сначала нужно получить разрешение от РКН. Иначе передача будет незаконной и повлечет административную ответственность.

Пример. Иван Петров — пациент клиники «Медицина». Во время отпуска в другой стране у него случился сильный приступ аллергии, поэтому он обратился в местную клинику. «Медицина» имеет право сразу отправить данные Ивана за рубеж, так как от этого напрямую зависит здоровье гражданина. Клиника не обязана ждать решения Роскомнадзора — но всё равно должна уведомить о передаче в течение трёх дней после происшествия.

Как подать уведомление

После регистрации в качестве оператора персональных данных, компании необходимо предупредить РКН о трансграничной передаче еще до первой отправки информации. Сделать это можно онлайн на сайте ведомства. 

В уведомлении указывают:

• Контакты ответственного лица. Фамилия, имя, отчество, номер телефона, адрес и другие данные.
• Категории ПД. Какую именно информацию бизнес будет передавать. Например: имена, даты рождения, номера паспорта.
• Цель трансграничной передачи персональных данных. Для чего понадобятся данные: забронировать билеты в иностранном отеле, провести аналитику с помощью зарубежного партнера или другая причина.
• Основание для передачи. Например, согласие субъекта на ТПД.

Чтобы узнать все необходимые требования и заранее подготовить нужную информацию, скачайте образец уведомления на сайте Роскомнадзора. А когда отправите уведомление — вы получите номер и ключ. По ним можно проверить, в каком статусе находится заявка на сайте Роскомнадзора.

В уведомлении нужно вписать информацию об операторе и указать страны, в которые вы собираетесь передать данные

Сколько ждать решения

Базовый срок принятия решения в РКН — 10 рабочих дней. Но ведомство может запросить дополнительную информацию и заморозить рассмотрение заявки, пока не получит нужные данные. Например, реквизиты иностранного партнера или полный список мер, которые он принимает для защиты ПД.

Если подключить к работе новых представителей из других стран или добавить еще одну цель трансграничной передачи персональных данных — придется заполнять уведомление снова. Так срок может увеличиться, ведь Роскомнадзор будет рассматривать заявку заново.

Когда не нужно подавать заявление о трансграничной передаче

В некоторых случаях оператор персональных данных не обязан уведомлять Роскомнадзор о трансграничной передаче. Рассказываем про главные сценарии, в которых это возможно.

1. Передача происходит в страну из «белого списка». Роскомнадзор ведёт перечень государств, которые обеспечивают адекватную защиту персональных данных. Если отправлять их в одну из таких стран, уведомление не требуется.

2. Передача предусмотрена международным договором. Это случаи, когда процесс происходит в рамках международного соглашения, ратифицированного Россией. Например, если бизнес предоставляет визовые услуги — уведомление может не понадобиться.

3. Передача необходима для выполнения закона или международного договора. Например, когда нужно отправить данные в зарубежный банк при платеже. Или обработать заказ, который оформлен через иностранные маркетплейсы или сервисы авиабронирования.

4. Повторная передача, если условия не изменились. Уведомлять РКН не нужно, если оператор уже подавал уведомление и отправляет данные тому же получателю. При этом цель и объем данных не изменились, а условия защиты остались прежними. Например, компания продолжает работать с тем же подрядчиком и не отправляет ему данные кроме тех, которые указала в первой заявке.

Ответственность за неподачу уведомления 

С 30 мая 2025 года в силу вступила часть 10 статьи 13.11 административного Кодекса РФ. Она регулирует наказания в случае, если компания нарушила закон о трансграничной передаче персональных данных. 

Раньше за нарушение можно было получить простое предупреждение. Теперь компании грозят штрафы, также Роскомнадзор может добиться полной блокировки сайтов нарушителя. Размер штрафа зависит от статуса отправителя:

• физическим лицам — от 5 до 10 тысяч рублей;
• должностным лицам — от 30 до 50 тысяч рублей;
• юридическим лицам и ИП — от 100 до 300 тысяч рублей.

Эти штрафы касаются только самого факта неподачи уведомления. Если же Роскомнадзор установит, что при незаконной передаче данных были нарушены права граждан, штрафы вырастут в несколько раз. Для физлиз — до 100 тысяч рублей, для юрлиц — до 3 миллионов.

Запрет и ограничение на трансграничную передачу данных

Если компания направила уведомление и уже начала передачу, но получила запрет от РКН — понадобится полностью уничтожить отправленные данные. Невыполнение такого требования будет считаться нарушением закона. Поэтому важно знать, в каких случаях Роскомнадзор может запретить или ограничить ТПД.

1. Оператор предоставил неполные или недостоверные данные. По постановлению Правительства РФ от 16.01.2023 г. № 24, РКН в праве приостановить рассмотрение уведомления и отправить официальный запрос оператору ПД. В ответ на него компания обязана предоставить нужные данные в течение 5 рабочих дней. После этого Роскомнадзор продолжит рассматривать заявку еще около трех рабочих дней.

Если не отправить необходимую информацию вовремя или не устранить нарушения, уведомление о трансграничной передаче персональных данных аннулируют.

2. Адресат входит в перечень запрещенных организаций в РФ. В этом случае Роскомнадзор гарантированно запрещает ТПД. Поэтому важно заранее проверить контрагента на сайте Министерства Юстиций РФ.

Для удобства составили таблицу с основными причинами, по которым РКН может запретить или ограничить передачу данных.

Как обжаловать решение Роскомнадзора

Когда бизнесу запрещают или ограничивают трансграничную передачу, решение можно обжаловать в судебном и досудебном порядке.

Сначала стоит подать жалобу в произвольной форме на имя вышестоящего должностного лица Роскомнадзора. Закон позволяет сделать это в течение месяца после получения решения от РКН, а рассмотрят жалобу за 10 рабочих дней. Узнать больше о том, как подать заявление — можно на сайте ведомства.

Если в досудебном порядке проблему решить не удастся, можно обратиться в суд. Для этого нужно предоставить все документы и доказательства того, что запрет неправомерный. Среди них: ваше уведомление, ответы Роскомнадзора, первую жалобу, итоги ее рассмотрения.

Что стоит знать о трансграничной передаче данных

Кратко подведем итоги:

• Трансграничная передача данных — это отправка персональной информации о гражданах России представителям других государств. К ТПД относится прямая передача информации иностранному юрлицу, хранение данных в зарубежных сервисах и предоставление доступа к данным в России из-за границы.
• С 1 марта 2023 года нужно заранее уведомлять Роскомнадзор о намерении передавать ПД за рубеж. Начинать передачу до решения можно только в случае, если страна-получатель осуществляет адекватную защиту персональных данных.
• Чтобы отправить уведомление, нужно зарегистрироваться как оператор персональных данных. Затем — подать заявление о трансграничной передаче в бумажном виде или онлайн. Обычно РКН принимает решение в течение 10 рабочих дней.
• Роскомнадзор может приостановить рассмотрение уведомления. Например, если ведомству понадобятся дополнительные данные или нужно будет внести изменения в заявку.
• Если не подать уведомление, можно получить штраф от 3 000 рублей для физических лиц и до 300 000 рублей — для юридических лиц и ИП. Если РКН посчитает, что незаконная передача привела к нарушению прав граждан — штраф будет больше: до 100 тысяч рублей для физлиц и до 3 миллионов для юрлиц.
• Решение РКН можно обжаловать. Для этого нужно подать жалобу в досудебном порядке на имя вышестоящего сотрудника ведомства. Если это не даст результата — оператор персональных данных имеет право обратиться в суд.

* Компания Meta признана экстремистской организацией в России