- Трансграничная передача — передача ПД на серверы или сотрудникам за пределами России
- Перед передачей нужно уведомить РКН и провести оценку уровня защиты
- Страны «белого списка» — передача разрешена без дополнительных условий
- В остальные страны — только с согласия субъекта или при наличии договорных гарантий
- Передача в США, Китай, Израиль требует особой осторожности
Что такое трансграничная передача
По статье 12 ФЗ-152 трансграничная передача персональных данных — это передача ПД на территорию иностранного государства иностранному органу власти, иностранному физическому или юридическому лицу.
На практике это означает любой из сценариев:
- Хранение данных на зарубежном облачном сервере (AWS, Google Cloud, Azure)
- Использование иностранных CRM или ERP (Salesforce, HubSpot)
- Передача данных клиентов иностранным партнёрам или подрядчикам
- Работа удалённых сотрудников за рубежом с доступом к ПД
- Отправка email через зарубежный сервер с данными о получателях
Требование локализации (первичная запись в РФ) и запрет трансграничной передачи — разные нормы. Первичная запись обязана быть в России, но после этого данные можно передавать за рубеж при соблюдении условий.
Страны «белого списка» — передача без ограничений
Роскомнадзор ведёт перечень государств, обеспечивающих адекватный уровень защиты ПД. В него входят страны — участницы Конвенции Совета Европы о защите данных (ETS 108) и ряд других.
Передача разрешена без специального согласия субъекта:
- Все государства ЕС (Германия, Франция, Нидерланды и др.)
- Великобритания
- Швейцария, Норвегия, Исландия
- Казахстан, Беларусь, Армения
- ряд других стран
Но уведомление РКН о трансграничной передаче всё равно обязательно.
Порядок трансграничной передачи в остальные страны
Для стран, не входящих в «белый список» (США, Китай, Израиль, ОАЭ и другие), применяется дополнительная процедура:
Шаг 1. Оценка уровня защиты ПД в стране получателя — изучение законодательства, практики, гарантий иностранной стороны.
Шаг 2. Подача уведомления в РКН не менее чем за 10 рабочих дней до начала передачи. Указывается: страна, получатель, цели, категории данных.
Шаг 3. Заключение договора с иностранным получателем, содержащего обязательства по защите данных согласно российским требованиям.
Шаг 4. Получение согласия субъекта — если договорных гарантий недостаточно или субъект не входит в перечень исключений.
| Условие | Требуется ли согласие субъекта? | |---|---| | Страна «белого списка» | Нет | | Не белый список + договорные гарантии | Нет (достаточно уведомления РКН) | | Не белый список + нет гарантий | Да, явное согласие | | Международный договор России | Нет |
Популярные сервисы и статус передачи
| Сервис | Статус | Что делать | |---|---|---| | Google Workspace | США — не белый список | Уведомить РКН, оформить договорные гарантии | | Microsoft 365 | США — не белый список | Аналогично Google | | Salesforce | США — не белый список | Уведомить РКН, заключить DPA | | Slack | США — не белый список | Проверить хранение файлов и уведомить РКН | | Notion | США — не белый список | Ограничить хранение ПД или оформить передачу | | Figma | США — не белый список | Исключить размещение ПД в макетах | | Zoom | США — не белый список | Уведомить РКН при использовании с ПД | | Bitrix24 (облако РФ) | Россия | Передача внутренняя, не трансграничная | | amoCRM (РФ) | Россия | Не трансграничная передача | | Яндекс.Облако | Россия | Не трансграничная передача |
Google Analytics передаёт данные о пользователях на серверы Google в США. Это трансграничная передача, требующая уведомления РКН. Альтернатива — Яндекс.Метрика или Matomo с размещением в России.
Практические кейсы
Удалённый администратор за рубежом
Компания передала доступ к CRM системному администратору, находящемуся в Армении. Уведомление о трансграничной передаче не подавалось, договорных гарантий не было.
Результат:
- РКН квалифицировал доступ как трансграничную передачу;
- компании пришлось срочно подавать уведомление и пересматривать процессы доступа;
- дополнительно потребовали оформить соглашения о конфиденциальности и разграничение ролей.
SaaS-сервис для HR без проверки передачи
HR-отдел использовал зарубежный сервис для хранения резюме кандидатов. Проверка показала отсутствие:
- уведомления РКН;
- DPA;
- информации о трансграничной передаче в политике обработки ПД.
Компания получила предписание устранить нарушения и изменить процессы хранения данных кандидатов.
Что включать в договор или DPA
При передаче данных иностранному получателю рекомендуется фиксировать:
- перечень передаваемых данных;
- цели обработки;
- запрет на использование данных вне поручения;
- требования к безопасности;
- сроки хранения;
- порядок удаления данных;
- обязанность уведомления об инцидентах и утечках.
Пример формулировки для DPA
Иностранный получатель обязуется обеспечивать конфиденциальность и безопасность персональных данных, использовать данные исключительно в целях исполнения договора и принимать меры защиты не ниже предусмотренных законодательством Российской Федерации.
Что грозит за нарушение
| Нарушение | Штраф | |---|---| | Передача без уведомления РКН | 100 000 – 300 000 ₽ | | Передача без договорных гарантий | 300 000 – 700 000 ₽ | | Повторное нарушение | до 18 000 000 ₽ |
Даже небольшие сайты и интернет-магазины часто используют иностранные сервисы аналитики, CRM и рассылок. При жалобе или автоматическом мониторинге РКН проверяет наличие уведомления и правовых оснований передачи.
- Составлен реестр всех иностранных сервисов, получающих ПДобязательно
- Для каждого иностранного получателя проверён статус страныобязательно
- Поданы уведомления в РКН по всем направлениям передачиобязательно
- С иностранными получателями заключены DPA (соглашения о защите данных)
- Для передачи в страны вне белого списка без гарантий — получено согласие субъектов
- Настроены ограничения доступа для удалённых сотрудников за рубежом
- Актуализация уведомлений при изменении состава зарубежных получателей