Если ваш сайт использует Google Analytics, Mailchimp, Salesforce или любой другой иностранный сервис — данные ваших пользователей в какой-то момент уходят за пределы России. Это называется трансграничной передачей персональных данных.
С 2023 года требования к таким операциям ужесточились. Теперь нужно не просто заключить договор с зарубежным партнёром — нужно уведомить Роскомнадзор до начала передачи данных. Многие компании об этом не знают или считают, что закон их не касается.
Ниже — объяснение того, что считается трансграничной передачей, когда нужно уведомлять регулятора, как это сделать и какие ошибки встречаются чаще всего.
Что такое трансграничная передача персональных данных
По закону 152-ФЗ трансграничная передача — это передача персональных данных на территорию иностранного государства. Получателем может быть иностранное юридическое лицо, государственный орган другой страны или физическое лицо, находящееся за рубежом.
Ключевой признак — данные покидают Россию. Неважно, как именно это происходит: через API, загрузку в облако, доступ к базе данных или пересылку файлов.
Важно понимать
Трансграничная передача — это не только прямая отправка файлов. Если иностранный сервис получает техническую возможность обрабатывать данные ваших пользователей, это тоже передача. Даже если данные физически остаются на серверах — но доступ к ним есть у зарубежной компании.
Что не считается трансграничной передачей
Если иностранная компания работает на территории России и обрабатывает данные здесь — это не трансграничная передача. Также не является передачей обмен данными внутри одной организации, когда данные не покидают страну.
Примеры трансграничной передачи
Передача данных иностранному подрядчику
Вы отдаёте разработку на аутсорс команде из другой страны и предоставляете им доступ к базе пользователей. Это трансграничная передача.
Зарубежное облачное хранилище
Сайт хранит данные на AWS, Google Cloud или Azure с серверами за пределами России. Данные уходят в другую страну.
Бронирование и международные заказы
Турагентство передаёт данные клиента зарубежному отелю или авиакомпании. Это тоже трансграничная передача — даже когда она необходима для исполнения договора.
Что относится к трансграничной передаче: неочевидные случаи
Многие операторы не подозревают, что используют сервисы, которые попадают под это требование.
-
Мессенджеры. Если переписка с клиентами ведётся через Telegram, WhatsApp или Slack — данные проходят через иностранную инфраструктуру.
-
CRM и облачные сервисы. HubSpot, Pipedrive, Notion, Airtable — если серверы находятся за рубежом, данные клиентов туда и отправляются.
-
Аналитика и маркетинг. Google Analytics, Meta Pixel, Hotjar — собирают данные о поведении пользователей и передают их на зарубежные серверы.
Закон о трансграничной передаче персональных данных
Основная норма — статья 12 федерального закона 152-ФЗ «О персональных данных». Она регулирует условия, при которых данные могут покидать Россию.
С 1 марта 2023 года вступили в силу поправки, которые существенно изменили правила. Раньше достаточно было убедиться, что страна-получатель обеспечивает «адекватную» защиту данных. Теперь введена обязательная процедура уведомления Роскомнадзора до начала передачи.
Роль Роскомнадзора
РКН ведёт реестр операторов, передающих данные за рубеж. Регулятор вправе проверить законность передачи и — в отдельных случаях — запретить её. Это не просто формальность: решение о запрете принимается по результатам оценки рисков для граждан России.
Условия трансграничной передачи персональных данных
Передача данных за рубеж допускается, если выполнен ряд условий. Главное из них — уведомление Роскомнадзора.
Категории стран по уровню защиты данных
| Категория страны | Примеры | Особенности |
|---|---|---|
| Страны с адекватной защитой | Страны ЕС, Великобритания, Канада, Израиль и другие из перечня РКН | Передача допускается при соблюдении общих требований |
| Страны без адекватной защиты | США и многие другие страны | Требуется дополнительная оценка иностранного получателя, более строгий контроль |
Цели трансграничной передачи данных
Закон допускает передачу в следующих случаях: исполнение договора с участием субъекта данных (например, бронирование отеля), оказание услуг, обработка заказов и обычное деловое взаимодействие с иностранными партнёрами. Во всех случаях нужны правовые основания — согласие субъекта или иное законное основание.
Когда трансграничная передача персональных данных запрещена
Роскомнадзор может запретить передачу, если по результатам проверки установлено, что иностранный получатель не обеспечивает надлежащую защиту данных или существует угроза правам граждан России. Также запрет может последовать по представлению других государственных органов.
Передача без уведомления или в нарушение требований закона — самостоятельное основание для привлечения к ответственности.
Как уведомить Роскомнадзор о трансграничной передаче данных
Когда нужно подавать уведомление
Уведомление подаётся до начала передачи данных. Если условия передачи изменились — получатель, страна, цели — нужно подать новое уведомление.
Пошаговый порядок
Оцените иностранного получателя данных
Убедитесь, что контрагент или сервис обеспечивает защиту персональных данных. Проверьте их политику конфиденциальности, наличие сертификаций, условия обработки.
Определите страну передачи
Установите, в какую страну уходят данные. Для облачных сервисов это может быть несколько стран сразу.
Подготовьте сведения для уведомления
Цели передачи, правовые основания, сведения о иностранных получателях, результаты оценки уровня защиты.
Подайте уведомление в Роскомнадзор
Через портал РКН, Госуслуги или в бумажном виде. После этого можно начинать передачу.
Что указывается в уведомлении
В уведомлении нужно указать: цели передачи, правовые основания (согласие субъекта, договор и т.д.), сведения об иностранных получателях данных и результаты оценки уровня защиты в стране получателя.
Сколько уведомлений нужно подавать
Один оператор может подать одно уведомление, в котором перечислены все страны и получатели. Но если появляется новый получатель или меняется страна передачи — нужно уведомить РКН повторно.
Как Роскомнадзор рассматривает уведомление
Стандартный срок рассмотрения — 10 рабочих дней. Если регулятору нужны дополнительные сведения, срок приостанавливается до их получения. Результатом может быть принятие уведомления к сведению или направление запроса о несоответствиях.
Когда Роскомнадзор может запретить передачу данных
Запрет возможен, если по результатам проверки установлено, что передача угрожает безопасности данных российских граждан, или если поступило представление от уполномоченного государственного органа. В этом случае оператор обязан прекратить передачу немедленно.
Как работать с иностранными контрагентами после ужесточения требований
Прежде всего — проверять партнёров до начала работы. Убедиться, где физически хранятся данные, есть ли у сервиса возможность обрабатывать данные только на российских серверах.
Документировать передачу: фиксировать, кому, когда и на каком основании переданы данные. Это понадобится при проверке.
Рассмотреть локализацию: часть иностранных сервисов предлагает хранение данных в России. Это снимает вопрос о трансграничной передаче.
Ответственность за нарушение правил трансграничной передачи
За нарушение требований о трансграничной передаче предусмотрена административная ответственность. Штрафы могут составлять:
- До 100 000 рублей для юридических лиц за передачу без уведомления
- Запрет на обработку персональных данных по решению суда
- Судебные иски от субъектов данных при нарушении их прав
Практические примеры трансграничной передачи данных
Туристические услуги. Агентство передаёт имя, паспортные данные и контакты клиента иностранному отелю. Это трансграничная передача — но она допустима, если клиент подписал договор и дал согласие.
IT-аутсорсинг. Разработчики из другой страны получают доступ к базе пользователей. Нужно уведомить РКН и убедиться, что подрядчик соблюдает требования к защите данных.
Иностранные IT-сервисы. Компания использует Salesforce для ведения клиентов. Данные хранятся на серверах в США. Без уведомления РКН — нарушение.
Частые ошибки операторов персональных данных
-
Использование зарубежного ПО без уведомления. Самая распространённая ошибка. «Мы просто пользуемся сервисом» — не аргумент, если данные уходят за рубеж.
-
Отсутствие оценки иностранного контрагента. Нельзя просто указать в уведомлении получателя — нужно реально проверить, как он защищает данные.
-
Передача без надлежащего основания. Для передачи в страны без адекватной защиты одного уведомления недостаточно — нужно согласие субъекта или договорное основание.
-
Неправильное определение страны. Сервис зарегистрирован в Ирландии, но серверы — в США. Страной передачи считается та, где фактически обрабатываются данные.
Частые вопросы
Нужно ли уведомлять при использовании иностранного сервиса?
Можно ли передавать данные без согласия субъекта?
Нужно ли ждать ответа Роскомнадзора перед началом передачи?
Как проверить статус уведомления?
Коротко о главном
Если данные ваших пользователей уходят за пределы России — это трансграничная передача. С 2023 года перед её началом нужно уведомить Роскомнадзор.
Это касается не только очевидных случаев вроде передачи данных иностранному подрядчику, но и использования зарубежных аналитических сервисов, CRM, облачных хранилищ.
Уведомление подаётся до начала передачи. Ждать разрешения не нужно — достаточно факта подачи. Но игнорировать требование не стоит: это административная ответственность и риск запрета на обработку данных.