Компания подключает зарубежную CRM, настраивает рассылку через американский сервис или нанимает разработчиков из другой страны. В какой-то момент выясняется, что данные клиентов уходят за пределы России — и это не просто технический факт, а юридическое событие, которое требует действий.
С 2022 года порядок изменился: передавать персональные данные за рубеж без предварительного уведомления Роскомнадзора нельзя. Не после подключения сервиса, не в течение месяца — а до начала передачи.
Разбираемся, что именно считается трансграничной передачей, как подаётся уведомление и что происходит, если его не подать.
Что считается трансграничной передачей персональных данных
Трансграничная передача — это любая ситуация, когда персональные данные граждан России физически или логически перемещаются на серверы, расположенные в другой стране, либо становятся доступны иностранной компании или физическому лицу.
Не важно, как это происходит технически: через API, синхронизацию баз данных, доступ к облачному хранилищу или просто отправку файла по email.
Иностранные SaaS-сервисы
Подключение зарубежной CRM, helpdesk, email-платформы или аналитики, где хранятся имена, email-адреса и телефоны клиентов. Данные уходят на серверы компании в другой стране — это передача.
Зарубежные подрядчики и разработчики
Если иностранная компания или фрилансер получает доступ к базе клиентов, участвует в обработке заказов или поддержке пользователей — это тоже передача персональных данных.
Облачные хранилища с зарубежными серверами
Даже если компания сама управляет данными, но хранит их на серверах, физически расположенных за рубежом, — формально это передача. Нужно смотреть на то, где находятся серверы, а не кто ими управляет.
Иностранные материнские или дочерние компании
Передача данных внутри холдинга через границу подпадает под те же требования. Родственные отношения между компаниями не освобождают от обязанности уведомить регулятора.
Спорные ситуации возникают, когда сервис формально зарегистрирован в России, но его серверы физически находятся в другой стране. Или когда иностранная компания обрабатывает данные исключительно по поручению российского оператора без самостоятельного доступа.
В таких случаях юридическая квалификация зависит от деталей: где фактически хранятся данные, кто и в каком объёме имеет к ним доступ, есть ли у иностранной стороны право использовать их самостоятельно.
Когда передача не признаётся трансграничной
Транзитная передача данных — когда они просто проходят через серверы другой страны без хранения и обработки — формально не считается трансграничной. Также не является передачей ситуация, когда иностранная сторона действует строго как технический провайдер без доступа к содержимому данных.
Правовое регулирование и изменения последних лет
До 2022 года требования к трансграничной передаче данных существовали, но были мягче: оператор мог передавать данные, убедившись, что в стране назначения обеспечена адекватная защита прав субъектов.
В сентябре 2022 года в 152-ФЗ внесли существенные изменения. Появилась обязанность предварительного уведомления: оператор обязан сообщить в Роскомнадзор о намерении осуществлять трансграничную передачу до её начала — и получить отсутствие запрета или разрешение.
Логика изменений — усилить контроль за тем, куда и как уходят данные российских граждан. Регулятор получил право приостанавливать или запрещать передачу, если условия не соответствуют требованиям закона.
Обязанность уведомить Роскомнадзор не зависит от того, включён ли оператор в реестр операторов персональных данных. Это отдельные требования. Реестр — общая обязанность оператора, уведомление о трансграничной передаче — специальная, которая возникает при конкретных обстоятельствах. Подробнее о том, как устроена обработка персональных данных на сайте.
Условия допустимости передачи за границу
Закон делит все страны на две категории в зависимости от того, как там обеспечивается защита персональных данных.
| Категория страны | Примеры | Условия передачи |
|---|---|---|
| Страны с адекватной защитой | Страны — члены Конвенции Совета Европы № 108, государства из перечня Роскомнадзора | Передача допустима после уведомления. Дополнительных оснований не требуется |
| Прочие страны | США, Китай, страны, не включённые в перечень | Требуется согласие субъекта, исполнение договора или иное законное основание. Уведомление обязательно |
Перечень государств с адекватным уровнем защиты публикует Роскомнадзор. Список периодически обновляется, поэтому перед подачей уведомления стоит проверить актуальную версию на сайте ведомства.
Согласие субъекта как основание для передачи в страны без адекватной защиты — рабочий инструмент, но с ограничениями. Согласие должно быть добровольным, конкретным и информированным: пользователь должен понимать, в какую страну и зачем уходят его данные. Получить такое согласие формально несложно, но хранить и доказывать его — отдельная задача. Подробнее о том, как оформить согласие на обработку персональных данных для форм на сайте.
Обязанности оператора до подачи уведомления
Уведомление — не первый шаг, а финальный этап подготовки. Перед его подачей оператор обязан провести оценку иностранного получателя и зафиксировать результаты.
Запросить сведения у иностранного получателя
Оператор должен выяснить, какое законодательство о персональных данных действует в стране получателя, какие меры безопасности применяются и на каких условиях данные будут обрабатываться. Это не формальность: в уведомлении потребуется указать дату проведения оценки.
Зафиксировать результаты оценки
Достаточно внутреннего документа: акта или справки с описанием того, что было изучено, каков вывод и на чём он основан. Документ может потребоваться при проверке или запросе от Роскомнадзора.
Определить правовое основание
Для стран с адекватной защитой достаточно самого факта передачи с уведомлением. Для прочих стран нужно заранее определить основание: согласие пользователя, договор, жизненно важные интересы и т.д.
Принять внутренние организационные меры
Назначить ответственного за обработку данных, при необходимости обновить внутренние регламенты и политику конфиденциальности — чтобы в ней отражалась информация о трансграничной передаче.
Как подать уведомление о намерении осуществлять трансграничную передачу
Уведомление подаётся в Роскомнадзор до начала передачи данных. Это принципиальный момент: не в течение нескольких дней после начала работы с зарубежным сервисом, а именно заранее.
Существует два способа подачи.
Электронная форма через Бпортал Роскомнадзора
Основной способ. Форма размещена на сайте ведомства в разделе, посвящённом операторам персональных данных. Для подачи нужна электронная подпись организации или индивидуального предпринимателя.
Подача на бумаге
Допускается, но менее удобна. Уведомление направляется в территориальный орган Роскомнадзора или в центральный аппарат. Подписывается руководителем организации или уполномоченным лицом.
Уведомление от имени юридического лица подписывает руководитель или лицо, действующее по доверенности. Для ИП — сам предприниматель. Использование электронной подписи сотрудника без надлежащей доверенности может стать основанием для отказа в рассмотрении.
Как заполняется уведомление
Форма уведомления включает несколько обязательных блоков. Ошибки или пропуски в любом из них могут стать основанием для приостановления рассмотрения и запроса дополнительных сведений.
Сведения об операторе
Полное наименование организации или ФИО индивидуального предпринимателя, ИНН, адрес, контактные данные. Для юридических лиц — ОГРН.
Цели передачи
Конкретно и без обобщений: «техническая поддержка клиентов через платформу Zendesk», «хранение данных о заказах в облачной CRM», «маркетинговая рассылка через сервис Mailchimp». Формулировки «для деловой деятельности» или «в коммерческих целях» не подходят.
Категории субъектов и данных
Кто субъекты: клиенты, сотрудники, пользователи сайта. Какие данные: имена, email-адреса, телефоны, адреса доставки. Не нужно перечислять всё подряд — только то, что реально передаётся.
Правовые основания
Для стран с адекватной защитой — ссылка на перечень Роскомнадзора. Для прочих — конкретное основание: согласие субъекта, исполнение договора, жизненно важные интересы и т.д.
Дата завершения оценки иностранного получателя
Конкретная дата, когда была проведена проверка. Это подтверждает, что оператор выполнил предварительную оценку, а не просто подаёт уведомление «по факту» подключения сервиса.
Типичные ошибки при заполнении
Расплывчатые цели передачи
«Для осуществления деятельности» или «в рамках бизнес-процессов» — это не цели. Нужно указывать конкретную функцию: поддержка, аналитика, хранение заказов.
Неверные или устаревшие сведения об операторе
Несовпадение наименования, ИНН или адреса с данными в ЕГРЮЛ приведёт к отказу или запросу пояснений.
Отсутствие даты оценки получателя
Без этой даты уведомление не будет считаться поданным корректно. Роскомнадзор может запросить подтверждение проведения оценки.
Неправильно указана страна получателя
Нужно указывать страну, где фактически находятся серверы или где зарегистрирован получатель — а не страну юрисдикции материнской компании.
Сколько уведомлений требуется в разных ситуациях
Закон не запрещает включать в одно уведомление несколько стран и несколько целей — если это логически связанные операции с данными одного типа.
Например, если компания передаёт данные клиентов в три страны в рамках единой системы поддержки, это может быть одно уведомление. Но если параллельно ведётся отдельный проект с принципиально другими целями и другими категориями данных — лучше подать отдельное.
При изменении целей или добавлении новых стран назначения нужно подавать новое уведомление. Корректировка существующего не предусмотрена — подаётся актуализированное уведомление, которое описывает текущую ситуацию.
Если компания подключила новый зарубежный сервис или расширила географию передачи данных — это не «изменение» к старому уведомлению, а повод для нового. Каждая новая операция передачи, не охваченная предыдущим уведомлением, требует отдельного документа.
Рассмотрение уведомления и возможные решения
После подачи уведомление рассматривается Роскомнадзором. Сроки и возможные результаты прямо влияют на то, когда оператор может начать передачу данных.
Сроки проверки
Роскомнадзор рассматривает уведомление в течение 10 рабочих дней. Если ведомство не направило запрет или запрос на дополнительную информацию в этот срок, передача данных считается допустимой.
Запрос дополнительной информации
Если уведомление неполное или требует пояснений, Роскомнадзор направляет запрос. Срок рассмотрения в этом случае приостанавливается до получения ответа.
Ограничение или запрет передачи
Если ведомство установит, что передача нарушает права субъектов или условия закона, оно вправе запретить или ограничить её. Оператор получает соответствующее решение и обязан его исполнить.
На практике большинство уведомлений проходят без осложнений, если поданы корректно и до начала передачи. Проблемы возникают, когда ведомство обнаруживает, что передача уже ведётся, или когда цели явно не соответствуют заявленным.
Ответственность за неуведомление и иные нарушения
С 2024 года санкции за нарушения в сфере персональных данных существенно выросли. Трансграничная передача без уведомления входит в число нарушений, за которые предусмотрены значительные штрафы.
| Нарушение | Санкция |
|---|---|
| Трансграничная передача без уведомления Роскомнадзора | 100 000 — 300 000 ₽ |
| Передача данных вопреки запрету Роскомнадзора | до 1 000 000 ₽ |
| Повторное нарушение | до 1 500 000 ₽ |
| Несоблюдение требований при передаче в страну без адекватной защиты | 100 000 — 300 000 ₽ |
Помимо штрафов, Роскомнадзор может потребовать приостановить обработку данных до устранения нарушений. Для бизнеса, который критически зависит от иностранных IT-сервисов, это может означать остановку части операций.
Репутационный риск не менее ощутим: публичные сведения о нарушениях в сфере персональных данных сложно нивелировать, особенно для компаний, работающих с массовой аудиторией.
Проверить, нет ли у вашего сайта нарушений требований о персональных данных, можно через проверку сайта на нарушение закона ФЗ-152.
Практические рекомендации для работы с иностранными контрагентами
Уведомление — это только одна часть работы. Параллельно нужно выстроить договорную базу и внутренние процессы, которые обеспечивают реальную защиту данных при их передаче.
Договорные механизмы защиты
В договоре с иностранным контрагентом стоит прямо прописать обязательства по защите персональных данных: какие меры применяются, как реагировать на инциденты, что происходит при расторжении договора. Это и юридическая защита, и документальное подтверждение того, что оператор провёл оценку получателя.
Условия о конфиденциальности и безопасности
Если иностранная сторона является обработчиком данных (действует по поручению), ей нельзя передавать данные третьим лицам без разрешения. Это условие нужно прямо включить в соглашение и регулярно контролировать его соблюдение.
Контроль использования зарубежных IT-сервисов
Важно вести реестр подключённых иностранных сервисов, которые имеют доступ к персональным данным. Нередко такие подключения делаются на уровне отдельных сотрудников или отделов без участия юридического или IT-отдела — и в итоге данные уходят за рубеж незамеченно.
Внутренний аудит и актуализация документов
Проводить аудит стоит минимум раз в год или при существенных изменениях: смене подрядчиков, добавлении новых инструментов, расширении рынков сбыта. Итоги аудита — повод обновить уведомления и внутреннюю документацию.
Также стоит убедиться, что политика конфиденциальности сайта актуально отражает факт трансграничной передачи: в каких странах могут находиться данные, на каком основании они туда передаются. Пользователь должен иметь возможность прочитать об этом до того, как оставит свои данные. Образец можно посмотреть на странице образец политики конфиденциальности для сайта.
Частые вопросы
Нужно ли уведомлять, если зарубежный сервис просто обрабатывает платежи?
Можно ли начать использовать иностранный сервис сразу после подачи уведомления?
Что делать, если иностранный сервис уже используется, а уведомление не подавалось?
Нужно ли уведомлять, если данные передаются только сотрудникам зарубежного представительства той же компании?
Можно ли в одном уведомлении указать несколько стран и несколько сервисов?
Как часто нужно обновлять уведомление?
Главное
Трансграничная передача персональных данных — это не только подключение зарубежного сервиса. Любая ситуация, когда данные российских пользователей оказываются доступны иностранной стороне или хранятся на серверах в другой стране, требует уведомления Роскомнадзора.
Уведомление подаётся до начала передачи. После подачи нужно выждать 10 рабочих дней — если ведомство не направило запрет, можно начинать работу.
Параллельно с уведомлением важно выстроить договорную базу с иностранными контрагентами, вести реестр зарубежных сервисов с доступом к данным и регулярно проверять актуальность документации. Подробнее об общих требованиях к трансграничной передаче персональных данных.