menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Что считать трансграничной передачей персональных данных: простое объяснение для бизнеса

лонгриды
13.01.2023
03/09/25
Б-152
Елизавета Воронова
Лонгриды
События /
Что считать трансграничной передачей персональных данных
Можно ли пользоваться облачными сервисами? А если мой подрядчик работает из-за границы? А если сотрудник уехал в Армению и работает оттуда? Мы нарушаем закон?
Эти вопросы мы слышим каждый день от директоров, IT-команд, HR и юристов. Ответ не всегда очевиден, но вот что важно: с 2023 года даже случайный доступ к персональным данным из-за границы без уведомления Роскомнадзора — это нарушение закона, за которое грозят штрафы до 300 000 рублей.
Разбираемся, что такое трансграничная передача персональных данных и как сделать так, чтобы у вашей компании было всё в порядке.
Что вообще такое трансграничная передача?
Примеры ситуаций, которые считаются трансграничной передачей
Содержание
Что трансграничной передачей не считается
А что говорит закон?
Что будет, если не соблюдать требования
Что нужно сделать бизнесу, чтобы избежать штрафов
Вывод
Что вообще такое трансграничная передача?
Примеры ситуаций, которые считаются трансграничной передачей
Содержание
Что трансграничной передачей не считается
А что говорит закон?
Что будет, если не соблюдать требования
Что нужно сделать бизнесу, чтобы избежать штрафов
Вывод

Что вообще такое трансграничная передача?

Трансграничной передачей считается любая передача персональных данных на территорию другого государства иностранному лицу. При этом даже не обязательно «передавать», достаточно предоставить доступ.
То есть: если человек, подрядчик, система или сервер находятся за пределами России и могут получить доступ к персональным данным — это трансграничная передача.

Примеры ситуаций, которые считаются трансграничной передачей

1. Вы подписали договор с иностранной компанией, и в этом договоре есть ФИО, паспортные данные или e-mail ваших сотрудников или клиентов.
2. Вы пользуетесь зарубежными сервисами:
  • Google Analytics (он отслеживает поведение пользователей и собирает их идентификаторы);
  • Sendinblue, Mailchimp, Trello, Notion, Slack, Asana — любые сервисы с иностранной юрисдикцией, где есть персональные данные.
3. Ваши данные хранятся в зарубежном дата-центре: AWS в Германии, Hetzner, GCP в США — все это трансграничка.
4. К вашим системам подключается подрядчик, находящийся за границей — даже если он просто заглядывает в CRM из Таиланда.
5. Удаленный сотрудник по ГПХ живет за границей и работает с клиентскими заявками.

Что трансграничной передачей не считается

При обсуждении трансграничной передачи персональных данных важно чётко различать, какие ситуации действительно подпадают под регулирование статьи 12 закона № 152‑ФЗ, а какие формально не считаются трансграничной передачей и, следовательно, не требуют выполнения дополнительных условий (например, получения отдельного согласия или уведомления Роскомнадзора).
Вот случаи, которые не считаются трансграничной передачей в понимании закона:
  • Если сотрудник компании находится за границей, но продолжает работать в российской организации и подключается к ее внутренним информационным системам (например, CRM, ERP, база кадровых данных), это не трансграничная передача. Он не получает данные как третье лицо, он — часть внутреннего бизнес-процесса. Такие действия являются частью допустимой внутренней обработки, независимо от географического положения субъекта.
  • Если вы передаёте данные своему зарубежному филиалу или представительству, которое не имеет статуса отдельного юридического лица, это также не трансграничная передача. Передача между структурными подразделениями одной и той же компании, даже если они расположены в разных странах, не попадает под определение, закрепленное в пункте 11 статьи 3 закона № 152‑ФЗ.
  • Если сам субъект данных по своей инициативе отправил свои данные за границу (допустим, заполнил форму на сайте иностранной компании или сервиса), это уже не относится к ответственности российского оператора. В этом случае инициатором передачи выступает сам субъект, а не организация, действующая как оператор ПДн.
  • Если иностранная компания самостоятельно собирает данные через свои инструменты (пользователь взаимодействует с ресурсами Facebook, Google, LinkedIn и т. д., и передает туда данные напрямую), это не считается трансграничной передачей со стороны российской компании, если та не участвует в передаче данных и не инициирует ее. Ответственность за обработку в этом случае лежит на иностранной компании, выступающей как самостоятельный оператор.

А что говорит закон?

С 1 марта 2023 года в России вступил в силу обновленный порядок трансграничной передачи персональных данных, который значительно ужесточил требования к операторам. Теперь передача персональных данных за границу не может быть начата без предварительного уведомления Роскомнадзора, даже если вы уже ранее уведомляли о самой обработке ПДн.
Закон требует от оператора следующих действий:
Оба уведомления подаются через электронную систему Роскомнадзора — реестр pd.rkn.gov.ru, где компания проходит идентификацию и предоставляет всю требуемую информацию: цели передачи, категории передаваемых данных, сведения о получателе, перечень применяемых мер защиты и страну-получателя.
Во-первых, необходимо подать два отдельных уведомления в реестр Роскомнадзора:
  1. Общее уведомление об обработке персональных данных (если вы ранее его не подавали или если в обработке появились новые цели/категории);
  2. Отдельное уведомление о намерении осуществлять трансграничную передачу персональных данных.
  • Если это страна, признанная Роскомнадзором как обеспечивающая адекватную защиту прав субъектов ПДн (например, Беларусь, Казахстан, Армения, КНР), передача может начаться сразу после подачи уведомления без ожидания одобрения.
  • Если же страна не включена в перечень адекватных юрисдикций (например, США), оператору придётся ждать 10 рабочих дней с момента подачи уведомления. В течение этого срока Роскомнадзор может либо дать «молчаливое согласие», либо запретить передачу, если посчитает, что защита данных в принимающей стране недостаточна или есть риск нарушения прав субъекта.
Далее, необходимо оценить, насколько безопасно контрагент за рубежом сможет защитить передаваемые ему данные. Это обязанность оператора: он несет ответственность за выбор получателя и за проверку достаточности правового режима в принимающей стране.
Таким образом, с 1 марта 2023 года действует разрешительный порядок трансграничной передачи. Невыполнение этих требований рассматривается как самостоятельное нарушение закона № 152‑ФЗ и влечет административную ответственность по ст. 13.11 КоАП РФ.
Ключевым фактором является страна, в которую передаются данные:

Что будет, если не соблюдать требования

Если компания нарушает порядок трансграничной передачи персональных данных, последствия могут быть как финансовыми, так и репутационными. Вот как это выглядит на практике:
Если данные были переданы за границу без предварительного уведомления Роскомнадзора, компанию могут оштрафовать. Это административное правонарушение по статье 13.11 КоАП РФ.
Если вы использовали иностранные сервисы для обработки персональных данных, не проведя оценку рисков и не оформив передачу должным образом, это может стать основанием для внеплановой проверки со стороны Роскомнадзора. Особенно если при этом отсутствует уведомление или нет локального хранилища данных.
Если произошла утечка персональных данных за рубеж, санкции будут значительно строже: по статье 13.11 возможен штраф до 15−25 миллионов рублей, а при повторном нарушении или крупном масштабе — до 3% от годовой выручки компании. Кроме того, такие инциденты могут сопровождаться публичным резонансом, падением доверия клиентов и блокировкой сервисов.

Что нужно сделать бизнесу, чтобы избежать штрафов

Генеральному директору
Руководитель компании несет финальную ответственность перед регулятором, поэтому он должен убедиться, что все обязательства по уведомлению выполнены:
В условиях ужесточения регулирования и роста штрафов за нарушения при обработке и передаче персональных данных, бизнесу необходимо не просто быть в курсе требований закона № 152‑ФЗ, но и выстроить устойчивую систему ответственности и контроля. Вот какие действия критически важны для каждого блока управления:
Финансовому директору
Защита персональных данных требует ресурсов. Необходимо запланировать бюджет на обеспечение безопасности: ориентир — не менее 0,1% от годовой выручки для компаний с крупными массивами данных.
Кроме того, при выборе подрядчиков (включая ИТ, маркетинг, поддержку, облачные сервисы) нужно добавить в стандартную проверку пункт о соблюдении требований ПДн, включая наличие договора с поручением обработки и трансграничную оценку (если актуально).
— подано уведомление об обработке ПДн в Роскомнадзор;
— при необходимости оформлено отдельное уведомление о трансграничной передаче.
Также важно назначить ответственное лицо за организацию обработки персональных данных. Это может быть HR-директор, юрист, ИТ-специалист или выделенный DPO (если есть).
Руководителю международного проекта
Работа с зарубежными партнерами требует особого внимания. Нужно удостовериться, что все сервисы и подрядчики, получающие доступ к ПДн, прошли оценку условий трансграничной передачи.
Это включает: проверку страны-получателя, подачу уведомления в Роскомнадзор, наличие договорных обязательств по защите данных и, при необходимости, согласие субъекта.
HR и кадровику
Отдел кадров работает с полным набором ПДн сотрудников, кандидатов и подрядчиков. Здесь важно:
— перепроверить все формы согласий на обработку ПДн, включая отдельные цели (например, публикации, передача в ФСС, ЭДО и др.);
— не забыть о фрилансерах и удаленных работниках за границей, если они обрабатывают или получают доступ к ПДн, это тоже должно быть оформлено юридически и технически.
IT-отделу и DPO
Технические специалисты и специалисты по защите ПДн должны знать, как именно устроена работа с данными:
— составить карту потоков персональных данных: какие данные, откуда и куда поступают, кто к ним имеет доступ, в какой форме и с какими правами;
— проверить, где физически и логически хранятся данные: в каких системах, на каких серверах, в каких юрисдикциях;
— оформить уведомление о трансграничной передаче, если такие потоки есть, и провести оценку условий защиты данных у подрядчиков (в т.ч. через договор и правовую экспертизу).

Вывод

Трансграничная передача персональных данных стала не просто термином из закона, а реальным фактором риска для бизнеса. Вы можете даже не подозревать, что нарушаете закон, достаточно использовать зарубежный сервис без уведомления, или не учитывать, что подрядчик из другого государства получил доступ к базе.
Хорошая новость в том, что вся процедура давно описана. Уведомили Роскомнадзор, провели оценку, оформили документы и спокойно продолжаете работу.
Не знаете, попадает ли ваш кейс под трансграничную передачу?
Мы поможем разобраться, подскажем, как подать уведомление, и оформим все документы. Обратитесь за консультацией.
ОСТАВИТЬ ЗАЯВКУ
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме