menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2025
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Почему соблюдение 152-ФЗ – это не опция, а необходимость?

лонгриды
13.01.2023
16/03/26
Б-152
Лонгриды
События /
Почему соблюдение 152-ФЗ – это не опция, а необходимость?
Данные — это новая нефть. Такое утверждение становится все более и более актуальным с каждым годом.
Особую ценность для бизнеса имеют персональные данные. Они представляют стратегическую ценность для бизнеса, поскольку являются основой для персонализации услуг, точного таргетирования рекламы и оптимизации клиентского опыта, что напрямую влияет на повышение конверсии, лояльности и доходности. 
Корректное управление данными обеспечивает соответствие законодательным требованиям и минимизирует репутационные и операционные риски, трансформируя информацию в капитализируемый актив компании.
Важно понимать: под действие закона подпадает не только гигантская корпорация с миллионной клиентской базой, но и небольшой интернет-магазин, собирающий телефоны для обратной связи, и даже ИП, нанимающий первого сотрудника. Несоблюдение требований ведет к серьезным рискам: административные штрафы по ст. 13.11 КоАП РФ достигают 500 000 рублей для юридических лиц, не говоря о репутационных потерях и исках от граждан.
Эта статья — пошаговый гид по ключевым требованиям 152-ФЗ, который поможет вам выстроить легальную и безопасную работу с персональными данными.
Понятие трансграничной передачи персональных данных
Критерий № 1. Персональные данные
Содержание
Критерий № 2. Иностранное лицо
Критерий № 3. Территория иностранного государства
Правовые основания осуществления трансграничной передачи ПДн
Чек-лист при осуществлении трансграничной передачи ПДн
Заключение
Понятие трансграничной передачи персональных данных
Критерий № 1. Персональные данные
Содержание
Критерий № 2. Иностранное лицо
Критерий № 3. Территория иностранного государства
Правовые основания осуществления трансграничной передачи ПДн
Чек-лист при осуществлении трансграничной передачи ПДн
Заключение
Определите цели обработки персональных данных (далее также — ПДн)

С чего начать?

В соответствии с ч. 1 ст. 5 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее также — ФЗ-152) обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.
Что подразумевает под данным положением законодатель? Лицо, прочитав ваш документ, регулирующий процессы обработки персональных данных в вашей компании, должно четко понимать, для реализации какой именно цели вы запрашиваете у него персональные данные. Нельзя писать размытые и широкие формулировки, не дающие субъектам полное представление о том, как именно их информация будет использована. 
Примеры плохих формулировок:
  • Повышение эффективности работы компании
  • Для любых целей, не запрещенных законом
  • Обеспечение деятельности компании
Такие формулировки являются слишком широкими и абстрактными, т.к. субъекту персональных данных неясно, какие действия предпринимает оператор персональных данных для повышения эффективности своей деятельности или какими средствами и способами обеспечивает функционирование своей деятельности. 

Как формулировать цели?

1. Проведите аудит бизнес-процессов в вашей компании, для реализации которых вы обрабатываете персональные данные.
Трудоустройство сотрудников, подбор кандидатов на вакантные должности, аналитика поведения пользователей на сайте, страхование сотрудников, предоставление корпоративной связи, служебного транспорта и многие другие — во всех этих процессах так или иначе фигурируют персональные данные различных субъектов. 
2. Сформулируйте конкретную цель обработки персональных данных для каждого из этих бизнес-процессов.
Цель обработки персональных данных можно вывести из названия самого процесса и осуществляемых в ходе него действий.
3. Определите, данные каких субъектов обрабатываются для реализации той или иной цели.
К примеру, в процессе трудоустройства сотрудников могут обрабатываться данные не только самих сотрудников, а также и их родственников. Перечень лиц также можно включить в цель обработку персональных данных. 
К примеру, цель для формирования и ведения кадрового резерва так и обозначить «формирование и ведение кадрового резерва работников».
Для тех или иных процессов может быть необходимо подробное, но емкое описание осуществляемых в ходе процесса операций. Избегайте общих и размытых фраз!

Определите правовые основания обработки персональных данных (далее также — ПДн)

Бизнес часто прибегает к согласию на обработку персональных данных, игнорируя иные основания, установленные ФЗ-152. Согласия на обработку персональных данных (далее также — СОПД) берутся у субъектов ПДн и в том случае, когда на самом деле обработка персональных данных обеспечивается другими условиями (например, для исполнения требований законодательства). 
Подробнее о существующих правовых основаниях обработки персональных данных вы можете прочитать здесь (здесь нужно вставить гиперссылку на статью в блоге). 
Необходимо проанализировать каждый из бизнес-процессов на предмет выбора правового основания обработки персональных данных. К примеру, правовым основанием обработки персональных данных при трудоустройстве сотрудников будет являться п. 2 ч. 1 ст. 6 152-ФЗ — исполнение требований законодательства, а именно — требований Налогового кодекса РФ; Трудового кодекса РФ; Федерального закона № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования».
Если вы предоставляете услуги клиентам (физическим лицам) (например, по организации мероприятий), вы можете снять с себя необходимость собирать с клиентов согласия на обработку персональных данных, если включите в договор (оферту) с клиентом раздел, регулирующий порядок обработки персональных данных клиента. Правовым основанием в данном случае будет являться п. 5 ч. 1 ст. 6 ФЗ-152. 
На практике именно на этапе выбора правового основания бизнес чаще всего допускает критические ошибки: согласия используются на всякий случай, договоры не закрывают обработку, а обязанности по закону подменяются формальными документами.

Разработайте корректные формы согласий на обработку персональных данных

Выделите бизнес-процессы, в которых правовым основанием обработки персональных данных является согласие субъекта на обработку его персональных данных.
В соответствии с ч. 1 ст. 9 ФЗ-152 согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Какие реквизиты включить в согласие, чтобы оно соответствовало данному законодательному требованию? 
  • наименование оператора, его юридический адрес;
  • цель обработки персональных данных;
  • перечень персональных данных, подлежащих обработке;
  • сведения о третьих лицах, которым данные будут переданы;
  • описание действий с персональными данными (сбор, хранение, обработка, передача и др.);
  • информацию о третьих лицах, которым могут быть переданы персональные данные;
  • способы обработки персональных данных;
  • срок действия согласия и порядок его отзыва.
Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. 
Это означает, что не всегда обязательно получать согласие от субъекта исключительно в письменной форме, можно получить согласие устно (проблема может возникнуть лишь при доказывании факта получения этого согласия), чек-боксом на сайте и иными способами. 
Законодательно установлено требование получать именно письменное согласие по требованиям ч. 4 ст. 9 ФЗ-152 лишь в следующих случаях:
  1. согласие на включение персональных данных в общедоступные источники; 
  2. согласие на обработку специальных категорий ПДн; 
  3. согласие на обработку биометрических ПДн; 
  4. согласие на исключительно автоматизированную обработку ПДн, в результате которой принимаются юридически значимые решения в отношении субъекта ПДн; 
  5. согласие работника на передачу ПДн третьим лицам.
Необходимо отметить, что именно законодательство понимает под «письменной формой». 
В современном российском праве понятие «письменная форма» не ограничивается только традиционным бумажным документом с собственноручной подписью. В соответствии с ч. 4 ст. 9 152-ФЗ равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. 
Таким образом, компании могут оптимизировать процесс сбора согласий на обработку персональных данных и уменьшить количество бумажных документов посредством введения электронных форм согласий.
В таком случае согласие должно быть получено строго в соответствии с реквизитами, указанными в ч. 4 ст. 9 ФЗ-152, а именно: 
  • фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • фамилия, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  • наименование или фамилию, имя, отчество и адрес Оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись субъекта персональных данных.

Правовые основания осуществления трансграничной передачи персональных данных

До 1 марта 2023 года в 152-ФЗ был закреплен закрытый перечень правовых оснований (5 оснований), когда допускалось осуществление трансграничной передачи (ч. 4 ст. 12 152-ФЗ):
  • наличие письменного согласия на осуществление трансграничной передачи ПДн субъекта ПДн;
  • в предусмотренных международными договорами РФ случаях;
  • в целях защиты основ конституционного строя, обеспечения обороны страны и безопасности государства, защита интересов личности, общества, государства в сфере транспортного комплекса и если это предусмотрено федеральными законами;
  • исполнение договора, стороной которого является субъект ПДн;
  • в целях защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
Одним из наиболее часто используемых оснований являлось наличие согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн, поскольку 4 (четыре) иных основания предполагали наличие особых обстоятельств.
После 1 марта 2023 года из ФЗ-152 была исключена ч. 4, устанавливающая особые требования к обеспечению правовых оснований для трансграничной передачи (например получение согласия на обработку персональных данных в письменной форме). 
На данный момент осуществлять трансграничную передачу персональных данных субъекта можно в случае, если присутствует любое из оснований, предусмотренных ч. 1 ст. 6 ФЗ-152. Подробно правовые основания обработки персональных данных мы рассматривали ранее (вставить гиперссылку на статью в блоге вместо ссылки на гугл док). Наиболее часто используемые основания — согласие субъекта персональных данных (ч. 1 ст. 6 ФЗ-152), требования законодательства или международных договоров (ч. 2 ст. 6 ФЗ-152), исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152).
Пример № 1. Стоматологическая клиника оказывает услуги по изготовлению авторских элайнеров своим клиентам. Элайнеры изготавливаются иностранной компанией, расположенной в США, для чего клиника передает персональные данные клиента (фото-снимки и КТ зубного ряда клиента) в адрес иностранной компании.
В данном случае трансграничная передача персональных данных осуществляется для целей исполнения договора оказания возмездных услуг (при условии фиксации в договоре условий и порядка осуществления передачи персональных данных клиента и указании субъекта персональных данных (клиента) в качестве выгодоприобретателя или стороны по договору) (п. 5 ч. 1 ст. 6 ФЗ-152)
Пример № 2.  Пользователь приложения заказывает на российском маркетплейсе товары из-за рубежа. Маркетплейс передает его персональные данные иностранному продавцу, в т. ч. для целей таможенного оформления. В данном случае трансграничная передача персональных данных осуществляется для целей исполнения оферты маркетплейса на осуществление дистанционной купли-продажи товаров. (п. 5 ч. 1 ст. 6 ФЗ-152)
На практике сложности возникают не в выборе формального основания, а в деталях:
— корректно ли квалифицирована передача (особенно при облаках и доступе из-за рубежа),
— не подменяется ли трансграничная передача обычной передачей обработчику,
— достаточно ли договорной конструкции и уведомления Роскомнадзора под конкретную страну и сервис.
Как обезопасить себя до прихода регулятора
Разберите свою модель трансграничной передачи и документы, чтобы выявить слабые места заранее.
ОСТАВИТЬ ЗАЯВКУ

Чек-лист при осуществлении трансграничной передачи персональных данных

1. Проверка наличия вашей компании в Реестре операторов, осуществляющих обработку персональных данных
Подать Уведомление о намерении осуществлять трансграничную передачу персональных данных может лишь действующий Оператор, внесенный в Реестр Роскомнадзора. 
Если Уведомление Вами не подавалось, его необходимо направить по следующей форме. После того, как компания будет внесена в реестр операторов персональных данных, можно направлять уведомление о намерении осуществлять трансграничную передачу данных.
Убедитесь в наличии правового основания для трансграничной передачи персональных данных субъекта. 
2. Проверка наличия правового основания для осуществления трансграничной передачи
3. Определение страны, в которую планируется передавать персональные данные
Необходимо определить, обеспечивает ли страна, в которую планируется передавать персональные данные, адекватный уровень их защиты. 
Перечень «адекватных стран» устанавливается Роскомнадзором и включает в себя те страны, которые являются сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, или которые не являются сторонами Конвенции, но действующие нормы права которых, а также применяемые ими меры по обеспечению конфиденциальности и безопасности персональных данных при их обработке соответствуют положениям Конвенции.
На что это влияет? Если государство находится в указанном Перечне, Оператор вправе продолжить осуществлять трансграничную передачу персональных данных до принятия решения о запрете или об ограничении трансграничной передачи. Если государство не отнесено к «адекватным странам», необходимо будет подождать десять рабочих дней с даты поступления уведомления и продолжить осуществлять трансграничную передачу при условии отсутствия решения о запрете или об ограничении трансграничной передачи. 
4. Проведение оценки соблюдения конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке
Прежде чем отправлять уведомление, важно собрать необходимые сведения от иностранной стороны (это может быть как физическое или юридическое лицо, государственный орган), которой будут передаваться данные. Закон не устанавливает строгой формы, для проведения подобной оценки, главное отразить в ней сведения о:
1) сведения о принимаемых  мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
2) правовое регулирование в области персональных данных иностранного государства (при осуществлении трансграничной передачи в страны, не отнесенные к «адекватным»);
3) наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты иностранной стороны (физического или юридического лица, государственного органа).
Такие данные могут быть дополнительно запрошены Роскомнадзором, предоставлять их в уведомлении не нужно. 
Лайфхак: такую информацию о деятельности иностранного юридического лица в отношении обработки персональных данных можно в том числе собрать и с помощью политики обработки персональных данных, размещенной на его сайте.
  • Заполните форму уведомления о намерении осуществлять трансграничную передачу персональных данных. Образец заполнения размещен на сайте Роскомнадзора.
  • Направьте уведомление в электронном виде через портал Госуслуг. У Вас должна быть подтвержденная учетная запись. В случае если Вы подаете уведомление за организацию, ваша учетная запись должна быть привязана к данной организации на портале Госуслуг.  Если же у вас нет подобной учетной записи, подать уведомление можно в бумажной форме.
5. И, наконец, подача уведомления о намерении осуществлять трансграничную передачу персональных данных!

Заключение

Трансграничная передача данных сегодня — такой же обязательный элемент корпоративного compliance, как налоговая отчетность или трудовая документация. 
Инвестируя время в выстраивание этого процесса, компания не просто избегает штрафов, но и защищает свои деловые отношения, обеспечивая бесперебойное международное взаимодействие и укрепляя доверие клиентов и партнеров.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
В нашем Telegram-канале мы регулярно разбираем практику по трансграничной передаче:
— как Роскомнадзор квалифицирует облака, VPN и удаленный доступ,
— какие страны фактически считаются проблемными на практике,
— типовые ошибки в уведомлениях и оценке мер защиты,
— кейсы ограничений и запретов трансграничной передачи.

Подписаться на канал.
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме