Трансграничная передача персональных данных: правила

Трансграничная передача персональных данных — это передача ПДн на территорию иностранного государства органу власти, физическому или юридическому лицу иностранного государства. Определение дано в ст. 3 закона 152-ФЗ.

Примеры трансграничной передачи: хранение данных клиентов на зарубежных серверах (AWS, Google Cloud), использование иностранных CRM-систем (Salesforce, HubSpot), отправка данных сотрудников в головной офис за рубежом.

Важно: использование зарубежных облачных сервисов для обработки ПДн российских граждан также считается трансграничной передачей, даже если сервер физически находится в России, но оператором является иностранная компания.

С 1 марта 2023 года (закон 266-ФЗ) вступил в силу обновлённый порядок трансграничной передачи. Передача допускается в страны, обеспечивающие адекватную защиту прав субъектов ПДн (перечень утверждён Приказом Роскомнадзора).

В остальные страны передача возможна при наличии письменного согласия субъекта или при наличии договора между оператором и иностранным получателем, содержащего обязательства по защите ПДн. Также допускается передача для исполнения договора с субъектом.

Роскомнадзор вправе запретить или ограничить трансграничную передачу в конкретную страну, если установит, что права субъектов ПДн не обеспечиваются надлежащим образом.

Роскомнадзор утвердил перечень стран, обеспечивающих адекватную защиту прав субъектов ПДн. В него входят все государства — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке данных (Конвенция 108).

Среди стран с адекватной защитой: государства Евросоюза, Великобритания, Швейцария, Турция, Сербия, Аргентина, Уругвай, Сенегал и ряд других. Полный перечень публикуется на сайте Роскомнадзора.

Обратите внимание: США, Китай, ОАЭ, Индия не входят в перечень стран с адекватной защитой. Передача данных в эти страны требует дополнительных оснований и мер.

Согласие на трансграничную передачу должно быть конкретным, информированным и сознательным. Субъект должен знать, в какую страну и кому передаются его данные, с какой целью и какие именно данные передаются.

Согласие оформляется отдельным документом или включается в общее согласие на обработку ПДн отдельным пунктом. Недопустимо скрывать информацию о трансграничной передаче в объёмных пользовательских соглашениях мелким шрифтом.

Субъект вправе отозвать согласие в любой момент. При отзыве оператор обязан прекратить передачу данных за рубеж. Если передача необходима для исполнения договора с субъектом, она может продолжаться без согласия.

С 1 марта 2023 года оператор обязан уведомить Роскомнадзор о намерении осуществлять трансграничную передачу до её начала. Уведомление подаётся через портал pd.rkn.gov.ru или в бумажной форме.

В уведомлении указываются: страна назначения, наименование иностранного получателя, цели передачи, категории передаваемых данных, правовое основание, сведения о мерах защиты у получателя.

Роскомнадзор рассматривает уведомление в течение 10 рабочих дней. По результатам может разрешить передачу, запросить дополнительную информацию или вынести решение о запрете передачи в конкретную страну.

Незаконная трансграничная передача ПДн влечёт административную ответственность по ст. 13.11 КоАП РФ. Штраф для юридических лиц составляет от 30 000 до 150 000 рублей, при повторном нарушении — до 500 000 рублей.

Роскомнадзор вправе вынести предписание о прекращении передачи данных за рубеж. Неисполнение предписания влечёт дополнительный штраф и риск блокировки сервиса на территории России.

Особенно внимательно следует отнестись к требованию локализации баз данных (ч. 5 ст. 18 152-ФЗ): при сборе ПДн граждан РФ запись, систематизация и хранение должны осуществляться на территории России. Нарушение этого требования может повлечь блокировку ресурса.