Открыть сервис

Адекватный уровень защиты

Адекватный уровень защиты — это правовая и техническая категория, обозначающая степень защищённости персональных данных, которая признаётся достаточной для их обработки, передачи и хранения в соответствии с требованиями законодательства о защите персональных данных. Понятие широко используется в контексте международной передачи данных, когда одна юрисдикция (например, страна или регион) признаёт, что законодательство другой страны обеспечивает уровень защиты, сопоставимый с её собственным. В России термин закреплён в Федеральном законе «О персональных данных» (№ 152-ФЗ) и применяется при трансграничной передаче данных.

История и правовое основание

Предпосылки возникновения

Необходимость введения понятия «адекватный уровень защиты» возникла с развитием глобальных информационных сетей и трансграничного обмена данными. В 1980 году Организация экономического сотрудничества и развития (ОЭСР) приняла «Руководящие принципы защиты неприкосновенности частной жизни и трансграничных потоков персональных данных», которые заложили основы для оценки защищённости данных в разных странах. В Европейском союзе ключевым актом стала Директива 95/46/EC, введшая концепцию «адекватного уровня защиты» для передачи данных в третьи страны. После вступления в силу Общего регламента по защите данных (GDPR) в 2018 году эта концепция была сохранена и уточнена.

Развитие в России

В Российской Федерации понятие «адекватный уровень защиты» впервые было закреплено в Федеральном законе № 152-ФЗ от 27 июля 2006 года. Закон установил, что трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется без дополнительных ограничений. Перечень таких государств первоначально определялся уполномоченным органом — Роскомнадзором. С 1 сентября 2015 года вступили в силу поправки, ужесточившие требования к хранению персональных данных граждан РФ на серверах, расположенных на территории России (так называемый закон о локализации данных), но концепция адекватного уровня защиты при трансграничной передаче сохранилась.

Критерии адекватного уровня защиты

Общие принципы

Для признания уровня защиты адекватным необходимо, чтобы законодательство иностранного государства соответствовало ряду критериев, установленных российским законодательством. Основные критерии перечислены в статье 19 Федерального закона № 152-ФЗ и подзаконных актах:

  • Наличие правового регулирования: в стране должны действовать законы, прямо регулирующие обработку персональных данных, включая права субъектов (доступ, исправление, удаление данных) и обязанности операторов.
  • Независимый надзор: функционирование государственного органа или уполномоченной организации, контролирующей соблюдение законодательства о персональных данных.
  • Ответственность за нарушения: установление административной, гражданской или уголовной ответственности за неправомерную обработку или утечку данных.
  • Защита прав субъектов: возможность для граждан обращаться в суд или надзорный орган для восстановления нарушенных прав.

Дополнительные требования

В соответствии с рекомендациями Роскомнадзора, при оценке адекватности уровня защиты учитываются также международные обязательства страны, её участие в Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108) и наличие механизмов взаимного признания решений надзорных органов.

Перечень стран с адекватным уровнем защиты

Утверждённый список

Роскомнадзор на основе анализа законодательства иностранных государств формирует и публикует перечень стран, обеспечивающих адекватную защиту персональных данных. По состоянию на 2025 год в него входят государства — члены Европейской экономической зоны (ЕЭЗ), а также ряд других стран, включая:

Полный перечень утверждается приказом Роскомнадзора и регулярно обновляется. Страны, не входящие в этот список, считаются не обеспечивающими адекватного уровня защиты, что налагает дополнительные ограничения на передачу данных.

Особые случаи

Для некоторых государств, таких как США, адекватный уровень защиты не признаётся на федеральном уровне, однако возможна передача данных в рамках специальных соглашений (например, Privacy Shield, который действовал до 2020 года, а затем был заменён Trans-Atlantic Data Privacy Framework). В России передача данных в США без дополнительных мер защиты (например, согласия субъекта) считается недопустимой.

Процедура передачи данных в страны без адекватного уровня защиты

Альтернативные основания

Если страна не входит в перечень адекватных, оператор может осуществлять трансграничную передачу данных только при наличии одного из следующих оснований:

  • Согласие субъекта персональных данных в письменной или электронной форме, содержащее прямое указание на возможность передачи данных в конкретную страну.
  • Исполнение договора, стороной которого является субъект данных (например, при заказе товаров из-за рубежа).
  • Защита жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия невозможно.
  • Обработка данных в общественных интересах (например, в рамках международного сотрудничества).

Уведомление Роскомнадзора

Оператор, планирующий передачу данных в страну без адекватного уровня защиты, обязан уведомить Роскомнадзор о намерении осуществить такую передачу. Уведомление подаётся в установленной форме и должно содержать информацию о целях передачи, категориях данных, стране-получателе и мерах по обеспечению защиты. В случае выявления нарушений Роскомнадзор может запретить или приостановить передачу данных.

Критика и проблемы

Недостатки российской системы

Эксперты отмечают, что российский перечень стран с адекватным уровнем защиты является относительно узким и не включает многие значимые экономические партнёры, такие как Китай, Индия или страны АСЕАН. Это создаёт административные барьеры для бизнеса, вынуждая компании либо получать согласие субъектов, либо размещать данные исключительно на территории России. Кроме того, критерии оценки адекватности не всегда прозрачны, а решения Роскомнадзора могут быть подвержены политической конъюнктуре.

Международные сравнения

В Европейском союзе концепция адекватного уровня защиты более детализирована: Европейская комиссия проводит формальные оценки и публикует решения об адекватности, которые могут быть оспорены в суде. В России аналогичный механизм судебного контроля за решениями уполномоченного органа отсутствует. Также критикуется отсутствие чётких критериев для признания адекватности защиты данных в рамках двусторонних соглашений.

Практическое значение

Для бизнеса

Понятие «адекватный уровень защиты» напрямую влияет на операционную деятельность компаний, осуществляющих трансграничную передачу данных. Например, российские интернет-компании, работающие с зарубежными партнёрами, должны проверять, входит ли страна получателя в перечень адекватных. В противном случае требуется либо получение согласия пользователей, либо локализация данных на территории РФ. Нарушение этих требований влечёт административную ответственность по статье 13.11 КоАП РФ (штрафы до 500 000 рублей для юридических лиц).

Для граждан

Для субъектов персональных данных адекватный уровень защиты гарантирует, что их данные, переданные за границу (например, при покупке авиабилетов или использовании международных сервисов), будут обрабатываться в соответствии с российскими стандартами. Это включает право на доступ, исправление и удаление данных, а также возможность обращения в суд в случае нарушений.

Перспективы развития

В условиях цифровой глобализации и усиления требований к суверенитету данных (как в России, так и в других странах) концепция адекватного уровня защиты продолжает эволюционировать. В 2020-х годах наблюдается тенденция к заключению двусторонних соглашений о взаимном признании уровней защиты (например, между Россией и странами Евразийского экономического союза). Также обсуждается возможность внедрения механизмов сертификации операторов, аналогичных европейским «корпоративным правилам» (Binding Corporate Rules), что могло бы упростить передачу данных в страны без формального признания адекватности.

Источники

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями и дополнениями).
  • Приказ Роскомнадзора от 15.03.2021 № 35 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту персональных данных».
  • Кодекс Российской Федерации об административных правонарушениях (статья 13.11).
  • Директива Европейского парламента и Совета 95/46/EC от 24.10.1995 о защите физических лиц при обработке персональных данных.
  • Регламент Европейского парламента и Совета (ЕС) 2016/679 (GDPR) от 27.04.2016.
  • Руководящие принципы ОЭСР по защите неприкосновенности частной жизни и трансграничным потокам персональных данных (1980).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →