Открыть сервис

Трансграничная передача

Трансграничная передача — это перемещение персональных данных с территории одного государства на территорию другого государства, а также передача персональных данных на территорию иностранного государства органу власти, физическому или юридическому лицу. Данное понятие является ключевым в сфере защиты информации и регулируется национальным законодательством, международными договорами и актами наднациональных организаций, в первую очередь в контексте обеспечения права граждан на неприкосновенность частной жизни.

Правовое регулирование в Российской Федерации

В Российской Федерации порядок трансграничной передачи персональных данных регулируется Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». Законодательство РФ устанавливает дифференцированный подход к передаче данных в зависимости от того, обеспечивается ли на территории принимающего государства адекватная защита прав субъектов персональных данных.

Перечень стран с адекватной защитой

Роскомнадзор ведёт перечень иностранных государств, которые обеспечивают адекватную защиту прав субъектов персональных данных. По состоянию на 2024 год в этот перечень входят государства — члены Европейской экономической зоны (ЕЭЗ), а также ряд других стран, с которыми заключены соответствующие международные соглашения или которые приняли законы, соответствующие российским стандартам защиты. Передача данных в такие страны осуществляется без дополнительных ограничений, при условии соблюдения общих требований к обработке персональных данных.

Передача в страны, не обеспечивающие адекватную защиту

Передача персональных данных в государства, не входящие в указанный перечень, допускается только в следующих случаях:

  • Наличие письменного согласия субъекта персональных данных на такую передачу.
  • Исполнение договора, стороной которого является субъект персональных данных.
  • Защита жизни, здоровья или иных жизненно важных интересов субъекта.
  • Осуществление прав и законных интересов оператора или третьих лиц.
  • Обработка персональных данных, доступ к которым предоставлен неограниченному кругу лиц (общедоступные данные).
  • Направление запроса в соответствии с законодательством РФ о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.
  • В иных случаях, предусмотренных федеральными законами.

Обязанности оператора

Оператор, осуществляющий трансграничную передачу, обязан уведомить Роскомнадзор о намерении осуществлять такую передачу. Уведомление должно содержать информацию о целях передачи, составе передаваемых данных, стране назначения и правовых основаниях. Роскомнадзор вправе запросить дополнительную информацию и ограничить или запретить передачу, если будет установлено, что принимающая сторона не обеспечивает адекватную защиту.

Международное регулирование

Конвенция Совета Европы

Основополагающим международным документом в этой сфере является Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108), принятая в 1981 году. Россия ратифицировала Конвенцию в 2005 году. Дополнительный протокол к ней (ETS № 181) устанавливает требование о том, что трансграничная передача данных в страну, не являющуюся участницей Конвенции, допускается только при условии обеспечения адекватного уровня защиты.

Регламент GDPR

В Европейском союзе действует Общий регламент по защите данных (GDPR), который вступил в силу в 2018 году. GDPR устанавливает строгие правила для передачи персональных данных за пределы ЕЭЗ. Передача допускается только при наличии:

  • Решения Европейской комиссии об адекватности уровня защиты в стране-получателе.
  • Соответствующих гарантий (стандартные договорные положения, корпоративные правила, сертификация).
  • Исключений для конкретных ситуаций (согласие субъекта, выполнение договора, жизненно важные интересы).

Двусторонние соглашения

Ряд стран заключают двусторонние соглашения о взаимном признании стандартов защиты персональных данных. Например, между Россией и некоторыми государствами — участниками СНГ действуют соглашения, упрощающие трансграничную передачу данных в рамках интеграционных объединений.

Практические аспекты и риски

Технические способы передачи

Трансграничная передача может осуществляться различными способами:

  • Прямая передача — отправка данных по каналам связи (электронная почта, FTP, API) напрямую получателю.
  • Передача через облачные сервисы — использование серверов, расположенных за рубежом, для хранения и обработки данных.
  • Передача через посредников — использование провайдеров услуг связи или логистических компаний.

Основные риски

Основные риски при трансграничной передаче включают:

  • Нарушение конфиденциальностинесанкционированный доступ к данным со стороны третьих лиц или государственных органов страны-получателя.
  • Утрата контроля — невозможность оператора обеспечить выполнение требований законодательства РФ после передачи данных.
  • Юридическая ответственность — административные и уголовные санкции за нарушение порядка передачи, включая блокировку сайтов и запрет на обработку данных.
  • Утечка данных — риски, связанные с ненадёжностью каналов связи или действий персонала принимающей стороны.

Требования к локализации данных

В России действует требование о локализации персональных данных граждан РФ: операторы обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных с использованием баз данных, находящихся на территории РФ. Трансграничная передача допускается только после выполнения этого требования и при соблюдении всех установленных процедур. Нарушение требования о локализации влечёт административную ответственность.

Примеры трансграничной передачи

Бизнес-процессы

Многие международные компании передают персональные данные сотрудников (зарплатные ведомости, кадровые данные) в головные офисы, расположенные за рубежом. Также распространена передача данных клиентов (адреса доставки, платёжная информация) при оказании услуг через глобальные платформы.

Научные исследования

В рамках международных научных проектов (например, в области генетики, медицины, климатологии) часто требуется передача обезличенных или псевдонимизированных данных между исследовательскими центрами разных стран.

Государственное сотрудничество

Правоохранительные органы и спецслужбы различных стран осуществляют трансграничную передачу данных в рамках международного сотрудничества по борьбе с преступностью, терроризмом и экстремизмом. Такая передача регулируется отдельными межгосударственными соглашениями и не подпадает под общий режим защиты персональных данных.

Критика и дискуссии

Баланс между защитой и экономикой

Критики строгих правил трансграничной передачи (например, требований GDPR) утверждают, что они создают барьеры для международной торговли, инноваций и развития цифровых платформ. Компании вынуждены нести дополнительные расходы на юридическое сопровождение и техническую инфраструктуру.

Проблема экстерриториальности

Законы о защите данных (например, GDPR, российский закон) часто имеют экстерриториальное действие, то есть распространяются на компании, не зарегистрированные в юрисдикции, но обрабатывающие данные её граждан. Это порождает правовые коллизии и споры о юрисдикции.

Риски для прав человека

Правозащитные организации отмечают, что передача данных в страны с низким уровнем защиты может привести к массовой слежке, дискриминации и нарушению прав человека. Особенно остро эта проблема стоит в отношении данных о политических взглядах, вероисповедании, состоянии здоровья и биометрической информации.

Источники

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  2. Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108).
  3. Регламент Европейского парламента и Совета Европейского союза 2016/679 (GDPR).
  4. Приказ Роскомнадзора от 15.03.2021 № 33 «Об утверждении перечня иностранных государств, не являющихся членами Конвенции Совета Европы…».
  5. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных…».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →