Открыть сервис

Трансграничная передача персональных данных

Трансграничная передача персональных данных — это процесс перемещения персональных данных (ПДн) с территории одного государства на территорию другого государства, а также с территории государства на территорию международной организации. В контексте российского законодательства под трансграничной передачей понимается передача персональных данных, осуществляемая оператором (лицом, организующим обработку ПДн) на территорию иностранного государства, лицу, не являющемуся гражданином Российской Федерации, или иностранному юридическому лицу.

Правовое регулирование в Российской Федерации

Основным нормативным актом, регулирующим трансграничную передачу персональных данных в России, является Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Ключевое положение, касающееся трансграничной передачи, содержится в статье 12 данного закона. Законодательство устанавливает два основных режима для стран-получателей данных: страны, обеспечивающие адекватную защиту прав субъектов ПДн, и страны, не обеспечивающие такую защиту.

Страны с адекватной защитой

Перечень государств, которые, по мнению уполномоченного органа (Роскомнадзора), обеспечивают адекватную защиту персональных данных, утверждается этим органом. Включение страны в этот перечень значительно упрощает процедуру передачи данных. Для передачи ПДн в такие страны не требуется получения специального разрешения или уведомления Роскомнадзора. Оператор обязан лишь уведомить субъекта данных о факте передачи. К таким странам, как правило, относятся государства-члены Европейской экономической зоны (ЕЭЗ), а также ряд других стран, законодательство которых признано соответствующим стандартам защиты ПДн (например, Швейцария, Новая Зеландия, Канада, Япония, Южная Корея, Израиль, Аргентина, Уругвай и другие).

Страны без адекватной защиты

Передача персональных данных в государства, не входящие в перечень стран с адекватной защитой, допускается только при соблюдении ряда условий. Основным условием является наличие согласия субъекта персональных данных на такую передачу. Согласие должно быть конкретным, информированным и сознательным. В нем должно быть прямо указано, что субъект разрешает передачу своих данных в конкретную страну (или страны), не обеспечивающую адекватную защиту.

Кроме того, закон предусматривает случаи, когда передача данных без согласия субъекта возможна, например:

Важно отметить, что в случае передачи данных в страну без адекватной защиты оператор обязан уведомить Роскомнадзор о факте такой передачи. Уведомление должно содержать информацию об операторе, о стране-получателе, о категориях передаваемых данных и о правовых основаниях передачи.

Международное регулирование

На международном уровне ключевым документом, регулирующим трансграничную передачу персональных данных, является Общий регламент по защите данных (GDPR) Европейского союза, вступивший в силу 25 мая 2018 года. GDPR устанавливает строгие правила для передачи данных за пределы ЕЭЗ. Передача возможна только в страны, обеспечивающие «адекватный уровень защиты», что подтверждается решением Европейской комиссии. В противном случае требуются специальные механизмы, такие как:

Классификация видов трансграничной передачи

Трансграничную передачу персональных данных можно классифицировать по нескольким основаниям:

По субъекту-отправителю

По цели передачи

По способу передачи

Требования к операторам

Оператор, осуществляющий трансграничную передачу персональных данных, обязан:

  1. Обеспечить законность передачи: иметь правовое основание (согласие субъекта, договор, закон).
  2. Уведомить субъекта данных о факте передачи, стране-получателе и целях обработки.
  3. Уведомить Роскомнадзор о факте передачи (в случае передачи в страну без адекватной защиты).
  4. Обеспечить безопасность данных при передаче (использовать шифрование, защищенные каналы связи).
  5. Вести учет всех фактов трансграничной передачи.

Ответственность за нарушение

Нарушение правил трансграничной передачи персональных данных влечет за собой административную ответственность по статье 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ). Штрафы для должностных лиц составляют от 20 000 до 100 000 рублей, для юридических лиц — от 100 000 до 300 000 рублей. В случае повторного нарушения или передачи данных в страну, не обеспечивающую адекватную защиту, без согласия субъекта, штрафы могут быть увеличены. Кроме того, возможна блокировка сайта или сервиса, осуществляющего незаконную передачу данных, по решению суда.

Особенности передачи данных в «недружественные» страны

В 2022–2023 годах, в связи с санкционной политикой ряда государств, российское законодательство ужесточило требования к трансграничной передаче персональных данных в страны, которые признаны «недружественными» (в соответствии с Указом Президента РФ № 252 от 05.03.2022). Передача данных в такие страны (например, США, страны Евросоюза, Великобританию, Канаду, Австралию, Японию, Южную Корею и другие) возможна только при условии получения специального разрешения Роскомнадзора, которое выдается на основании оценки рисков для прав субъектов ПДн. Это требование существенно усложнило деятельность многих российских компаний, использующих зарубежные облачные сервисы, платежные системы и рекламные платформы.

Значение и последствия

Трансграничная передача персональных данных является неотъемлемой частью современной глобальной экономики. Она обеспечивает работу международных платежных систем, облачных вычислений, социальных сетей, электронной коммерции и многих других сфер. В то же время, она создает серьезные риски для конфиденциальности и безопасности данных, особенно в условиях отсутствия единых международных стандартов защиты. Различия в национальных законодательствах, а также геополитические факторы, приводят к фрагментации интернета и созданию «цифровых барьеров». В результате, компании вынуждены нести дополнительные издержки на соблюдение требований различных юрисдикций, а субъекты данных сталкиваются с трудностями в контроле за своими данными, переданными за рубеж.

Источники

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  2. Кодекс Российской Федерации об административных правонарушениях (статья 13.11).
  3. Указ Президента РФ от 05.03.2022 № 252 «О применении ответных специальных экономических мер в связи с недружественными действиями некоторых иностранных государств и международных организаций».
  4. Регламент Европейского парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. (Общий регламент по защите данных, GDPR).
  5. Разъяснения и рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по вопросам трансграничной передачи персональных данных.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →