Трансграничная передача данных в 2026 году

Компании, работающие на международном рынке, давно знают, что такое трансграничная передача данных (ТППД). Ее необходимо осуществлять в рамках соблюдения национальных и международных норм. Сложность состоит в том, что они периодически меняются. Так, трансграничная передача персональных данных с 1 марта 2023 года выполняется по новым правилам. В этот день в силу вступила вторая часть поправок в ФЗ-152, затронувшая проведение процедуры. Компании обязаны строго учитывать нормы, поскольку есть большой риск столкнуться с санкциями. Сейчас участили проверки РКН в отношении трансграничной передачи данных по 152-ФЗ. Чтобы успешно проходить их, необходимо детально изучить нюансы проведения процедуры.

Что такое трансграничная передача данных

В первую очередь нужно выяснить, что означает трансграничная передача персональных данных. Так называют процедуру отправки персональной информации о человеке в другую страну. При этом получателем сведений обязательно должно быть иностранное лицо или государственный орган. Так, осуществление трансграничной передачи персональных данных происходит в следующих случаях:

• компания применяет заграничные сервисы, позволяющие анализировать показатели сайта или другой системы;
• выполняется хранение информации о клиентах на иностранных серверах;
• проводится обмен контактными данными подчиненных или клиентов с зарубежными контрагентами;
• осуществляется бронирование гостиничного номера, оплата других услуг на территории иностранного государства для сотрудников, отправляющихся в командировку;
• информация о персонале размещена в глобальных корпоративных источниках;
• для гражданина РФ открыт счет или куплен полис за границей, и договор заключен с иностранной организацией.

Во всех вышеуказанных случаях о трансграничной передаче по 152-ФЗ уведомляют уполномоченные органы на территории РФ.

Примеры персональных данных

Под действие ст. 12 152-ФЗ попадают только персональные сведения. Их перечень также закреплен законодательно. Уведомление Роскомнадзора о трансграничной передаче персональных данных готовят, если проводится отправка следующей информации:

• ФИО гражданина;
• паспортные данные;
• контактные сведения (например, номер телефона);
• метрики;
• cookie-файлы.

Эта информация попадает под защиту «Закона о персональных данных» и не подлежит свободному распространению.

В каких случаях нужно уведомлять о трансграничной передаче данных

По закону о трансграничной передаче персональных данных компания обязана уведомлять Роскомнадзор об отправке информации. Причем выполнить процедуру нужно во всех случаях, когда выполняется отправка личных сведений о гражданине, и получателем данных будет иностранное лицо вне зависимости от его статуса. Игнорирование правила считается нарушением и может стать основанием для привлечения к ответственности.

Отправка данных за пределы предприятия – это сложная процедура. Компания обязана учесть, с кем будет выполняться обмен информацией. Существует список стран, внимательно относящихся к защите личных сведений. Причем речь идет как о гражданах таких государств, так и об информации, которая приходит из-за границы. Работать с такими странами проще, поскольку риски значительно ниже. Но возможна и иная ситуация. Не во всех странах есть четкое законодательство и инфраструктурные возможности для обеспечения сохранности сведений. Такие государства включают в категорию ненадежных и проявляют повышенную осторожность.

Страны, обеспечивающие адекватную защиту персональных данных	В список включают государства, подписавшие Конвенцию Европы О защите ПД, а также те, кто попал в утвержденный перечень Роскомнадзора.
Страны, не способные обеспечить адекватную защиту ПД	В перечень включают государства, которые не попали в вышеуказанные списки

1 марта 2023 года многое изменилось. До этой даты было меньше ограничений. Так, уведомлять о передаче информации нужно быть только в случае, если данные отправлялись в ненадежную страну. Теперь сообщать об этом нужно всегда. Причем сделать это нужно до того, как вы начнете выполнять процедуру. Если правило не соблюдать, можно получить штраф за трансграничную передачу персональных данных.

Когда не нужно отправлять уведомление

Изучая, как и кому можно передавать персональные данные, обратите внимание на ситуации, когда уведомление в Роскомнадзор не отправляют. Такие случаи тоже есть. Вы не обязаны связываться с уполномоченным органом и сообщать цель трансграничной передачи персональных данных, если:

• информацию отправляют в российское представительство иностранной компании;
• сведения отправляют в иностранное представительство российской организации;
• информацию обрабатывает представитель компании-оператора, который находится в другой стране.

Во всех остальных случаях трансграничная передача данных по 152-ФЗ требует обязательной подготовки и предоставления уведомления.

Может ли Роскомнадзор запретить передачу данных

Важно строго выполнять требования к передаче данных по каналам связи, а также соблюдать иные нормы. Помните, что Роскомнадзор выполняет строгий контроль. Он может запретить отправку сведений. Однако для этого должны быть существенные основания. Инстанция не даст согласие на трансграничную передачу персональных данных и откажет в выполнении процедуры в следующих случаях:

• деятельность организации, которая выступает поручителем, признана незаконной или нежелательной в судебном порядке;
• цель, для достижения которой проводится обмен сведениями, не фигурирует в 152-ФЗ;
• в государстве, в которое передают информацию, нет условий для обеспечения защиты сведений, а также не прописаны правила выполнения и прекращения использования данных;
• есть вопросы к цели, для достижения которой вы отправляете сведения.

Запрет на трансграничную передачу ПДН может быть вынесен перед отправкой информации или прямо во время нее. Во втором случае все данные сотрут сразу после вынесения запрета.

Не всегда накладывают полный запрет на трансграничную передачу ПД. Вместо него могут установить ограничения. Такие меры применяют в следующих случаях:

• есть указания уполномоченных органов, которые ограничивают выполнение операций такого типа;
• есть вероятность, что операция может нарушить права других субъектов;
• наблюдается расхождение между целью отправки и типом информации.

Если в трансграничной передаче данных отказано, можно обжаловать подобное решение. Процедуру имеет право выполнить оператор, занимающийся отправкой сведений. Он должен обратиться в Роскомнадзор. Однако сроки на обжалование ограничены. Направить жалобу на ограничение на пересылку персональных данных можно в течение месяца.

Если выявлена ошибка, направлять жалобу на отказ в трансграничной передаче персональных данных в РФ бессмысленно. Однако это не значит, что выполнить отправку не получится. Если трансграничная передача персональных данных запрещена, необходимо устранить ошибку и попытаться вновь. Уполномоченный орган проведет повторную обработку запроса. Если все правильно, его одобрят.

Как подать заявление в Роскомнадзор: порядок действий

Чтобы не столкнуться с ответственностью за трансграничную передачу персональных данных, подавайте заявление в Роскомнадзор своевременно. Его направляют до отправки сведений иностранному лицу. Лучше сразу выяснить, как проходит трансграничная передача персональных данных. Чтобы подать заявление в Роскомнадзор, необходимо:

• Выяснить, какие данные и куда будут отправляться.
• Удостовериться, что есть надлежащие основания. Их перечень определен в ст. 6 закона «О персональных данных».
• Узнать, будет ли обеспечен достаточный уровень безопасности и соблюдение норм при работе с переданной информацией. Для этого посмотрите, с каким государством вы работаете. Если оно из списка ненадежных, возникнут сложности. Есть большая вероятность, что вам не дадут отправить информацию. Будьте к этому готовы.
• Оценить, обеспечивает ли принимающая сторона конфиденциальность при работе в ПД.
• Подготовить уведомление и оповестить Роскомнадзор о том, что планируется трансграничная передача данных. Пример:

Источник: Официальный сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Готовя уведомление о трансграничной передаче персональных данных, помните, что это сложная процедура. В первую очередь важно соблюсти форму заявления. Она опубликована здесь. При этом недостаточно просто ввести необходимые сведения. Важно указать всю информацию правильно и не допустить ошибки.

Взаимодействие с уполномоченным органом выполняется через интернет. Вам придется перейти и авторизоваться на сайте ЕСИА, а затем начать отправку обращения. Необходимо проявлять повышенную внимательность. Важно правильно указать цель передачи сведений, а также иные обязательные данные. Если допустить даже небольшую ошибку, запрос отклонят, и всю процедуру придется начинать заново.

Что грозит за неподачу уведомления о трансграничной передаче персональных данных

Уведомление о трансграничной передаче персональных данных – это обязательный документ, обойтись без которого не удастся. Если игнорировать установленные правила, можно столкнуться со штрафами за трансграничную передачу данных по КоАП РФ. Наказание накладывают по ст. 13.11 и 19.7 КоАП РФ. В первом случае меру применяют, если нарушены правила обработки персональных данных. На нарушителя наложат штрафы, размер которых зависит от его статуса. Если это:

• физическое лицо, размер денежного взыскания составит 2-6 тыс. руб.;
• должностное лицо – 10-20 тыс. руб.;
• юридическое лицо – 60-100 тыс. руб.

Ст. 19.7 КоАП РФ применяют чаще. Она вступает в силу, если компания игнорирует требования РКН и не подает уведомление. В этом случае размер взыскания составит до 300 руб. для физических и до 5 тыс. для юридических лиц. Меру могут применять за каждое нарушение.

Сколько уведомлений нужно подать

Перед передачей ПДН субъекта на территорию другого государства оператор обязан подготовить уведомление. При этом количество таких оповещений не ограничено. Можно заполнить и направить столько форм, сколько лицо посчитает нужным. Оператор имеет право подготовить одно уведомление о трансграничной передаче персональных данных, указав в нем все страны, в которые отправляют сведения, или составить соответствующий документ для каждого государства отдельно. Тут все зависит от личного удобства.

До 1 марта 2023 года Роскомнадзор уведомляли о факте передачи информации. Теперь процедуру проводят предварительно. В результате уполномоченному органу сообщают о намерении отправить сведения. Это важно делать заранее, поэтому не забывайте уведомлять о передаче личных данных российских граждан в иностранное государство.

Чек-лист при передаче данных за границу

• Теперь нужно не только выяснять, как осуществляется трансграничная передача персональных данных, но и заранее уведомлять о ней Роскомнадзор. Если информацию не отправить вовремя, нарушителя ждут большие штрафы.
• В уведомлении прописывают цель отправки информации, указывают передаваемые сведения, а также категорию субъекта персональных данных.
• Важно четко понимать, что такое трансграничная передача персональных данных, и какие именно действия к ней относятся. Так вы защитите себя от лишних действий.
• Обращайте внимание на законодательно закрепленные основания для отправки данных, а также смотрите, соблюдены ли все требования.
• Обязательно смотрите на страну, в которую выполняется передача сведений, учитывайте, есть ли у нее возможности для обеспечения их защиты.
• Запрашивайте у контрагента сведения о внутренней политике по выполнению работы с персональными данными, смотрите, соответствуют ли они действующим нормам.
• Заполняйте заявление в РКН по образцу или доверьте его подготовку грамотным специалистам.