Трансграничная передача персональных данных

Трансграничная передача персональных данных

Информационная безопасность, Персональные данные

Статья о том, что такое трансграничная передача персональных данных и какие есть риски у бизнеса в этой связи.

Что такое трансграничная передача персональных данных?

Работа с иностранными контрагентами неизбежно связана с необходимостью передавать за рубеж персональные данные сотрудников или клиентов. Такая операция называется трансграничной передачей персональных данных (ПДн), и она строго регулируется российским законодательством. Рассказываем, как действовать в рамках закона и избежать многомиллионных штрафов.

Передача персональных данных иностранному контрагенту для заключения или исполнения договора, оформления доверенности, отправки сотрудников в командировку или на обучение — всё это является трансграничной передачей.

Виды иностранных государств для целей трансграничной передачи персональных данных

Первый вид: страны, обеспечивающие адекватную защиту персональных данных. В частности, к ним относятся участники Конвенции Совета Европы ETS №108, а также государства, включённые в специальный Перечень Роскомнадзора.

Подробнее см.: Приказ Роскомнадзора от 5 августа 2022 г. № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных».

Второй вид: страны, не обеспечивающие адекватную защиту персональных данных. Это все остальные страны, которые не входят в первую группу.

Обязанности оператора ПДн зависят, в том числе, от того, на территорию какого государства передаются данные.

Уведомление Роскомнадзора о трансграничной передаче персональных данных

Уведомлять регулятора о намерении осуществлять трансграничную передачу необходимо вне зависимости от страны назначения. Это уведомление подаётся дополнительно к основному уведомлению о намерении осуществлять обработку персональных данных. Срок рассмотрения уведомления: 5 рабочих дней.

Далее Роскомнадзор может полностью запретить или ограничить трансграничную передачу, если найдет для этого основания.

Ответственность за отсутствие уведомления: Штраф от 100 000 до 300 000 рублей (ч. 10 ст. 13.11 КоАП РФ).

Обязательная оценка контрагента и законодательства при трансграничной передаче

Перед подачей уведомления оператор обязан провести оценку того, насколько иностранный контрагент обеспечивает конфиденциальность и безопасность данных. Также необходимо проанализировать иностранное законодательство в области защиты ПДн (ч. 5 ст. 12 ФЗ-152).

Это не формальность. Роскомнадзор вправе запросить результаты этого анализа. Например, в случае получения запроса у оператора будет всего 10 рабочих дней, чтобы их предоставить.

Согласие на трансграничную передачу персональных данных

Согласие субъекта персональных данных — основание для трансграничной передачи. Оператор обязан разработать и утвердить форму согласия на трансграничную передачу ПДн и получать его от всех физических лиц, чьи данные передаются.

Требования к согласию: Оно должно быть оформлено в строгом соответствии с законом «О персональных данных».

Ответственность за отсутствие согласия — штраф за каждое нарушение. То есть за каждого субъекта, чьи данные переданы без согласия. Размер штрафа от 300 000 до 700 000 рублей. За повторное нарушение — от 1 до 1,5 млн рублей (ч. 2 ст. 13.11 КоАП РФ).

Повышенное внимание Роскомнадзора при трансграничной передаче

Факт осуществления трансграничной передачи автоматически относит оператора к более высокой категории риска для Роскомнадзора.

Это напрямую влияет на вероятность и частоту плановых проверок. Внеплановая проверка может быть инициирована по жалобе субъекта ПДн или в рамках аналитической работы самого ведомства.

Новая ответственность: штрафы за бездействие, повлёкшее утечку

С 30 мая 2025 года вступили в силу новые составы правонарушений в сфере персональных данных. Теперь оператор может быть привлечен к ответственности не только за формальное нарушение процедуры. Законодатель предусмотрел ответственность также за последствия бездействия оператора.

Если несоблюдение требований закона (например, отсутствие оценки контрагента) повлекло за собой утечку данных, штрафы исчисляются миллионами:

  • За разглашение данных от 1000 до 10 000 субъектов — штраф от 3 до 5 млн рублей.
  • В зависимости от масштаба инцидента штраф может достигать 15 млн рублей (ч. 12-15 ст. 13.11 КоАП РФ).

Вывод по трансграничной передаче

Трансграничная передача персональных данных — это зона повышенного правового риска.

Нарушение установленного порядка грозит не только штрафами за сам факт несоблюдения процедуры, но и многомиллионными санкциями в случае утечки.

Итого, чтобы обезопасить бизнес, необходимо строго выполнять все предписания: уведомлять Роскомнадзор, проводить тщательную оценку рисков и получать корректно оформленные согласия субъектов.

Автор: Михаил Новицкий, партнер юридической компании «Итербиум»

Если вам нужна консультация по вопросам персональных данных

Для связи пишите в чат обратной связи на сайте либо на электронную почту firma@iterbium.ru или звоните по телефону +7 (499) 113-13-98.

Работаем онлайн!

Если вы находитесь в другом городе или стране — это не проблема. В компании всё организовано для того, чтобы вы могли получать профессиональную помощь юриста в сфере персональных данных.

Подробнее о наших услугах здесь.