Трансграничная передача персональных данных: что это значит

Содержание статьи "Уведомление о трансграничной передаче данных"

В законе 152-ФЗ «трансграничная передача персональных данных» — это передача ПДн на территорию иностранного государства (иностранному органу, юрлицу или физлицу). Важно: критерий — территория и получатель, а не только место физического расположения серверов. Это определение закреплено в ст. 3 закона; общий порядок урегулирован ст. 12. Для стран с «адекватной защитой» действует облегчённый подход, для иных — усиленный контроль и возможность запрета/ограничения.

Услуга по оформлению трансграничной передачи данных

Фирма «Победа права» поможет подготовить и подать уведомление о намерении осуществлять трансграничную передачу персональных данных в Роскомнадзор.

Определим правовые основания, опишем страны и получателей, меры защиты, сроки хранения и удаление, а также сопроводим коммуникацию с регулятором.

Форма и состав сведений установлены законом и подаются через портал Роскомнадзора/Госуслуг; по итогам рассмотрения уполномоченный орган может разрешить, ограничить или запретить передачу.

Срок первичного рассмотрения — до 10 рабочих дней для стран без «адекватной защиты».

Записаться на консультацию

Осуществление трансграничной передачи данных

Если вы планируете передавать ПДн за рубеж, оператор до начала передачи направляет уведомление в Роскомнадзор (бумажно или электронно). В уведомлении указывают операторов/получателей, страны, цели и правовые основания, применяемые меры защиты, сроки обработки и удаления. Электронная подача доступна через pd.rkn.gov.ru (требуется подтвержденная учётная запись на Госуслугах). Для стран без «адекватной защиты» действует «пауза» до 10 рабочих дней на решение регулятора.

Цель трансграничной передачи данных

Цели должны быть конкретными и законными: исполнение договора с пользователем, выполнение обязанностей по закону, маркетинг на основании согласия и т. п. В уведомлении цель формулируют без «общих фраз» — так повышается шанс на положительное решение. Непрозрачные или чрезмерные формулировки могут привести к запросам уточнений либо к ограничению/запрету. Основание для запрета/ограничения закреплено постановлением Правительства № 24 (Постановление Правительства РФ от 16 января 2023 г. № 24).

Согласие на трансграничную передачу персональных данных

Часто законное основание трансграничной передачи — согласие субъекта. Оно должно быть информированным и конкретным: указать страны/категории получателей, цели, перечень данных, сроки, способ отзыва и риски. Если есть иное основание (договор, закон и т. д.), согласие не всегда обязательно, но в маркетинге и аналитике это стандартная практика. Учтите: наличие согласия не исключает обязанности уведомления РКН, если передача предполагается системно.

Штраф за трансграничную передачу данных

Ответственность наступает по ст. 13.11 КоАП РФ. Размер зависит от состава нарушения: от «технических» нарушений оформления до неправомерной передачи или утечки.

Могут быть штрафы по части 1 и 2 статьи 13.11 КоАП РФ за отсутствие согласие пользователя на передачу данных.

Диапазон штрафов — от сотен тысяч рублей до оборотных штрафов (для повторных утечек — до 3% годовой выручки, но не менее значительных минимальных сумм). Поэтому корректная подача уведомления, актуальные договоры/поручения и реальные меры защиты — критически важны.

Оператор трансграничной передачи персональных данных

Оператор — лицо, которое определяет цели и способы обработки ПДн (ст. 3 152-ФЗ). Он отвечает за законность передачи, полноту уведомления, наличие оснований (согласие/договор), меры защиты, учёт и сроки хранения/удаления, а также за отношения с подрядчиками (поручение/DPA). Даже если фактическую пересылку выполняет сервис или интегратор, ответственность перед субъектом и регулятором несёт оператор

Трансграничная передача данных WhatsApp

Если оба участника находятся в РФ и передают друг другу данные через иностранный мессенджер, это само по себе не считается трансграничной передачей в смысле 152-ФЗ (позиция Роскомнадзора). Однако есть иные ограничения по ряду сфер (для госсектора и финорганизаций) на использование иностранных мессенджеров. Вывод: оценивать нужно конкретный сценарий — кто получает данные и в каких целях.

Трансграничная передача данных Google Analytics, Google reCAPTCHA, Google Fonts

Инструменты экосистемы Google обычно предполагают отправку пользовательских данных на зарубежные сервера (IP-адрес, идентификаторы, параметры устройства/браузера, cookie). Следовательно, возникает трансграничная передача, требующая правового основания и уведомления РКН; прямого «запрета на GA» в законе нет, но несоответствие процедурам может привести к претензиям. Варианты снижения рисков: локализация первичного сбора, прокси-решения, минимизация данных, альтернативные сервисы.

Либо подача уведомления о намерении трансграничной передаче данных — как правило Роскомнадзор не отказывает в такой передаче. Важно подать уведомление — наша рекомендация.

Трансграничная передача данных Telegram

Как и с WhatsApp, формальный критерий — кому вы передаёте данные. Если Telegram выступает лишь каналом связи между российскими пользователями/оператором и иностранные получатели не вовлечены, событие может не квалифицироваться как трансграничная передача по 152-ФЗ. Но если в сценарии есть иностранный получатель (бот/платформа/подрядчик за рубежом) — это уже ТППД и требуется уведомление/основание. Оценка — по «цепочке получателей» и маршруту данных.