Трансграничная передача персональных данных — регулирование в России

трансграничная передача персональных данных

Российское законодательство о персональных данных (ч.11 ст.3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон № 152-ФЗ) определяет, что трансграничная передача персональных данных — это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

В условиях глобализации и цифровизации экономики подобная трансграничная передача персональных данных стала неотъемлемой частью коммерческой деятельности: организации используют зарубежные облачные сервисы для хранения клиентской информации, обмениваются данными с филиалами в других странах или применяют иностранные CRM.

Тем не менее, такая трансграничная передача персональных данных может создавать риски для прав субъектов и национальной безопасности, что побуждает законодателей в различных странах вводить специальные ограничения. В России эта сфера регулируется с особым акцентом на локальное хранение данных граждан РФ и усиление государственного надзора за их экспортом за границу.

Трансграничная передача персональных данных — законодательная база

Основным документом, регулирующим трансграничную передачу персональных данных, является Закон № 152-ФЗ. Статья 12 этого закона напрямую посвящена трансграничной передаче, определяя условия, при которых такая передача допустима. Согласно закону, трансграничная передача персональных данных может осуществляться только при соблюдении принципов законности, справедливости и конфиденциальности, чтобы избежать утечек и злоупотреблений.

Закон устанавливает, что оператор персональных данных обязан перед началом трансграничной передачи персональных данных уведомить Роскомнадзор о своем намерении. Такое уведомление подается отдельно от уведомления о начале обработки персональных данных.

Закон четко определяет, какие сведения оператор должен указать в уведомлении о трансграничной передаче персональных данных. Среди обязательных пунктов – данные об операторе и ответственном за обработку лице, основание и цель передачи, категории передаваемых персональных данных и субъектов, перечень стран, в которые данные планируется передавать, а также дата оценки принимающей стороны на предмет конфиденциальности и безопасности данных.

Существенное значение имеет, в какую страну передаются данные. Российский регулятор ведет перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (требование о его утверждении содержится в ч.2 ст.12 Закона №152-ФЗ). В этот список включены государства, присоединившиеся к Конвенции Совета Европы №108 о защите личных данных, а также некоторые другие страны с достаточным уровнем законодательства и правоприменения в сфере персональных данных. Перечень был обновлен 5 августа 2022 г. (Приказ Роскомнадзора от 05.08.2022 N 128) и включает 89 государств, в том силе большинство стран Европы, Великобританию, ряд государств Азии, Латинской Америки, а также некоторых партнеров России.

Для таких «адекватных» стран упрощен режим передачи данных: разрешается трансграничная передача персональных данных без согласия самого субъекта (то есть считается, что их правовая система достаточно защищает права граждан). Более того, если страна является участником Конвенции №108 или включена в перечень, оператор вправе начинать трансграничную передачу персональных данных сразу после направления уведомления Роскомнадзору, не дожидаясь решения (пока регулятор не запретил).

В случае же, если иностранное государство не входит в указанный перечень (не обеспечивает адекватной защиты), трансграничная передача персональных данных возможна только при соблюдении дополнительных условий. Во-первых, требуется наличие оснований для самой передачи – обычно это письменное согласие субъекта персональных данных на трансфер или предусмотренное законом основание (например, исполнение договора с участием субъекта или защита его жизни).

Во-вторых, если страна не из «белого списка», оператор не вправе начинать трансграничную передачу персональных данных до истечения 10-дневного срока рассмотрения уведомления Роскомнадзором, то есть должен дождаться, что регулятор не запретил передачу. Исключение – экстренные случаи охраны жизни/здоровья субъекта, когда задержка невозможна.

Таким образом, для трансграничной передачи персональных данных, скажем, в США или другие страны вне перечня, российская компания обязана не только получить согласие гражданина РФ (или иное законное основание), но и заранее уведомить Роскомнадзор и выждать время на соответствующую реакцию.

После получения уведомления регулятор (Роскомнадзор) рассматривает его в течение 10 рабочих дней  и  вправе принять решение об ограничении или запрете трансграничной передачи персональных данных. Закон устанавливает, что трансграничная передача персональных данных может быть запрещена или ограничена уполномоченным органом для защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны и безопасности государства, защиты экономических интересов страны и иных публичных интересов. Иными словами, государство оставляет за собой право блокировать перевод данных за рубеж, если увидит в этом угрозу национальным интересам. 

Локализация персональных данных vs. трансграничная передача персональных данных

Вступление в силу 1 июля 2025 года новых правовых норм о локализации персональных данных российских граждан  явилось очередным шагом по защите национального информационного суверенитета. Закон установил  (ч. 5 ст. 18 Закона № 152-ФЗ), что при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением отдельных случаев, прямо предусмотренных законом.

Требование о локализации данных в России не означает автоматического запрета на трансграничную передачу персональных данных. Вместе с тем, логика развития российского информационного права предполагает, что теперь трансграничная передача персональных данных возможна лишь в ограниченных случаях, когда она не нарушает требования о локализации.

Локализация выступает как механизм защиты данных на этапе сбора: она гарантирует, что персональные данные российских граждан находятся под защитой российской юрисдикции. Трансграничная передача персональных данных – это последующий этап, который допускается законом при условии полного соблюдения требований о локализации. Таким образом, Закон о персональных данных устанавливает двойной барьер: локализация  — не допустить, чтобы данные  собирались не на российские серверы, и контроль трансграничной передачи персональных данных — не допустить несанкционированного или опасного перевода данных за рубеж. Эти механизмы дополняют друг друга: сначала данные «приземляются» в РФ, а затем их вывоз контролируется уведомительным и разрешительным порядком.

Для бизнеса такое разграничение означает, что компании должны, во-первых, обеспечить инфраструктуру в России для хранения персональных данных россиян, что требует инвестиций в серверы или использование отечественных дата-центров. Во-вторых, тщательно оценивать юридические риски каждой трансграничной передачи персональных данных,  проверять, есть ли в принимающей стране адекватная защита, получать согласия, подавать уведомления в Роскомнадзор.

Трансграничная передача персональных данных — коллизии закона

Некоторые отечественные специалисты в сфере персональных данных полагают, что требование о локализации данных Дмитрий, добрый день! Я в итоге прилетаю завтра (во вторник) в 14:00. В 16:30-17:00 готов встретиться, как Вам это время? касается только первичного сбора персональных данных. После того, как такой массив данных собран на территории России, по их мнению оператор вправе осуществлять трансграничную передачу персональных данных, и полностью или частично передавать в иностранные юрисдикции базы с персональными данными российских граждан.

На наш взгляд такая позиция противоречит концепции национального информационного суверенитета и создает существенные риски для операторов, которые будут следовать подобным рекомендациям.

Во-первых, любая трансграничная передача персональных данных российских лиц, при которой эти данные сохраняются на оборудовании, находящемся под иностранной юрисдикцией будет создавать сбор этих данных на иностранном оборудовании. Следовательно, это прямое нарушение ч. 5 ст. 18 Закона № 152-ФЗ. Никакое распределение функций при обработке данных, мол вот это у нас функция сбора, и она в России, а вот это мы передали персональные данные в США для обработке в иностранной CRM и это не сбор, не защитит от вполне обоснованных претензий регулирующих органов.

Во-вторых, если российский законодатель ориентирован на создание режима максимальной защиты национального информационного суверенитета, составляющей частью которого являются персональные данные граждан, трудно объяснить, почему персональные данные граждан России должны передаваться в какие-то зарубежные программы. Ведь можно использовать российские аналоги соответствующего програмного обеспечения. Можно изменить архитектуру иностранного програмного обеспечения, с тем, чтобы персональные данные всегда находились в России, а иностранная програмная оболочка лишь обрабатывала их.

Трансграничная передача персональных данных — сравнение с подходами ЕС и США

Регулирование трансграничной передачи персональных данных в России имеет как сходства, так и различия с иностранными правовыми режимами. В Европейском союзе вопросы вывоза персональных данных регулируются Общим регламентом по защите данных (GDPR). По сути, GDPR также устанавливает, что трансграничная передача персональных данных в третьи страны возможна лишь при наличии адекватного уровня защиты в стране-получателе или при обеспечении иных гарантий.

Европейская комиссия утверждает перечень стран, признанных обеспечивающими адекватную защиту (например, Канада, Япония, Великобритания и др.), аналогично подходу российского Роскомнадзора. Если данные планируется передавать в страну, не отвечающую требованиям об адекватной защите, европейские компании обязаны использовать стандартные договорные положения (Standard Contractual Clauses, SCC) или другие механизмы (правила корпоративной группы, кодексы поведения) для защиты данных. Также в соответствии с нормами GDPR трансграничная передача персональных данных допускается  на основании прямого согласия субъекта данных либо необходимости исполнения договора с ним.

В этом смысле российский и европейский подходы концептуально близки: и там, и там требуется убедиться, что данные не окажутся в правовом вакууме. Различия в деталях: в ЕС компании не обязаны уведомлять регулятора о каждой трансграничной передаче персональных данных, процесс более автономный – достаточно юридически оформить защитные меры. В России же введена именно уведомительно-разрешительная процедура с участием Роскомнадзора, что делает контроль более строгим со стороны государства. Кроме того, ЕС не требует хранить данные граждан локально внутри страны, тогда как в РФ правило локализации уникально по своей строгости (в ЕС локализация применяется лишь точечно, например, для особо чувствительных категорий данных или отдельных секторов, и то редко).

В США отсутствует единый федеральный закон, всеобъемлюще регулирующий защиту персональных данных и  трансграничную передачу персональных данных. Американское законодательство строится по секторальному принципу – есть законы о финансовой тайне, о медицинской информации (HIPAA), о защите данных детей (COPPA), ряд штатов (например, Калифорния с CCPA/CPRA) приняли собственные акты о приватности.

Вместе с тем следуя общемировому тренду на защиту информационного суверенитета  8 апреля 2025 года Министерство юстиции США (Department of Justice) ввело нормы, реализующие Executive Order 14117, которые вводят значительные ограничения на трансграничную передачу персональных данных, особенно в отношении bulk sensitive personal data (массовых чувствительных персональных данных) и government-related data (данных, связанных с правительством США). Эти новые требования, известные как Data Security Program, запрещают или ограничивают определенные транзакции для предотвращения доступа «стран, вызывающих опасения» к таким данным.

До введения этих норм специальных требований к трансграничной передаче персональных данных за рубеж в США не было – компании свободны выбирать, где хранить и обрабатывать данные, исходя из бизнес-целесообразности. Вместо этого США делают упор на соглашения и саморегулирование: так, для трансферов данных из ЕС в США ранее действовала система «Privacy Shield», отмененная в 2020 г. решением Европейского суда, а в 2023 г. ей на смену пришло новое Соглашение о защите данных ЕС–США (Data Privacy Framework).

Трансграничная передача персональных данных — мировой тренд на контроль со стороны государства.

Российская система регулирования трансграничной передачи персональных данных характеризуется строгими требованиями и активным вмешательством государства в оборот данных. Для бизнес-практиков это означает необходимость комплексного подхода к комплаенсу: обеспечить локализацию данных российских клиентов на серверах в РФ, получать необходимые согласия от субъектов на трансграничную передачу персональных данных, подавать уведомления в Роскомнадзор о трансграничной передаче персональных данных и быть готовыми предоставить регулятору всю информацию о зарубежном партнере и мерах защиты данных. Невыполнение этих обязанностей влечет серьёзные последствия – от крупных штрафов до блокировки сервисов на территории РФ. Одновременно российские власти демонстрируют готовность использовать ограничительные механизмы в интересах национальной безопасности и защиты граждан: установлена возможность запретить опасные трансграничные передачи персональных данных за границу в особых случаях.

Сравнение с ЕС и США показывает, что Россия движется по пути максимального суверенитета над данными: подобно ЕС, она требует адекватной защиты при экспорте данных, но идёт дальше, введя режим локального хранения и государственное разрешение на трансграничную передачу персональных данных. Для компаний, работающих в разлиных странах, это усложняет операции – требуется согласовывать процессы с разными юрисдикциями. Тем не менее тренд таков, что защита данных приобретает трансграничный характер: бизнес вынужден учитывать одновременно и российские требования (Закон № 152-ФЗ), и европейские (GDPR), и нормы иных иностранных юрисдикций.

Трансграничная передача персональных данных в России теперь стала не простой технической задачей, а вопросом правового риска, требующим внимания юристов, ИТ-специалистов, специалистов по информационной безопасности и руководства компании. Российская правовая система призвана обеспечить баланс между участием страны в глобальной цифровой экономике и защитой информационного суверенитета и прав граждан. Для бизнеса важно своевременно отслеживать изменения нормативных актов (например, новые приказы Роскомнадзора, постановления Правительства о процедурах контроля) и судебной практики, чтобы оставаться в правовом поле при осуществлении трансграничной передачи персональных данных. Только в этом случае передача данных за рубеж будет законной и безопасной для бизнеса и граждан.

 

Продолжая просмотр настоящего сайта, Вы соглашаетесь с использованием файлов cookies (куки) и иных методов, средств и инструментов интернет-статистики и настройки, применяемых на сайте для целей, указанных в Политике обработки персональных данных.