Глобализация бизнеса и использование облачных технологий делают обмен информацией через государственные границы неизбежным. Использование зарубежных CRM, бронирование отелей для командировок, работа с иностранными партнерами — все это трансграничная передача персональных данных. С 1 марта 2023 года законодательство в этой сфере ужесточилось кардинально. Свободный поток данных остался в прошлом: теперь государство требует предварительного уведомления и вводит разрешительный порядок для передачи в некоторые страны.
Трансграничная передача персональных данных — это передача данных на территорию иностранного государства органу власти, физическому или юридическому лицу. Ключевым фактором для определения правил игры является уровень защиты прав субъектов в стране назначения. Закон делит мир на «адекватные» страны (участники Конвенции Совета Европы и перечень РКН) и «неадекватные» (все остальные, включая США). Ошибка в квалификации страны может привести к полной остановке бизнес-процессов по предписанию регулятора.
Уведомительный порядок: что изменилось
Раньше операторы могли просто передавать данные, соблюдая базовые принципы. Теперь ст. 12 Федерального закона № 152-ФЗ обязывает каждого оператора подать в Роскомнадзор отдельное уведомление о намерении осуществлять трансграничную передачу.
Важно: Уведомление подается *до* начала передачи. Для действующих потоков данных дедлайн уже прошел, и если вы этого не сделали, вы находитесь в зоне риска штрафов по ст. 13.11 КоАП РФ.
Процедура подачи включает обязательный этап внутренней оценки («Оценка вреда»). Перед подачей уведомления оператор обязан запросить у иностранного партнера (получателя данных):
- Сведения о принимаемых им мерах по защите данных.
- Информацию о правовом регулировании в его стране.
- Контактные данные и сведения о юридическом лице.
Без этих ответов уведомление будет некорректным, а передача — незаконной.
Адекватные и неадекватные страны
Роскомнадзор различает две категории юрисдикций, и это влияет на сроки рассмотрения уведомлений.
- Страны с адекватной защитой. Сюда входят страны Конвенции 108+ (Европа), а также страны из специального перечня РКН (Китай, Израиль, Южная Корея и др.). При передаче в эти страны можно начинать обмен данными сразу после отправки уведомления в РКН, не дожидаясь ответа.
- Страны, не обеспечивающие адекватную защиту. Самый яркий пример — США (из-за Patriot Act), а также многие офшоры. Здесь действует разрешительный порядок. После подачи уведомления нужно ждать 10 рабочих дней. Роскомнадзор может запретить или ограничить передачу, если сочтет, что права россиян под угрозой.
Риски и последствия нарушений
Игнорирование требований по трансграничной передаче — это не просто бюрократическое нарушение.
Последствия могут быть фатальными для IT-инфраструктуры:
- Запрет передачи. Регулятор может вынести предписание о прекращении передачи. Если ваш бизнес завязан на облако в «запрещенной» стране, это технический дефолт.
- Штрафы. Ответственность за неподачу уведомления предусмотрена ст. 19.7 КоАП РФ, но более серьезные штрафы (до 500 тыс. рублей) грозят за нарушение законодательства в области персональных данных в целом.
- Репутация. Партнеры и крупные клиенты проводят compliance-аудиты и могут расторгнуть контракт, если увидят, что ваш международный обмен данными не легализован.
Мы помогаем бизнесу провести инвентаризацию трансграничных потоков, классифицировать страны-получатели, собрать необходимые доказательства безопасности от иностранных контрагентов и корректно подать уведомление, минимизируя риск запрета.
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов