ГрамотаИБ ГрамотаИБ

Перечень стран с адекватной защитой ПДн: приказ Роскомнадзора №128

Редакция ГрамотаИБ · Опубликовано 07.07.2026

Что такое перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (приказ Роскомнадзора №128 от 05.08.2022, в силе с 1 марта 2023), как страны делятся на две группы, что это значит для трансграничной передачи данных и уведомления Роскомнадзора и как проверить государство получателя.

Когда персональные данные уходят за границу — в иностранное облако, сервис или головной офис, — режим передачи зависит от того, обеспечивает ли страна-получатель адекватную защиту прав субъектов. Список таких стран утверждён приказом Роскомнадзора от 05.08.2022 №128 (действует с 1 марта 2023 года, пришёл на смену приказу №274 от 2013 года). Разберём, зачем нужен этот перечень и как им пользоваться.

Зачем нужен перечень

Статья 12 152-ФЗ делит все государства на две группы: обеспечивающие адекватную защиту прав субъектов и не обеспечивающие. От группы зависит, на каких условиях можно передавать туда данные. Перечень из приказа №128 — это как раз официальный ответ на вопрос, к какой группе относится конкретная страна.

Две группы государств

  • Страны с адекватной защитой. Это, во-первых, участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а во-вторых — государства, дополнительно включённые в перечень Роскомнадзора (приказ №128). Передача в них возможна на более простых условиях.
  • Прочие страны (без адекватной защиты). Все, кто не относится к первой группе. Передача туда допускается, но с дополнительными условиями и ограничениями.

Сам перечень Роскомнадзора включает ряд государств помимо участников Конвенции; его актуальную редакцию нужно смотреть в действующем приказе, потому что состав может уточняться.

Что это значит для трансграничной передачи

С 1 марта 2023 года (поправки 266-ФЗ) действует общее правило: до начала трансграничной передачи оператор обязан подать в Роскомнадзор отдельное уведомление о намерении осуществлять трансграничную передачу — независимо от страны. А дальше режим различается:

  • В страны с адекватной защитой — после направления уведомления передачу можно вести (Роскомнадзор вправе её ограничить лишь при определённых условиях).
  • В прочие страны — передачу нельзя начинать до истечения срока рассмотрения уведомления Роскомнадзором; ведомство может её запретить или ограничить. Исключения — узкие случаи вроде защиты жизненно важных интересов субъекта.

При этом в любом случае нужно законное основание самой обработки (статья 6), а для специальных и биометрических данных — по статьям 10 и 11. Полный разбор режима — в статье «Трансграничная передача персональных данных».

Как проверить страну получателя

  • Определите, куда реально уходят данные (страна нахождения получателя, сервера, головного офиса).
  • Проверьте, участник ли это Конвенции Совета Европы или входит ли страна в перечень приказа №128.
  • По итогу выберите режим: «адекватная» страна или «прочая» — от этого зависят условия и сроки передачи.

Типичные ошибки

  • Считают, что перечень отменяет уведомление. Уведомление о трансграничной передаче нужно и для «адекватных» стран.
  • Передают в «прочую» страну сразу. Не дожидаются окончания срока рассмотрения уведомления Роскомнадзором.
  • Не отслеживают состав перечня. Ориентируются на устаревшую редакцию (в том числе на отменённый приказ №274).

Главное

Перечень из приказа Роскомнадзора №128 (в силе с 1 марта 2023) отвечает на вопрос, обеспечивает ли иностранное государство адекватную защиту прав субъектов: к таким относятся участники Конвенции Совета Европы и страны из перечня Роскомнадзора, к прочим — все остальные. От группы зависит режим трансграничной передачи, но уведомление в Роскомнадзор нужно в любом случае. ГрамотаИБ помогает определить, есть ли у вас трансграничная передача, и подготовить уведомление и документы — попробовать можно в сервисе.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Заявление о принятии мер по ограничению доступа к ПДн: форма из приказа Роскомнадзора №85

Что такое заявление субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением закона (приказ Роскомнадзора №85 от 22.07.2015, статья 15.5 149-ФЗ): когда его можно подать, зачем нужен судебный акт, какие сведения указываются в форме и что происходит дальше.

Реестр нарушителей прав субъектов ПДн и блокировка сайта: приказ Роскомнадзора №84

Что такое реестр нарушителей прав субъектов персональных данных, как работает механизм блокировки сайта за незаконную обработку ПДн по приказу Роскомнадзора №84 от 22.07.2015 и статье 15.5 149-ФЗ: роль судебного акта, взаимодействие Роскомнадзора с провайдером хостинга и операторами связи, сроки удаления информации.

Согласие на распространение персональных данных: приказ Роскомнадзора №18

Что такое согласие на обработку персональных данных, разрешённых субъектом для распространения (статья 10.1 152-ФЗ, приказ Роскомнадзора №18 от 24.02.2021), чем оно отличается от обычного согласия, что обязательно должно быть в его содержании, как субъект устанавливает запреты и условия и почему молчание не считается согласием.

Оценка вреда субъектам персональных данных: приказ Роскомнадзора №178

Что такое оценка вреда, который может быть причинён субъектам персональных данных, зачем её проводить по приказу Роскомнадзора №178 от 27.10.2022 (в силе с 1 марта 2023), какие три степени вреда он вводит (высокая, средняя, низкая) и по каким критериям, как оператору оценить и оформить вред и как это связано с реагированием на утечку.