ГрамотаИБ ГрамотаИБ

Трансграничная передача персональных данных (статья 12 152-ФЗ): когда можно и что нужно

Что такое трансграничная передача персональных данных, чем она отличается от локализации, когда нужно подать уведомление в Роскомнадзор и какие условия соблюсти. Передача в страны с адекватной защитой и в прочие государства, типичные ситуации (иностранные облака, сервисы, головной офис за рубежом) и ошибки.

Как только данные россиян уходят за пределы России — в иностранное облако, зарубежный сервис или головной офис за границей, — возникает трансграничная передача персональных данных. Это отдельный режим со своими правилами (статья 12 152-ФЗ), и его часто путают с локализацией. Разберём, когда передача допустима и что для этого нужно.

Что такое трансграничная передача

Это передача персональных данных на территорию иностранного государства органу власти, иностранному физическому или юридическому лицу. Важно не путать с локализацией: локализация (часть 5 статьи 18) требует, чтобы при сборе данных россиян их первичная запись и хранение шли в базах на территории РФ. Трансграничная передача — это про то, что происходит с данными дальше, когда они уходят за границу. Эти требования действуют вместе: сначала локализация, затем правила трансграничной передачи.

Уведомление Роскомнадзора

До начала трансграничной передачи оператор обязан подать в Роскомнадзор отдельное уведомление о намерении осуществлять такую передачу (это не то же самое, что уведомление об обработке). По итогам РКНРоскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; надзор за обработкой ПДн. вправе при определённых условиях ограничить или запретить передачу. Поэтому трансграничную передачу нельзя начинать «по умолчанию» — сначала уведомление.

Страны с адекватной защитой и прочие

Государства делятся на две группы. К странам, обеспечивающим адекватную защиту прав субъектов, относятся участники Конвенции Совета Европы о защите физических лиц и государства из перечня Роскомнадзора — в них передача возможна после направления уведомления. В остальные страны передавать данные нельзя до истечения срока рассмотрения уведомления Роскомнадзором (исключение — защита жизненно важных интересов субъекта). При этом в любом случае нужно законное основание самой обработки по статье 6, а для специальных и биометрических данных — по статьям 10 и 11.

Когда это возникает на практике

  • хранение или обработка данных в зарубежном облаке либо на иностранном сервисе;
  • иностранные счётчики и виджеты на сайте, передающие данные посетителей за границу;
  • передача данных головному офису или группе компаний за рубежом;
  • использование зарубежных CRM, рассылочных и аналитических сервисов.

Как это видит Роскомнадзор при проверке сайта — в статье «Роскомнадзор автоматически проверяет сайты»; пример с внешним облаком — в статье «Политика ПДн для сайта на внешнем хранилище».

Что сделать

  • Определите, есть ли у вас трансграничная передача (куда реально уходят данные).
  • Соблюдите локализацию: первичная запись данных россиян — в РФ.
  • Подайте уведомление о трансграничной передаче и оцените получателя и страну.
  • Зафиксируйте правовое основание; для стран без адекватной защиты — дополнительные условия.

Типичные ошибки

  • Передают без уведомления. Начинают трансграничную передачу, не подав уведомление в РКН.
  • Путают с локализацией. Считают, что достаточно «сервера в РФ», игнорируя правила передачи за рубеж.
  • Не оценивают получателя и страну. Передают в государство без адекватной защиты без дополнительных условий.

Главное

Трансграничная передача — это вывод персональных данных за пределы РФ, и она регулируется отдельно от локализации (статья 12 152-ФЗ). До начала передачи нужно уведомить Роскомнадзор, соблюсти локализацию при сборе и учесть, в какую страну и кому уходят данные. Чаще всего это всплывает с иностранными облаками, счётчиками и сервисами. ГрамотаИБ помогает определить, есть ли у вас трансграничная передача, и подготовить документы — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Персональные данные и Роскомнадзор» →

Школа собирает данные родителей через Яндекс Форму: насколько это законно

Школы всё чаще собирают анкеты родителей через онлайн-формы (Яндекс Формы, Google Формы). Разбираем, законно ли это по 152-ФЗ: почему школа здесь оператор, а сервис форм — обработчик, чем Яндекс Формы выгодно отличаются от зарубежных по локализации, что обязательно должно быть в самой форме (ссылка на политику, согласие, минимизация полей) и как не собрать лишнего. Рекомендации и типичные ошибки.

Как вести школьный чат и не нарушить 152-ФЗ

Родительские и классные чаты переполнены персональными данными: ФИО и телефоны, фотографии детей, оценки, сведения о здоровье. Разбираем, кто здесь оператор и применяется ли 152-ФЗ (личные нужды против официального чата школы), что категорически нельзя публиковать без согласия (фото детей, диагнозы, успеваемость, чужие контакты) и как вести чат аккуратно, чтобы не нарушить права других.

Персональные данные в школе и детском саду: согласие родителей и требования

Как образовательной организации (школе, детскому саду) законно обрабатывать персональные данные детей и родителей: когда основанием служит закон об образовании, а когда нужно согласие законного представителя, как быть с данными о здоровье и фотографиями, что оформить и какие ошибки ведут к претензиям.

Видеонаблюдение и персональные данные: что требует закон

Когда видеонаблюдение становится обработкой персональных данных и даже биометрии, на каком основании его можно вести, как информировать людей (таблички), сколько хранить записи и кому давать доступ. Отдельно — распознавание лиц как биометрия. Что оформить и типичные ошибки.