Должны ли соблюдаться требования российского законодательства при отправке персональных данных российских граждан за границу? Какие нюансы нужно учитывать при хранении персональных данных с использованием иностранных цифровых хранилищ?
Законодательство о персональных данных содержит весьма обширное определение понятию «персональные данные» (по тексту – ПД).
ПД является любая информация о человеке, с помощью которой его можно идентифицировать (Федеральный закон от 27.07.2006 г. №152-ФЗ). Например, указание одной фамилии не является ПД, а если добавить к фамилии паспортные данные либо адрес человека, то это уже ПД.
При покупках на маркетплейсах за рубежом российские покупатели предоставляют свои ПД – ФИО, паспортные данные, место жительства. Такая информация необходима для таможенного оформления товара.
Что нужно сделать до начала передачи ПД за рубеж
Передача ПД за пределы России, если получателем информации является иностранный гражданин, иностранная компания или структура без образования юридического лица, расценивается как трансграничная передача данных.
Например, оператор ПД планирует отправить список российских граждан с личными контактами для заселения в отель Турции. Такая операция считается трансграничной передачей ПД. Отправка документов с ПД россиян через иностранные почтовые сервисы, например, Gmail, Yahoo либо мессенджеры, например, WhatsApp, также считается трансграничной передачей данных.
Перед отправкой ПД оператор должен (письмо Минцифры от 12.05.2025 г. №П25-44929):
- получить сведения от органов власти иностранной страны, иностранных граждан или компаний, которым планируется передавать данные;
Например, контакты иностранца, который занимается обработкой ПД, способы защиты информации.
- направить уведомление в Роскомнадзор.
Как заполнить уведомление в Роскомнадзор
Уведомление о трансграничной передаче данных можно составить на бумаге либо в электронном виде.
Электронный документ можно заполнить на портале Роскомнадзора (https://pd.rkn.gov.ru/cross-border-transmission/form2/).
Перед подачей уведомления нужно пройти аутентификацию на сайте госуслуг, заполнить форму и направить ее в электронном виде. Информацию о статусе рассмотрения уведомления можно проверить по ссылке: https://pd.rkn.gov.ru/cross-border-transmission/notification_check/.
Как передать ПД за рубеж
После направления уведомления в Роскомнадзор оператор должен определить категорию зарубежной страны, куда будут передаваться ПД.
Для этого нужно посмотреть:
-
является ли иностранное государство стороной Конвенции Совета Европы о защите граждан при автоматизированной обработке ПД ( https://www.consultant.ru/document/cons_doc_LAW_121499/) либо
-
включено в Перечень стран, которые гарантируют адекватную защиту прав субъектов ПД (приказ Роскомнадзора от 05.08.2022 г. №128).
Страны, которые включены в список, считаются безопасными для передачи ПД. К ним относятся: Турция, Греция, Кипр, Грузия, Казахстан.
Поэтому в эти страны информацию о ПД можно передавать до принятия Роскомнадзором решения о запрете или ограничении передачи данных.
Если же иностранного государства нет ни в Конвенции, ни в Перечне, то оператору ПД нужно дождаться решения Роскомнадзора. На это отводится 10 рабочих дней с даты поступления уведомления (постановление Правительства от 10.01.2023 г. №6).
Как хранить ПД за рубежом
С 1 июля 2025 года изменились требования к хранению ПД российских граждан на иностранных облачных хранилищах (ч.5 ст.18 Федерального закона от 27.07.2006 г. №152-ФЗ).
Первичная обработка информации - сбор, запись, систематизация и хранение должна осуществляться на серверах, которые физически расположены в России.
Например, обработка первичной информации от российского покупателя – заполнение формы обратной связи, создание заказа должна происходить на российском сервере. И только потом передаваться в иностранные хранилища при соблюдении правил передачи ПД.
Если форма на сайте напрямую направляет данные в зарубежный сервис, даже при дублировании данных через API в России, то это считается нарушением.
API – это средство взаимосвязи, которое помогает программам обмениваться информацией.
Таким образом, хранение ПД российских граждан должно происходить в базе данных, расположенной в России. И только после того, как данные зафиксированы в российском хранилище, допускается их передача за рубеж при соблюдении определенных правил (ст.12 Федерального закона от 27.07.2006 г. №152-ФЗ).
Для соблюдения законодательства о ПД нужно выполнить несколько условий:
-
согласие человека с указанием на трансграничную передачу;
-
уведомление Роскомнадзора;
-
соблюдение гарантий со стороны получателя ПД.
Оператор перед отправкой информации о ПД россиян должен убедиться, что получатель сможет обеспечить сохранность полученных сведений.
Штрафы за нарушение требований к обработке ПД
Штрафы могут грозить как компаниям, так и должностным лицам, на которых возложена обязанность по обработке ПД.
Если оператор ПД не предоставил либо предоставил в неполном объеме уведомление о намерении осуществлять трансграничную передачу ПД, то компанию могут оштрафовать до 5 тыс. рублей, а ее должностное лицо – до 500 рублей (ст.19.7 КоАП).
За нарушение требований к локализации ПД размер штрафа для компании может достигать до 6 млн рублей, а для ее должностных лиц – до 200 тыс. рублей.
Повторное нарушение карается штрафом - до 18 млн рублей для компаний, а для должностных лиц – до 800 тыс. рублей (п.8 и п.9 ст. 13.11 КоАП).
Например, сбор, хранение ПД российских граждан сразу в иностранных хранилищах.
Многочисленные штрафы действуют за нарушения при взаимодействии с Роскомнадзором.
Если оператор ПД не выполнит в срок предписание контролера об устранении нарушений, то штраф для компаний может составить до 20 тыс. рублей, а для должностных лиц - до 2 тыс. рублей (п.1 ст.19.5 КоАП).
