Пересечение границ потока данных
В 14:23 пришёл запрос от американского суда. В 14:25 — уведомление Роскомнадзора. Вы не нарушали закон. Вы оказались в точке его разрыва.
российское право
Статья 18 152-ФЗ не содержит исключений для «облачной архитектуры». Три условия легитимной передачи — не рекомендации. Это три точки отказа.
❶
Согласие субъекта с указанием конкретной страны. Не «страны ЕАЭС». Официальное название на русском. Опечатка — основание для признания передачи нелегитимной.
❷
Уведомление Роскомнадзора до передачи. Не в течение 3 дней. До. Отсутствие уведомления аннулирует даже наличие согласия.
❸
Локализация операционной копии базы на территории РФ. Не «зеркало раз в сутки». Операционная база. Доступная для обработки в реальном времени.
Облачный провайдер автоматически реплицирует данные между дата-центрами в Германии, Нидерландах и Сингапуре. Вы не инициировали передачу. Но вы — оператор. Ответственность ваша.
международный контекст
GDPR не требует локализации, но обязывает применять «адекватные гарантии» при передаче в третьи страны. Стандартные договорные условия (SCCs) заменяют физическое хранение на юридические механизмы защиты.
❶
Стандартные договорные условия (SCCs) между оператором и получателем данных. Юридический инструмент вместо физической локализации.
❷
Оценка воздействия на защиту данных (TIA) при передаче в страны без адекватной защиты. Анализ законодательства страны получателя.
❸
Право субъекта на возмещение ущерба напрямую от получателя данных в третьей стране. Юрисдикция суда — страна проживания субъекта.
Оператор с российской регистрацией обязан соблюдать оба режима одновременно. Локализация по 152-ФЗ + SCCs по GDPR. Отсутствие одного из элементов — нарушение.
⚠️
Запрос от иностранного регулятора при запрете на вывоз данных из РФ создаёт правовую ловушку: выполнение одного требования автоматически нарушает другое. Техническое решение отсутствует — только юридическая анонимизация до уровня, когда данные перестают быть персональными.
Маршрут данных: три юрисдикции в одной операции
СБОР
Веб-форма на российском домене. Сервер приёма — Москва. Юрисдикция РФ применяется автоматически.
→
ОБРАБОТКА
Аналитический движок в дата-центре Нидерландов. Трансграничная передача без уведомления Роскомнадзора — нарушение статьи 18.
→
ХРАНЕНИЕ
Архивные копии в Германии, США, Сингапуре. Каждая репликация — отдельный акт передачи. Три нарушения в одной операции.
Оператор отвечает за все три точки — даже если знал только о первой. Незнание маршрута данных не освобождает от ответственности.
Технические меры
- Геопривязка на уровне гипервизора (не приложения) — например, отключение автоматической репликации между регионами в облаке
- Шифрование до передачи с ключами под контролем оператора (не провайдера)
- Аудит логов с фиксацией страны точки входа для каждой операции с ПДн
- Автоматическая блокировка экспортных запросов без цифровой подписи ответственного лица
Организационные меры
- Карта маршрутов ПДн с указанием всех точек пересечения границ (включая резервное копирование)
- Регламент уведомления Роскомнадзора за 10 рабочих дней до планируемой передачи
- Шаблоны согласий с обязательным указанием стран-получателей в именительном падеже
- Договоры с иностранными контрагентами с включением стандартных условий обработки
КРИТИЧЕСКАЯ ОШИБКА
Использование облачных сервисов с «гибкой» географией (например, AWS S3 Standard, Google Cloud Storage Multi-Region) без дополнительных ограничений. Такие сервисы автоматически реплицируют данные между регионами — что квалифицируется как несанкционированная трансграничная передача по 152-ФЗ.
72 часа
Максимальный срок блокировки после выявления нарушения до подачи заявки на разблокировку
6%
Штраф от годового оборота за нарушение 152-ФЗ при обработке ПДн в крупном масштабе
0 предупреждений
Решение о блокировке принимается без предварительного уведомления при выявлении передачи без соблюдения ст. 18
Блокировка применяется к информационной системе целиком. Если сайт и внутренняя АС используют одну базу ПДн — блокируется весь домен, включая кабинеты сотрудников и админ-панели.
[✓] Практическая экспертиза: SEBERD IT Base