Трансграничная передача данных: скрытые риски и требования 152-ФЗ

от

“Трансграничная передача данных – это не просто о том, куда поехали твои файлы. Это ловушка для невнимательных: можно выполнить все внутренние требования ФСТЭК и 152-ФЗ, поставить сертифицированные СЗИ, а потом случайно отправить лог с IP-адресами клиентов в облако за границу и получить штраф. Это зона повышенного риска, где сталкиваются технические меры защиты и абстрактные юридические конструкции, вроде ‘адекватности’ уровня защиты страны-получателя.”

Что такое трансграничная передача и когда она возникает

В российском правовом поле трансграничная передача персональных данных (ПДн) – это передача информации, содержащей ПДн, на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или юридическому лицу. Ключевое слово – “территория иностранного государства”.

Это происходит не только при явных действиях, таких как загрузка файлов в зарубежный дата-центр или использование SaaS-сервиса с серверами за границей. Передача может быть опосредованной и неочевидной:

  • Использование облачных сервисов с неопределённой или автоматически выбранной геолокацией серверов.
  • Направление данных в службу технической поддержки иностранного вендора для анализа инцидента.
  • Интеграция с зарубежными аналитическими системами (например, для веб-аналитики).
  • Работа удалённых сотрудников (в том числе фрилансеров), находящихся за пределами России, с корпоративными системами, содержащими ПДн коллег или клиентов.
  • Роуминг трафика через иностранные узлы, даже если конечный сервис расположен в России. Это технически сложный для контроля сценарий, который часто упускают из виду.

Проще говоря, если база данных или её копия в любой момент оказывается на физическом носителе или сервере за пределами РФ, и это касается ПДн российских граждан – это трансграничная передача, требующая правового оформления.

Основные регуляторные рамки: 152-ФЗ и позиция Роскомнадзора

Основным регулятором в этой сфере является Роскомнадзор (РКН). Его требования базируются на Федеральном законе № 152-ФЗ “О персональных данных”, конкретно – на статье 12.

Закон устанавливает, что перед осуществлением трансграничной передачи оператор ПДн должен убедиться, что иностранное государство, на территорию которого передаются данные, обеспечивает адекватную защиту прав субъектов ПДн. Если такой уверенности нет, передача возможна только при соблюдении одного из исключений, прямо указанных в законе. Это краеугольный камень всего регулирования.

Роскомнадзор публикует перечень стран, обеспечивающих адекватную защиту. В него традиционно входят, например, государства-члены ЕАЭС, а также некоторые другие страны. Актуальный список нужно проверять на официальном сайте РКН, так как он может меняться.

Страны с «адекватным» уровнем защиты и работа с «белым списком»

Концепция “адекватного уровня защиты” заимствована из международной практики (например, GDPR), но в российской трактовке имеет свою специфику. Роскомнадзор оценивает не только наличие в стране закона о защите данных, но и практику его применения, возможности субъектов ПДн по защите своих прав, наличие надзорного органа и т.д.

Если страна-получатель данных входит в перечень РКН, оператору достаточно до начала передачи уведомить об этом регулятора, направив соответствующее уведомление. Это наиболее простой с юридической точки зрения сценарий.

Однако список этот ограничен. Большинство популярных IT-направлений для размещения данных (США, страны Европы, Юго-Восточной Азии) в него не входят. Что делать в этом случае? 152-ФЗ предусматривает альтернативные пути.

Основания для передачи в страны без адекватной защиты

Когда передача идёт в страну, не входящую в “белый список” РКН, необходимо обеспечить одно из следующих условий, прямо предусмотренных частью 2 статьи 12 152-ФЗ:

  1. Письменное согласие субъекта ПДн. Это должно быть информированное, конкретное и недвусмысленное согласие, где субъект прямо указал страну (или страны) назначения. Получить такое согласие от всех клиентов или сотрудников на постоянной основе часто организационно сложно или невозможно.
  2. Исполнение договора, стороной которого является субъект ПДн. Например, если россиянин покупает товар в иностранном интернет-магазине, и для доставки требуется передать его данные логистической компании в другой стране. Для B2B-операторов это основание применяется реже.
  3. Защита жизни, здоровья или иных жизненно важных интересов субъекта ПДн или других лиц. Чрезвычайная ситуация, применяется в исключительных случаях.
  4. Передача в рамках международных договоров РФ. Например, в правоохранительных целях по запросу в рамках действующих соглашений.
  5. Обеспечение правопорядка и безопасности. Основание для государственных органов.

Для большинства IT-компаний, которым необходимо, например, использовать зарубежные облачные сервисы для обработки данных российских пользователей, самым реалистичным (хотя и непростым) способом является получение согласия субъектов.

Договорной механизм и стандартные (модельные) контракты

Мировая практика предлагает ещё один инструмент – использование специальных договоров между экспортёром и импортёром данных, которые гарантируют субъекту ПДн уровень защиты, сопоставимый с уровнем в стране экспорта. В GDPR это Standard Contractual Clauses (SCC).

В российском законодательстве подобный механизм прямо не прописан, но он может быть использован как часть мер по обеспечению безопасности данных. Оператор может заключить с иностранным контрагентом договор, в котором тот обязуется соблюдать требования 152-ФЗ в части обработки полученных ПДн, обеспечивать конфиденциальность и безопасность, а также предоставлять субъекту ПДн возможность осуществлять его права.

Такой договор не отменяет необходимости иметь одно из оснований из статьи 12, но является важным доказательством того, что оператор предпринял все разумные меры для защиты данных при их передаче. Наличие подобного соглашения может стать серьёзным аргументом в случае проверки.

Уведомление Роскомнадзора и учёт в документообороте

Любая трансграничная передача должна быть отражена во внутренней документации оператора. В Уведомлении об обработке ПДн, направляемом в Роскомнадзор, есть отдельное поле для указания сведений о трансграничных передачах (или об их отсутствии).

Если в процессе деятельности появилась новая передача или изменились её параметры, оператор обязан актуализировать своё Уведомление в РКН. Несвоевременное уведомление или указание недостоверных сведений само по себе является нарушением.

Кроме того, факт передачи, её цель, правовое основание (например, реестр полученных согласий), перечень передаваемых данных и страна назначения должны быть описаны во внутреннем документе – Политике в отношении обработки ПДн или в отдельном реестре трансграничных передач. Это обязательный элемент подотчётности.

Требования ФСТЭК к технической защите при трансграничной передаче

Федеральная служба по техническому и экспортному контролю (ФСТЭК) не регулирует юридические аспекты трансграничной передачи как таковой. Её сфера ответственности – техническая и криптографическая защита информации (в том числе ПДн) при её обработке.

Однако, если ПДн передаются за границу, они в любом случае проходят через каналы связи. И вот здесь вступают в силу требования приказов ФСТЭК, в частности, базового приказа № 21. Ключевые моменты:

  • Классификация ИСПДн. Система, из которой осуществляется передача, должна быть классифицирована, и для неё должны быть определены актуальные угрозы.
  • Защита каналов связи. При передаче ПДн по сетям общего пользования (интернет) должны применяться средства защиты информации (СЗИ), сертифицированные ФСТЭК. Как минимум, речь идёт о VPN-шлюзах или средствах криптографической защиты информации (СКЗИ), которые обеспечивают конфиденциальность и целостность данных в канале.
  • Защита от утечек. Система, осуществляющая передачу, должна быть оснащена средствами предотвращения утечек (DLP), контролирующими несанкционированную отправку данных. Правила DLP должны быть настроены и на блокировку попыток передачи в неразрешённые иностранные юрисдикции.
  • Протоколирование. Сам факт передачи, её источник, получатель, объём данных и время должны протоколироваться средствами безопасности (SIEM, журналы межсетевых экранов) и храниться установленный срок.

Таким образом, ФСТЭК требует не “разрешить или запретить” передачу, а технически её обезопасить, как и любой другой канал связи, по которому циркулируют защищаемые данные.

Риски и последствия нарушений

Игнорирование требований к трансграничной передаче – это прямая дорога к административной ответственности. Роскомнадзор активно проверяет этот аспект, особенно у крупных операторов и интернет-сервисов.

Санкции предусмотрены КоАП РФ:

  • Статья 13.11: Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (ПДн). Часть 8 этой статьи прямо касается трансграничной передачи. Максимальный штраф для юридических лиц может достигать 6 млн рублей, а за повторное нарушение – до 18 млн рублей.
  • Кроме штрафов, РКН может выдать предписание об устранении нарушения, а в крайних случаях – потребовать блокировки ресурса, осуществляющего незаконную передачу данных.

Нарушение требований ФСТЭК к защите каналов связи также влечёт ответственность по соответствующим статьям КоАП (например, ст. 13.12, ст. 13.13), что может привести к дополнительным крупным штрафам и дисквалификации ответственных лиц.

Практические шаги для IT-компании: чек-лист действий

Чтобы минимизировать риски, следуйте структурированному подходу:

  1. Инвентаризация. Составьте полный перечень всех процессов, где данные могут покидать территорию РФ. Проанализируйте логи сетевого оборудования, конфигурации облачных сервисов, договоры с подрядчиками.
  2. Определите основание. Для каждого выявленного потока определите страну назначения и проверьте её наличие в перечне РКН. Если страны нет в списке – определите, какое из оснований статьи 12 152-ФЗ вы можете применить (чаще всего – согласие или договор с субъектом).
  3. Подготовьте документы. Оформите необходимые согласия, включите условия в публичную оферту, заключите договоры с иностранными контрагентами, актуализируйте внутреннюю Политику конфиденциальности.
  4. Обеспечьте техническую защиту. Убедитесь, что каналы передачи защищены сертифицированными СЗИ (VPN, СКЗИ). Настройте правила в DLP и межсетевых экранах для контроля и блокировки неразрешённых трансграничных потоков.
  5. Уведомите регулятора. Внесите сведения о трансграничных передачах в Уведомление Роскомнадзора. Не забывайте обновлять его при изменениях.
  6. Ведите учёт. Заведите и поддерживайте в актуальном состоянии реестр трансграничных передач, куда вносите все случаи с указанием оснований.
  7. Проводите аудит. Регулярно (хотя бы раз в год) перепроверяйте все пункты этого чек-листа, так как IT-инфраструктура и используемые сервисы имеют свойство меняться.

Главная ошибка – считать, что если данных физически нет на ваших серверах в России, то и ответственности нет. Напротив, передача данных за рубеж только увеличивает внимание регуляторов и требует от оператора максимальной осознанности и проработанности как юридических, так и технических аспектов.

Оставьте комментарий