О компании Услуги Ситуации Отрасли Органы Блог Отзывы F.A.Q. Кейсы Контакты
+7 (901) 499-39-49
Главная
Блог
Трансграничная передача в «адекватные» страны

Трансграничная передача в «адекватные» страны

+7 (495) 134-80-68

Трансграничная передача в «адекватные» страны: можно ли обойтись без уведомления?

В 2023‑м Роскомнадзор обновил перечень иностранных государств, гарантирующих «адекватную защиту» персональных данных (приказ № 128). Бизнес тут же задался вопросом: «Если страна в списке, можно ли отправлять данные без лишней бюрократии?» Разбираемся.

1. Что такое «адекватная защита»

Часть 2 статьи 12 ФЗ‑152 делит мир на две корзины:

  1. Гос‑участники Конвенции 108+ Совета Европы (пример: Германия, Франция).
  2. Не участники, но применяют похожие нормы (пример: Израиль, Сингапур, Казахстан).

Обе группы попали в перечень РКН. По логике — уровни защиты схожи, можно передавать.

2. Нужно ли уведомлять Роскомнадзор?

Передаём в страну из перечня

Передаём в «неадекватную» страну

Отдельное уведомление о трансграничке

Нет — пункт 5 ч. 3 ст. 22 позволяет не подавать отдельное уведомление, если страна в перечне и оператор уже зарегистрировал ИСПДн

Да, до старта передачи (ч. 3 ст. 22)

Согласие субъекта

Всё равно нужно, но достаточно обычного (ст. 9)

Обязательно отдельное письменное (ч. 4 ст. 12)

Иные меры

Договор, политика, СЗИ — по‑умолчанию

Плюс обоснование, почему иначе нельзя

Важно: если уведомление об ИСПДн ещё не подавали — придётся подать с отметкой о трансграничке вместе.

3. Конвенция vs «не конвенция», но в перечне

Перечень не делит права. И Франция, и Израиль считаются «адекватными». Отличие лишь в том, что для новых стран список могут обновить чаще — мониторьте портал РКН.

4. О чём ещё забывают предприниматели

  1. Локализация первичной записи никто не отменял (ст. 18.1). Данные граждан РФ сначала пишем на серверах в РФ, потом копируем за рубеж.
  2. Договор со сторонней платформой. Уточните, где именно физически хостятся сервера: Сан‑Паулу ≠ Сан‑Франциско.
  3. Ведомственные требования. Финтех, медицина, госсектор могут требовать только Конвенцию 108+, даже если страна «адекватна» по приказу 128.
  4. DPIA по‑русски. Для крупных потоков проверьте риски и зафиксируйте в модели угроз — это аргумент при проверке.
  5. Приостановка передачи. Роскомнадзор может в любой момент вычеркнуть страну. Держите план «B»: шифрование, реплика в РФ.

5. Мини‑чек‑лист перед отправкой

  • Убедились, что страна есть в актуальном перечне?
  • Локализуем первичную запись в РФ?
  • Взяли согласие (общий текст + пункт о трансграничке)?
  • Проверили договор с хостером на параметры шифрования и логи?
  • Записали передачу в журнал и реестр ИСПДн?

Передавать ПДн в «адекватные» страны можно без отдельного уведомления, если ИСПДн уже зарегистрирована. Но согласие, локализация первичной записи и контроль договоров остаются обязательными. АУП‑Консалтинг советует: мониторьте список РКН, фиксируйте риски и держите прозрачную документацию. Применяем комплексный подход — и спим спокойно даже при трансграничке.

Оставить заявку

Возврат к списку