Что такое трансграничная передача данных

В теории трансграничная передача — это передача персональных данных из России в другую страну. На практике — это почти все, что связано с иностранными облачными сервисами: Google, Meta, Telegram, Notion, Tilda, зарубежные CRM, аналитика и email-платформы. Даже если вы просто отправили клиентскую базу через Gmail — это уже трансграничка.

Вот где чаще всего бизнес «незаметно» передает данные за рубеж:

• Формы на Google Forms, Typeform, Jotform — пользователь заполнил, данные ушли на зарубежный сервер.
• Google Analytics, Meta Pixel — поведение посетителя автоматически отправляется за границу.
• Облачные документы: Google Docs, Notion, Airtable — данные сотрудников, клиентов, партнеров.
• Почта и CRM: письма через Gmail, автоматизация в Pipedrive, Hubspot, Mailchimp.
• Заказ и приобретение билетов на сайтах зарубежных перевозчиков, бронирование отелей, туров за границей.
• Telegram-боты и чаты с клиентами — тоже могут попадать под трансграничную передачу.

Для передачи данных в «недопустимые» страны нужны дополнительные меры: уведомление, согласие, обоснование.

С 1 марта 2023 года действует обязательное правило: любой оператор персональных данных, который планирует передавать данные, в том числе за границу, обязан предварительно уведомить Роскомнадзор. Это касается всех случаев трансграничной передачи — вне зависимости от страны-получателя. Разница между странами важна, но не отменяет уведомления.

Если данные передаются в страны с «адекватной защитой» — уведомление подается в обычном порядке. Роскомнадзор регистрирует его, и вы можете продолжать обработку.

Если страна не обеспечивает «адекватную защиту» — вы также обязаны подать уведомление, но Роскомнадзор сначала проводит проверку. Он оценивает:

• достаточность принимаемых вами мер защиты,
• наличие согласия субъектов данных,
• основания и цели передачи.

Передача данных в такие страны возможна только после одобрения РКН. Это ключевое отличие. И да — даже если вы уже подали уведомление раньше, но теперь расширяете цели, добавляете новые страны или меняете технических партнеров, нужно подать обновленное уведомление.

Есть ситуации, когда трансграничная передача возможна на упрощенных условиях, но уведомление Роскомнадзора в большинстве случаев все равно требуется.

• Если у оператора есть письменное, информированное согласие субъекта данных, в котором указаны страна, цель передачи и принимающая сторона, — передача возможна даже в страны с «низким уровнем защиты». Уведомление подать нужно, но процедура его рассмотрения будет упрощенной.
• Если передача данных предусмотрена трудовым или гражданским договором, и данные передаются самому субъекту (или по его просьбе, например, выслать справку, копии документов, информацию об обработке), — это считается допустимым основанием. Тем не менее уведомление все равно подается.
• Если передача происходит в рамках международных соглашений РФ или по линии государственных структур, возможны исключения. Но эти случаи специфичны и требуют отдельной правовой оценки.

Уведомление подается в электронном виде через личный кабинет оператора ПДн на сайте Роскомнадзора.

Вам нужно указать:

• перечень стран, куда передаются данные,
• цели передачи,
• какие категории ПДн передаются (например, ФИО, e-mail),
• правовые основания (согласие, договор и т.п.),
• меры защиты данных.

Можно воспользоваться шаблонами — например, на том же сайте Роскомнадзора или у КонсультантПлюс есть инструкции и образцы. Если нужна помощь, подключайте юриста, особенно если у вас несколько направлений передачи.

Трансграничная передача — это не экзотика, а ежедневная реальность для любого бизнеса, работающего онлайн. Даже простое использование зарубежного облачного сервиса или аналитики может привести к нарушению закона, если не соблюдены формальности.

• проверьте, с кем вы работаете и где хранятся данные,
• получите согласие,
• подайте уведомление в Роскомнадзор.

Или — переходите на российские или локализованные сервисы, где все проще и безопаснее. Для профессиональной помощи обращайтесь в агентство digital маркетинга SUN Agency.