Персональные данные за границу: что запрещено и как не получить штраф
Когда вы передаёте персональные данные за границу, информацию о клиентах, сотрудниках или партнёрах, которая может идентифицировать личность, например ФИО, телефон, email, паспортные данные. Также известно как трансграничная передача персональных данных, это не просто техническая операция — это юридический акт, за который Роскомнадзор штрафует до 750 тысяч рублей. Многие думают, что если данные ушли в облако или на сервер в Европе — это нормально. Но закон 152-ФЗ не спрашивает, где сервер. Он спрашивает: есть ли согласие? Есть ли гарантии безопасности? Есть ли решение Роскомнадзора?
Передача персональных данных, любой информации, позволяющей установить личность человека за рубеж — это не просто технический вопрос, а обязательное юридическое действие. Вы не можете просто скопировать базу клиентов и отправить её на сервер в США, даже если это «для удобства». Для этого нужен согласие на обработку данных, письменное разрешение от человека, чьи данные передаются, оформленное по правилам Роскомнадзора. Без него — штраф. Даже если вы используете зарубежные сервисы вроде Google, Mailchimp или Salesforce — вы обязаны получить от каждого клиента отдельное, чёткое согласие с указанием страны назначения. И да, чекбокс «Я согласен» на сайте — это не всегда достаточно. Роскомнадзор требует, чтобы человек понимал, куда и для чего его данные уйдут.
Есть ещё один путь — Роскомнадзор, федеральный орган, который контролирует соблюдение закона о персональных данных и ведёт реестр стран, допускающих защиту данных. Если вы передаёте данные в страну, которая есть в его специальном списке (например, Беларусь, Казахстан, Армения), то согласие не нужно — но только если вы соблюдаете все остальные требования 152-ФЗ. Для остальных стран — нужен отдельный порядок: либо получение согласия, либо заключение договора с иностранной стороной, где прописаны меры защиты, либо получение разрешения от Роскомнадзора. Многие компании думают, что если они используют EEA-стандарты GDPR — это всё решит. Но российский закон не признаёт GDPR как эквивалент. Вы должны соблюдать и то, и другое — иначе вас оштрафуют за нарушение 152-ФЗ, даже если вы не нарушили GDPR.
Проблема в том, что большинство бизнесов не думают об этом до тех пор, пока не получат уведомление от Роскомнадзора. А потом — поздно. Штраф уже выписан. Или хуже — клиенты узнали, что их данные ушли в неизвестное облако, и подали жалобы. Сколько компаний уже потеряли репутацию из-за того, что «просто подключили зарубежный сервис»? Не будьте следующими. В этом разделе вы найдёте реальные разборы, как правильно оформить передачу данных, какие документы нужны, где ловушки и как не попасться на удочку тех, кто говорит: «Это не страшно».
