Статья 21 152‑ФЗ: Трансграничная передача персональных данных

Статья 21 152‑ФЗ: Трансграничная передача персональных данных

Обзор и место нормы в 152‑ФЗ

Статья 21 152‑ФЗ о персональных данных устанавливает правила и ограничения для ситуаций, когда оператор передаёт персональные данные за пределы Российской Федерации — так называемая трансграничная передача. Проще говоря, если ваши системы, подрядчики, облачные сервисы, хостинг или адресаты находятся в другой стране, действуют требования ст. 21 152‑ФЗ.

Чтобы понимать контекст, полезно посмотреть общую логику закона: принципы обработки, правовые основания, локализация, безопасность и контроль. Рекомендуем сперва ознакомиться с кратким обзором закона (О законе 152‑ФЗ) и проверять текст последней редакции, а также изменения, которые вступают в силу в ближайшее время (изменения 2025; структура и статьи). Для более широкой темы см. также материал Трансграничная передача ПДн.

Когда применяется трансграничная передача

152‑ФЗ считает трансграничной любую передачу ПДн в государство, отличное от РФ, включая:

• использование зарубежного хостинга или облака (в том числе резервного) — см. Серверы, хостинг, ЦОД и Облака и Yandex Cloud;
• передачу ПДн иностранным подрядчикам/филиалам по договорам поручения — см. Поручение обработки ПДн;
• отправку ПДн по e‑mail или в мессенджеры, сервера которых находятся за границей — см. Мессенджеры и 152‑ФЗ;
• подключение аналитики/виджетов, где данные улетают в иные юрисдикции; для сайтов см. Требования к сайту, Cookie и баннеры, Формы на сайте и согласие.

Если есть сомнения, лучше квалифицировать сценарий как трансграничный и пройти процедуру, предусмотренную статьёй 21.

Основные правила и запреты ст. 21

Ключевые элементы, которые закрепляет статья 21 152‑ФЗ о персональных данных:

• Адекватная защита в стране получателя. Передача допускается, если государство обеспечивает «адекватный уровень» защиты прав субъектов персональных данных.
• Исключения при недостаточной защите. Если защита не считается адекватной, передача возможна только при наличии специальных оснований (см. ниже) — например, письменного согласия субъекта, исполнения договора с ним, защиты жизни и здоровья, правосудия и т. п.
• Локализация. При сборе ПДн граждан РФ оператор обязан обеспечить первичную запись, систематизацию и хранение в базах на территории РФ. Затем возможна трансграничная передача при соблюдении условий. Подробнее: Серверы/ЦОД.
• Предварительные проверки и уведомления. Оператор оценивает юрисдикцию, цели, объём ПДн и меры безопасности, а также соблюдает требования по уведомлению надзорного органа. См. Уведомление Роскомнадзора.
• Ответственность. Нарушения правил трансграничной передачи влекут санкции по КоАП РФ и иные меры. См. Ответственность и штрафы.

Основания для передачи: «адекватные» и «неадекватные» страны

В логике 152‑ФЗ трансграничная передача персональных данных делится на два массива сценариев.

Юрисдикция получателя	Можно ли без согласия субъекта	Дополнительные условия	Уведомление надзора
Страны с «адекватной» защитой	Да, при наличии законных целей и оснований обработки	Договоры, меры безопасности, принцип минимизации	Как правило, требуется предварительное уведомление о трансграничной передаче
Страны без «адекватной» защиты	Обычно нет, требуется отдельное письменное согласие либо специальные исключения	Усиленные договорные обязательства, оценка рисков, криптозащита	Уведомление обязательно, орган может ограничить передачу

Под «специальными исключениями» чаще всего понимают: исполнение договора с субъектом ПДн или заключение договора по его инициативе; защита жизни/здоровья; осуществление правосудия; выполнение международных соглашений; исполнение публично-правовых полномочий; и прямо выраженное согласие субъекта. За деталями обращайтесь к материалам: Обработка без согласия и Права субъектов ПДн.

Чек‑лист оператора перед передачей

• Опишите цели и правовые основания обработки (см. Принципы и цели).
• Составьте реестр потоков ПДн и определите, какая часть уходит за границу.
• Проверьте требование локализации: первичные базы по гражданам РФ размещены в России? (Серверы/ЦОД).
• Оцените «адекватность» юрисдикции получателя и риски.
• Определите правовое основание передачи (договор, закон, согласие и т. п.).
• Подготовьте документы: политика, регламенты, DPIA/оценка рисков, модель угроз (см. Политика обработки ПДн, Модель угроз ИСПДн).
• Заключите договоры поручения/трансфера с обязательными условиями (см. Поручение обработки ПДн).
• Настройте меры безопасности: шифрование каналов и данных, контроль доступа, журналирование (см. Меры безопасности ПДн, Криптография/шифрование).
• Подайте уведомление в Роскомнадзор при необходимости (Уведомление; Реестр операторов).
• Проведите внутренний контроль и обучение сотрудников (Внутренний контроль и обучение).

Договоры с зарубежными обработчиками

Когда в цепочке появляется иностранный обработчик (processor) или получатель, ст. 21 152‑ФЗ в сочетании с общими нормами требует, чтобы оператор документально гарантировал соблюдение прав субъектов. Включите в договор:

• предмет и перечень операций с ПДн; категории ПДн и субъектов;
• цели и сроки обработки/хранения; порядок возврата/удаления;
• запрет на превышение целей и передачу третьим лицам без согласия оператора;
• обязанности по безопасности, уровни защиты ИСПДн и применяемые меры (шифрование, сегментация, резервирование);
• уведомления об инцидентах и порядок взаимодействия (см. Инциденты и утечки);
• право аудита/опроса, предоставление отчётности;
• трансграничные субподрядчики (условия и согласования);
• юрисдикцию споров и применимое право с учётом императивных норм РФ.

Полезные материалы и шаблоны: Пакет документов 152‑ФЗ, Шаблоны и формы, Генератор политики и согласий.

Согласие субъекта: когда обязательно и как оформить

Если страна получателя не обеспечивает адекватной защиты, оператору обычно требуется отдельное согласие на трансграничную передачу. Оно должно быть конкретным и информированным и, как правило, включать:

• государство(-а) получателя и перечень потенциальных получателей;
• цели передачи и перечень ПДн;
• совершаемые действия с ПДн и сроки обработки;
• ссылки на риски и гарантии безопасности;
• порядок отзыва согласия и последствия (см. Заявления и отзыв согласия).

Сервисы и формы: Согласие на обработку ПДн, Согласие на распространение. Для сайтов — интеграция согласий во все точки сбора ПДн: формы, чат‑виджеты, виджеты обратной связи (Формы на сайте и согласие).

Уведомление Роскомнадзора и реестр операторов

Перед началом трансграничной передачи оператор, как правило, уведомляет Роскомнадзор, указав:

• страны получателя, цели и правовые основания передачи;
• категории ПДн и субъектов;
• сведения о получателях и мерах безопасности;
• информацию о локализации первичных баз в РФ.

Надзорный орган вправе запрашивать дополнительные сведения и в отдельных случаях ограничивать передачу. Подробности — в статьях: Уведомление Роскомнадзора, Реестр операторов ПДн, Проверки Роскомнадзора. Поддерживайте сведения в реестре в актуальном состоянии и своевременно сообщайте об изменениях.

Безопасность данных при международной передаче

Технические и организационные меры — обязательная часть исполнения ст. 21 152‑ФЗ:

• защищённые каналы связи, TLS, VPN, шифрование в покое и при передаче (Криптография);
• разграничение доступа, MFA, контроль привилегий;
• журналирование, мониторинг и реагирование на инциденты (Инциденты и утечки);
• резервное копирование и план восстановления;
• аттестация/оценка соответствия и уровни защищённости ИСПДн (Уровни защищённости ИСПДн);
• учёт требований смежных регуляторов (ФСТЭК/ФСБ) при необходимости (Требования ФСТЭК и ФСБ).

Типовые кейсы: что считать трансграничной передачей

• Иностранный облачный CRM или helpdesk. Передача реестра клиентов, заявок и переписки — трансграничная. Нужны договорные гарантии, уведомление, иногда согласие. Полезно: Облака, Поручение обработки.
• Отправка персональных данных в зарубежный мессенджер или e‑mail. Файл с резюме, договором, сканом паспорта — это трансграничная передача. Настройте безопасный канал и проверьте основания. См. Мессенджеры и 152‑ФЗ.
• Встраивание виджетов и аналитики с серверами за рубежом. Cookie и онлайн‑идентификаторы могут считаться персональными данными. Нужны баннеры, политика cookie, механизмы согласия и уведомления: Cookie и баннеры, Яндекс.Метрика и 152‑ФЗ.
• Группа компаний: передача кадровых данных в центральный офис за рубежом. Нужны внутригрупповые соглашения, локализация в РФ и проверка оснований. Для сопоставления международных требований см. GDPR и 152‑ФЗ.

Ответственность и риски

Нарушение правил «152‑ФЗ трансграничная передача» влечёт:

• административные штрафы по ст. 13.11 КоАП РФ (размер зависит от состава и повторности) — см. КоАП 13.11 и ПДн, Ответственность и штрафы;
• предписания и ограничения от Роскомнадзора, вплоть до требований прекратить передачу;
• риски гражданско‑правовой ответственности и репутационные потери.

Основание и аргументы часто разбираются судами, смотрите подборку: Судебная практика по 152‑ФЗ.

Итоги и что делать дальше

Статья 21 152‑ФЗ — ваш навигатор по безопасной трансграничной передаче персональных данных. Алгоритм: локализуйте первичные базы в РФ, проверьте «адекватность» страны, выберите правовое основание (договор/закон/согласие), оформите договорные гарантии, внедрите меры безопасности и уведомьте Роскомнадзор. Для самооценки используйте наш Чек‑лист по 152‑ФЗ и материалы по Подготовке к проверке.

Нужна помощь с анализом потоков ПДн, документами и уведомлением? Закажите аудит и сопровождение: Аудит соответствия 152‑ФЗ, Аудит сайта, Консалтинг и документы «под ключ», либо быстро соберите политику и согласия в конструкторе — Генератор политики и согласий.