<p>
<i><b>Дарья Грунтович, руководитель группы по защите ПДн Angara Security.</b></i>
</p>
<p>
Для организаций, планирующих или осуществляющих передачу данных за пределы Российской Федерации, понимание текущих трендов регулирования является критически важным для бесперебойности бизнес-процессов и минимизации юридических рисков. Рассмотрим ключевые аспекты, характеризующие режим ТПД.
</p>
<h2>Разрешительный характер ТПД как устоявшаяся процедура</h2>
<p>
Ключевое изменение, которое операторы уже интегрировали в свои бизнес-процессы, — переход от уведомительного к разрешительному порядку трансграничной передачи в государства, не обеспечивающие адекватной защиты прав субъектов.
</p>
<p>
В настоящее время взаимодействие с Роскомнадзором требует от оператора тщательной предварительной проработки. На практике ведомство оценивает не только формальный пакет документов, но и обоснованность передачи, соответствие целей обработки составу данных, а также оценивает юрисдикцию получателя с учетом текущей внешнеполитической повестки. Операторам следует учитывать, что сроки рассмотрения уведомлений могут варьироваться, а любое несоответствие в обосновании необходимости ТПД является основанием для отказа. В связи с этим при запуске новых продуктов или изменении договорных отношений с иностранными контрагентами необходимо закладывать временной резерв на прохождение согласовательных процедур.
</p>
<h2>Контроль на техническом уровне и реестровая дисциплина</h2>
<p>
С 2024–2025 гг. регулятор начал активнее использовать инструменты автоматизированного контроля за трансграничным трафиком, применяемые при проверках сайтов операторов на техническом уровне. Нарушение установленного порядка ТПД влечет не только административную ответственность, но и риск оперативного ограничения передачи данных на инфраструктурном уровне.
</p>
<p>
Для бизнеса это означает необходимость синхронизации юридической документации (политик обработки, уведомлений, договоров) с фактической архитектурой передачи данных. Роскомнадзор при проведении проверок обладает правом запрашивать информацию о фактическом местонахождении баз данных и маршрутах передачи информации. Выявленные расхождения квалифицируются как нарушение, что может повлечь блокировку ресурсов оператора или внесение его в соответствующие реестры недобросовестных участников рынка.
</p>
<h2>Проблематика оценки иностранного контрагента</h2>
<p>
Обязанность оператора проводить оценку соблюдения иностранным лицом конфиденциальности и безопасности ПДн (ч. 5 ст. 12 152-ФЗ) остается одной из наиболее сложных задач для реализации. На практике многие иностранные контрагенты, особенно из юрисдикций с иными стандартами защиты данных (ЕС, США), отказываются предоставлять детальную информацию о своих мерах безопасности либо не готовы подписывать договоры, содержащие обязательства, соответствующие строгим требованиям российского законодателя.
</p>
<p>
В сложившихся условиях операторам рекомендуется:
</p>
<ul>
<li>Включать в договоры с иностранными контрагентами подробные положения об обеспечении безопасности данных, максимально приближенные к требованиям ст. 19 152-ФЗ.</li>
<li>Фиксировать все попытки запроса информации у контрагента и его отказы в предоставлении данных. Это может служить доказательством добросовестности оператора при проведении оценки и возникновении спорных ситуаций.</li>
<li>Рассматривать возможность маршрутизации данных через юрисдикции, входящие в перечень стран с адекватной защитой, либо через дружественные государства, где требования к безопасности данных могут быть унифицированы с российскими.</li>
</ul>
<h2>Трансграничная передача и оптимизация потоков данных</h2>
<p>
В условиях усложнения трансграничной передачи все больше компаний пересматривают целесообразность хранения и обработки данных за рубежом. Если в 2022–2023 гг. многие организации стремились к резервированию данных в иностранных дата-центрах, то сегодня наблюдается обратный тренд – возврат на локальные мощности или перенос в юрисдикции с предсказуемым режимом взаимодействия с РФ (страны ЕАЭС, Китай).
</p>
<p>
Для компаний, которые объективно не могут отказаться от ТПД (например, в рамках работы глобальных ИТ-платформ или логистических цепочек), критически важно документально обосновать невозможность обработки персональных данных без осуществления передачи за пределы Российской Федерации. Наличие технико-экономического обоснования, подкрепленного заключением профильных специалистов, может стать весомым аргументом при взаимодействии с контролирующими органами.
</p>
<p>
Кроме того, при выстраивании сопряженных с ТПД процессов необходимо принимать во внимание важнейший аспект, связанный с локализацией баз данных на территории Российской Федерации, поскольку требования закона в этом вопросе однозначны: сбор персональных данных в базы данных, размещенные за пределами Российской Федерации, запрещен.
</p>
<h2>Заключение</h2>
<p>
Регуляторный режим в сфере ТПД к 2026 г. приобрел черты устойчивой системы, основанной на сочетании разрешительных процедур и применения инструментов автоматизированного контроля. Для операторов персональных данных основными факторами успешного прохождения этого этапа являются:
</p>
<ol>
<li>Тщательная проработка юридической базы под каждое направление передачи.</li>
<li>Обеспечение соответствия документов реальным бизнес-процессам.</li>
<li>Готовность к диалогу с регулятором, предполагающему глубокое обоснование потребностей бизнеса в трансграничной передаче.</li>
</ol>
<p>
Игнорирование установленных требований или формальный подход к их реализации создают высокие риски приостановки деятельности и репутационных потерь, тогда как проактивная позиция в вопросах комплаенса позволяет выстроить устойчивую модель обмена данными в текущих условиях.
</p>
<p>
<a target="_blank" href="https://www.itsec.ru/articles/transgranichnaya-peredacha-dannyh-algoritmy"><span style="color: #fc6400;">Источник</span></a>
</p>
12.03.2026
