Трансграничная передача персональных данных по GDPR: что это и как организовать?
- 25 июня, 2025
- GDPR, Обработка данных
Трансграничная передача персональных данных — это реальность современного мира. Сотрудники на удалёнке, иностранные подрядчики, зарубежные дата-центры — всё это требует передачи персональных данных за границу. И если вы — специалист по защите данных, важно понимать, как сделать это законно и безопасно. В этой статье разбираемся: что такое трансграничная передача данных, при каких условиях ее можно осуществлять и какие документы для нее нужны.
Содержание
Когда передача персональных данных становится трансграничной?
У трансграничной передачи, есть три критерия.
1) Контролёр или процессор должны подпадать под действие GDPR. Это возможно, даже если организация физически расположена за пределами ЕС, но предлагает услуги лицам в ЕС или отслеживает их поведение.
2) Должно быть фактическое перемещение данных: это может быть доступ к системе, пересылка файла, удалённый просмотр экрана или любая другая форма доступа.
3) Получатель должен находиться за пределами ЕЭЗ или быть международной организацией. Даже если сервер физически расположен в ЕС, но к нему осуществляется доступ из третьей страны — это трансграничная передача.
Если хотя бы одно из условий не соблюдено — передача не подпадает под Главу V GDPR. Но это не освобождает компанию от необходимости обеспечивать прозрачность и оценивать риски такой обработки.
Подкаст "Про Приватность"
Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности.
Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave
При каких условиях можно передавать персональные данные в иностранное государство?
Чтобы передать данные компания должна доказать: она передает их в условия, которые по безопасности примерно равны условиям в ЕС. Чтобы доказать это, существует несколько механизмов:
Адекватный уровень защиты
Европейская комиссия может признать уровень защиты персональных данных в третьей стране как «адекватный». Это означает, что данная страна обеспечивает защиту, эквивалентную установленной в ЕС. Среди таких стран: Андорра, Аргентина, Канада (только для коммерческих организаций), Фарерские острова, Гернси, Израиль, Остров Мэн, Япония, Джерси, Новая Зеландия, Республика Корея (Южная Корея), Швейцария, Уругвай и Великобритания. В таких случаях передача возможна без дополнительных мер.
Карту, где оценивается адекватность стран для передачи данных можно найти здесь.
Для США адекватность применима только к компаниям, сертифицированным в рамках EU-US Data Privacy Framework. Этот механизм пришёл на смену Privacy Shield и регулирует передачу данных между ЕС и США. Он предполагает, что американские компании могут пройти добровольную сертификацию через Министерство торговли США. Сертифицированные организации обязуются соблюдать принципы, сходные с GDPR. Только эти компании считаются надёжными получателями данных. Проверить статус компании можно на официальном сайте Data Privacy Framework.
Standard Contractual Clauses (SCC)
Standard Contractual Clauses (Стандартные договорные положения) — наиболее часто используемый механизм, который применяется примерно в 80% случаев трансграничной передачи данных. SCC разработаны Еврокомиссией и утверждены решением от 4 июня 2021 года № 2021/914. Они представляют собой шаблон, который заполняется сторонами, участвующими в передаче данных. Основная цель SCC — не допустить снижение уровня защиты, который гарантирует GDPR, при передаче данных за пределы Европейского Союза.
Они остаются обязательными даже в сложных случаях, например, когда компании выступают в качестве совместных контролеров. Это показал случай Uber, когда Нидерландский Надзорный Орган наложил штраф в размере 290 млн евро за неправомерную передачу данных в США. Голландский DPA (Data Protection Authority) отклонил аргумент Uber о том, что SCC были излишними, поскольку их американское подразделение уже подпадало под статью 3(2), и подчеркнул, что Глава V GDPR (международная передача данных) и статья 3 (территориальный охват) могут и должны применяться одновременно. Мы подробно разбирали этот кейс в нашем Telegram-канале.
Обязательные корпоративные правила (BCR)
BCR — это внутренние документы, которые описывают, как группа компаний обрабатывает и передаёт данные между своими юридическими лицами в разных странах. Для легитимности BCR подлежат утверждению надзорными органами. Они содержат описание архитектуры обработки, механизмы защиты данных, гарантии для субъектов персональных данных, порядок реагирования на инциденты и внутренний контроль.
Исключения из правил
Существуют ситуации, в которых передача данных возможна без SCC или BCR. Например, если субъект данных дал явно выраженное и информированное согласие. Или если передача необходима для исполнения контракта, либо по важным основаниям публичного интереса, или для защиты жизненно важных интересов субъекта. Также исключения касаются правовых претензий и передачи данных из публичных реестров. Эти случаи требуют особой осторожности и документального обоснования.
Как трансграничка реализуется на практике?
Удаленная работа и релокация
При удалённой работе сотрудник, который находится за пределами ЕЭЗ, получает доступ к системам с персональными данными — это уже трансграничная передача. Даже если доступ носит временный характер, нужно обеспечить соответствующий правовой механизм (например, SCC). При релокации часть команды может физически переехать, но доступ к данным остаётся. При этом важно не забыть актуализировать политику приватности и уведомить субъектов данных.
Серверы и облако
Если сервер физически находится в ЕС, но поддержка осуществляется из страны в него не входящий — это трансграничка. Важно не только местонахождение данных, но и местонахождение тех, кто имеет к ним доступ.
Подрядчики и субподрядчики
В случае передачи подрядчикам нужно учитывать их географическое положение. Например, если подрядчик в Беларуси получает доступ к данным из ЕС — требуется SCC. Если у подрядчика есть субподрядчики — оформляется цепочка соглашений и субподрядной обработки по статье 28 GDPR. Обязательно наличие data processing agreement (DPA), описание мер безопасности и процедуры аудита.
Новое в законодательстве США: covered data transactions
С 2024 года в США введены правила по сделкам, которые касаются чувствительных данных граждан США, так называемые «covered data transactions». Эти сделки охватывают, например, данные о здоровье, биометрии, поведении. Компании из «стран риска» (Россия, Китай, Иран и др.) не могут участвовать в таких сделках без дополнительных проверок и обоснований. Установлены количественные лимиты: от 100 до 10 000 субъектов в зависимости от категории данных. Также предусмотрен обязательный аудит и меры контроля.
Как документально оформить трансграничную передачу данных?
Стандартные договорные условия (SCC)
Стандартные договорные условия (SCC) — это не просто шаблон, а полноценный договор между сторонами передачи данных. Нельзя ограничиться ссылкой на форму Еврокомиссии — нужен подписанный документ между конкретным экспортёром и импортёром данных.
SCC состоят из основного текста и Дополнения (Appendix). В Дополнении указываются ключевые детали: кто передаёт данные, кто их получает, что именно передаётся и зачем. При необходимости стороны могут дополнить основной текст — например, коммерчески важной информацией. Но если вы будете делиться SCC с субъектом данных, лучше размещать чувствительные сведения именно в Дополнении.
Пункт 8.3 Модуля 2 SCC позволяет экспортёру редактировать Дополнение, чтобы защитить персональные данные или коммерческую тайну. Допустимо заменить фрагменты пояснением — например: «этот раздел описывает внутренние процедуры аудита». Главное — не лишать субъекта возможности понять суть договора и реализовать свои права. В случае скрытия данных кратко объясните, что именно было удалено.
Копия SCC предоставляется субъекту по запросу и бесплатно. Публиковать договор на сайте не требуется. Важно, чтобы по запросу был доступен подписанный экземпляр с заполненным Дополнением и, при необходимости, с заменами чувствительных фрагментов.
И не забывайте про прозрачность: информация о трансграничной передаче данных должна быть отражена в политике приватности — даже если страна получателя уже признана безопасной. Это подтверждает вашу подотчётность и усиливает доверие.
Если вы ищете первоисточники и шаблоны Стандартных договорных условий (SCC), вам — на сайт Европейской комиссии. Именно она разрабатывает и утверждает тексты SCC, а также публикует сопроводительные материалы и рекомендации.
4 июня 2021 года Еврокомиссия представила обновлённые SCC, соответствующие требованиям GDPR. Они пришли на смену старым версиям и применяются при передаче данных из ЕС/ЕЭЗ компаниям за пределами ЕС, если те не подпадают под действие GDPR.
📎 Вопросы и ответы по SCC (Q&A)
Еврокомиссия выпустила подробное руководство в формате «вопрос–ответ», которое помогает разобраться в том, как применять SCC на практике. Документ будет регулярно обновляться.
📎 Страница с публикациями по SCC
На официальном сайте Еврокомиссии есть отдельный раздел, посвящённый SCC. Там собраны все ключевые документы, включая шаблоны, методички и Q&A.
📎 Совместные инициативы с другими странами
Еврокомиссия сотрудничает с международными партнёрами, например, с ASEAN (Association of South East Asian Nations), для разработки единых подходов. Результат — совместное руководство по использованию модельных положений для трансграничной передачи данных. Оно тоже доступно для скачивания на сайте.
Обязательные корпоративные правила (BCR)
BCR — это внутренние документы группы компаний. Они описывают: структуру обработки, трансграничные потоки, права субъектов, механизмы контроля и процедуры уведомлений. Чтобы они начали работать, нужно пройти строгую процедуру согласования с европейскими надзорными органами. Этот процесс включает несколько ключевых этапов:
1. Подача на утверждение
Компания подаёт свои правила на рассмотрение в компетентный орган по защите данных в ЕС.
2. Механизм согласования (статья 63 GDPR)
Процесс идёт через механизм согласования: если у компании есть юрлица в нескольких странах ЕС, подключаются и другие национальные надзорные органы.
3. Роль EDPB
Проект решения направляется в Европейский совет по защите данных (EDPB), который даёт своё заключение.
4. Окончательное утверждение
Когда правила доработаны с учётом рекомендаций EDPB, их официально утверждает орган, в который подавалась заявка.
Если ваши BCR были утверждены ещё до вступления GDPR (по старой Директиве 95/46/EC), они продолжают действовать, пока вы их не меняли или не отменили. Актуальный список утверждённых BCR можно найти на сайтах надзорных органов.
Если вы только готовитесь подать заявку, есть полезные документы, которые помогут оформить всё правильно. Их разработала Рабочая группа Статьи 29 (сейчас функции выполняет EDPB), и они до сих пор считаются актуальными:
📎 WP263rev.01 — описание процедуры утверждения BCR для контролёров и процессоров
📎 Рекомендации 1/2022 — что должно быть в BCR контролёра (на основе Статьи 47 GDPR)
📎 WP265 — форма для BCR процессора
📎 WP257rev.01 — особенности BCR для процессоров
Эти документы объясняют, какие принципы, гарантии и организационные меры должны быть включены в ваши BCR, чтобы пройти согласование по правилам GDPR.
Важно понимать: документы EDPB и WP-файлы фокусируются на регуляторной стороне процесса — как органам оценивать BCR. А вот как именно писать, согласовывать или внедрять эти правила внутри самой компании — остаётся за кадром. Это уже зона вашей внутренней работы.
Как трансграничную передачу персональных данных регулируют другие страны?
США
В США нет федерального аналога GDPR. Используется Data Privacy Framework, а также действуют законы FTC и профильные нормативные акты (например, HIPAA).
Бразилия
Закон LGPD требует, чтобы данные передавались либо в страны с адекватной защитой, либо по договору. Однако механизм SCC отсутствует.
Китай
По закону PIPL данные, особенно чувствительные, должны храниться в Китае. Трансграничная передача возможна только после оценки рисков и одобрения властей.
Индия
Закон DPDP предполагает уведомление регулирующих органов и, возможно, предварительное разрешение на передачу данных за границу.
Великобритания
После Brexit применяется UK GDPR. Используются собственные SCC, также действуют решения об адекватности.
Что делать специалистам?
Если вы только начинаете путь в сфере data privacy, важно не просто выучить термины, а понять архитектуру процессов трансграничной передачи. Начните с изучения теории: статей 3, 28 и 44–49 GDPR и нашего гайда «Карта трансграничной передачи данных». Затем разберитесь с типами договоров (SCC, BCR) и инструментами оценки рисков (DPIA, TIA).
Ознакомьтесь с примерами реальных документов: например, SCC-шаблоны от Еврокомиссии или BCR от крупных компаний. Пройдите специализированное обучение — курс по трансграничной передаче от Data Privacy Office поможет вам систематизировать знания. Не забывайте о регулярной практике: следите за новостями от DPA, подписывайтесь на профессиональные каналы, например наш Telegram.
Заключение
Трансграничная передача — это не только юридическая формальность. Это показатель зрелости компании, уважения к правам субъектов данных и способности работать в международной среде. Чтобы избежать рисков и обеспечить надёжную защиту, необходимо не просто соблюдать требования, а понимать их логику и уметь применять на практике.
