Трансграничная передача персональных данных: что меняется в регулировании
Эксперт по законодательному процессу и правовой технике. Отслеживает законопроекты, поправки и даты вступления норм в силу. Помогает понять, что именно изменится для граждан и бизнеса и какие переходные периоды заложены в акте.
10 декабря 2025 года Государственная Дума приняла в первом чтении и в целом закон, уточняющий правила трансграничной передачи персональных данных. Документ вносит изменения в Федеральный закон «О персональных данных» и ряд других актов. Разбираем, что именно меняется, кого коснутся нововведения и как к ним подготовиться.
Суть предлагаемых изменений
Законопроект № 951518-8 направлен на уточнение порядка трансграничной передачи персональных данных. Хотя полный текст поправок на момент анализа не опубликован, из сопроводительных материалов следует, что изменения затронут статью 12 Федерального закона «О персональных данных», а также отдельные законодательные акты. Основная цель — усилить контроль за передачей данных за рубеж, уточнив условия, при которых такая передача допустима, и, возможно, введя дополнительные требования к операторам. В частности, ожидается конкретизация перечня стран, обеспечивающих адекватную защиту прав субъектов персональных данных, а также уточнение процедур уведомления Роскомнадзора о трансграничной передаче. Закон принят сразу в первом чтении и в целом, что говорит о консенсусе по данному вопросу.
Плюсы для бизнеса и граждан
Для граждан: повышение уровня защиты персональных данных при их передаче за рубеж. Уточнение правил позволит снизить риски неправомерного использования данных иностранными организациями. Для бизнеса: появление четких критериев допустимости трансграничной передачи уменьшит правовую неопределенность. Добросовестные операторы, уже соблюдающие высокие стандарты защиты данных, смогут легче подтвердить свое соответствие новым требованиям. Кроме того, унификация правил может упростить взаимодействие с регулятором.
Минусы и риски
Основной минус — возможное усложнение процедур для операторов, активно передающих данные за рубеж. Это может привести к росту административной нагрузки и затрат на compliance. Риски: неясность формулировок может породить разночтения до появления официальных разъяснений; возможны коллизии с законодательством других стран, куда передаются данные; ужесточение регулирования способно замедлить международный обмен данными и снизить привлекательность российской юрисдикции для иностранных IT-компаний. Также существует риск, что малый и средний бизнес столкнется с трудностями при адаптации к новым требованиям.
Правовые риски и ограничения
Закон вносит изменения в действующее законодательство, но не отменяет уже существующие механизмы защиты данных. Правовые риски связаны с возможным расширительным толкованием новых норм контролирующими органами. Например, под запрет могут попасть передачи данных в страны, не включенные в «белый список», даже если ранее такая передача была разрешена. Ограничения могут коснуться трансграничного документооборота, использования зарубежных облачных сервисов и HR-процессов в международных компаниях. Важно отметить, что закон не имеет обратной силы, но потребует пересмотра действующих договоров и политик обработки данных.
Практические шаги для заинтересованных лиц
Операторам персональных данных рекомендуется: 1) провести аудит текущих трансграничных потоков данных; 2) оценить, в какие страны и на каких основаниях передаются данные; 3) проверить наличие согласий субъектов на трансграничную передачу, если это требуется; 4) подготовиться к уведомлению Роскомнадзора по новым формам (как только они будут утверждены); 5) пересмотреть договоры с иностранными контрагентами на предмет соответствия новым требованиям; 6) следить за разъяснениями регулятора и судебной практикой. Гражданам стоит внимательнее относиться к согласиям на обработку данных, особенно если речь идет о передаче за рубеж, и при необходимости отзывать такие согласия.
Что делать
- Провести аудит трансграничных потоков персональных данных в компании.
- Проверить основания и страны передачи данных на соответствие новым требованиям.
- Актуализировать согласия субъектов и договоры с иностранными партнерами.
- Подготовиться к уведомлению Роскомнадзора по новым правилам.
- Отслеживать разъяснения регулятора и изменения подзаконных актов.
Источники
Материал подготовлен на основе официальных материалов Госдумы и СОЗД и носит информационный характер; это не индивидуальная юридическая консультация. Перед действиями проверяйте актуальную редакцию нормативных актов и официальную публикацию на pravo.gov.ru.
Краткий вывод для шаринга
Закон уточняет порядок трансграничной передачи персональных данных, внося изменения в ФЗ «О персональных данных».
Частые вопросы
Когда закон вступает в силу?
Точная дата вступления в силу будет указана в тексте закона после его официального опубликования. На момент анализа закон принят Государственной Думой, но не подписан Президентом.
Какие страны считаются «безопасными» для передачи данных?
Перечень таких стран устанавливается Роскомнадзором. Закон может уточнить критерии включения в этот список, но конкретные изменения станут известны после публикации полного текста.
Нужно ли получать новое согласие от субъектов, если данные уже передаются за рубеж?
Если новые требования изменят условия передачи, может потребоваться обновление согласий. Рекомендуется дождаться разъяснений регулятора и провести правовой анализ текущих согласий.
Затронет ли закон передачу данных внутри группы компаний?
Да, если передача данных между материнской и дочерними компаниями осуществляется через границу, она подпадает под регулирование трансграничной передачи. Необходимо будет соблюдать новые требования.