Госдума ужесточила правила трансграничной передачи персональных данных: теперь важны не только законы, но и реальная защита
Эксперт по законодательному процессу и правовой технике. Отслеживает законопроекты, поправки и даты вступления норм в силу. Помогает понять, что именно изменится для граждан и бизнеса и какие переходные периоды заложены в акте.
18 февраля 2025 года Государственная Дума приняла во втором чтении законопроект № 951518-8, который вносит изменения в правила трансграничной передачи персональных данных. Если раньше для включения иностранного государства в «белый список» достаточно было формального соответствия Конвенции Совета Европы, то теперь Роскомнадзор будет оценивать, насколько эффективно эти нормы работают на практике.
Что рассматривали
Законопроект уточняет критерии, по которым уполномоченный орган (Роскомнадзор) утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. Поправки вносятся в статью 12 Федерального закона «О персональных данных». Теперь при оценке страны будет учитываться не только наличие правового регулирования, соответствующего Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, но и фактическое принятие эффективных мер по соблюдению принципов защиты и обеспечению безопасности персональных данных.
Как прошло обсуждение
Законопроект был рассмотрен без длительных дебатов. Комитет по информационной политике, информационным технологиям и связи рекомендовал принять его во втором чтении. В ходе обсуждения депутаты подчеркивали важность перехода от формальных критериев к реальной оценке защиты данных российских граждан за рубежом. Замечаний концептуального характера не поступало, поправки были поддержаны единогласно.
Ключевые аргументы сторон
Сторонники законопроекта указывали, что многие страны, формально соответствующие Конвенции, на практике не обеспечивают должный уровень защиты, что создает риски утечек и неправомерного использования данных россиян. Противников у инициативы не оказалось, однако эксперты обращают внимание на потенциальные риски: неопределенность критериев оценки эффективности мер и возможность субъективных решений со стороны Роскомнадзора.
Итог голосования и что дальше
За принятие законопроекта во втором чтении проголосовали 386 депутатов, против — 0, воздержавшихся нет. Теперь документ ожидает третье чтение, после чего в случае одобрения поступит в Совет Федерации и на подпись Президенту. Изменения вступят в силу со дня официального опубликования. Операторам персональных данных рекомендуется уже сейчас проанализировать свои трансграничные потоки и оценить, не окажутся ли их контрагенты в странах, которые могут быть исключены из перечня после вступления закона в силу.
Что делать
- Операторам персональных данных провести аудит трансграничных потоков данных и определить страны, в которые осуществляется передача.
- Оценить, насколько фактическая правоприменительная практика в этих странах соответствует требованиям защиты данных, и подготовиться к возможному ужесточению контроля.
- Следить за обновлением перечня иностранных государств, обеспечивающих адекватную защиту, который будет публиковать Роскомнадзор.
- При необходимости рассмотреть альтернативные механизмы легализации трансграничной передачи, например, стандартные договорные условия или получение явного согласия субъектов.
Источники
Материал подготовлен на основе официальных материалов Госдумы и СОЗД и носит информационный характер; это не индивидуальная юридическая консультация. Перед действиями проверяйте актуальную редакцию нормативных актов и официальную публикацию на pravo.gov.ru.
Краткий вывод для шаринга
Закон уточняет критерии включения стран в «белый список» для трансграничной передачи данных — теперь важна не только буква закона, но и реальная защита.
Частые вопросы
Что именно меняется в правилах трансграничной передачи данных?
Раньше для включения в перечень стран с адекватной защитой достаточно было, чтобы законодательство соответствовало Конвенции Совета Европы. Теперь Роскомнадзор будет дополнительно проверять, насколько эффективно эти нормы применяются на практике — принимаются ли реальные меры по защите данных и соблюдаются ли принципы безопасности.
Когда изменения вступят в силу?
Закон вступит в силу со дня официального опубликования после окончательного принятия (третье чтение, одобрение Совета Федерации и подписание Президентом). Точная дата пока не определена.
Кого коснутся новые правила?
В первую очередь операторов персональных данных, которые передают информацию о российских гражданах за рубеж. Также изменения важны для самих граждан, чьи данные обрабатываются в других странах, и для Роскомнадзора как уполномоченного органа.
Может ли страна быть исключена из перечня после вступления закона в силу?
Да, если Роскомнадзор установит, что государство, ранее включенное в перечень, перестало обеспечивать эффективную защиту данных на практике, оно может быть исключено. Периодичность пересмотра перечня пока не определена.