Статьи

DPA и трансграничная передача данных: требования и практика для московских компаний

2025-11-07 13:02
Для бизнеса в Москве и Московской области трансграничная передача персональных данных стала актуальной с ростом облачных сервисов и международного взаимодействия. Data Processing Agreement (DPA) и соблюдение требований 152-ФЗ — ключевой инструмент для легальной обработки данных за рубежом.

Что такое DPA и зачем он нужен

DPA — это договор между владельцем персональных данных (контролером) и обработчиком (например, облачным провайдером), который определяет права и обязанности сторон при обработке данных. Основная цель — соблюдение требований 152-ФЗ и GDPR (если данные передаются в ЕС).

  • Фиксирует, какие данные и с какой целью обрабатываются.
  • Определяет меры защиты и ответственность сторон за утечку.
  • Регулирует порядок уведомления о нарушениях безопасности.
  • Служит доказательством законности обработки в суде и перед контролирующими органами Москвы и Московской области.

Трансграничная передача данных

Пересылка персональных данных за пределы России требует соблюдения ст. 12.1–12.2 152-ФЗ. Основные условия:

  • Наличие письменного согласия субъекта данных на передачу.
  • Передача в страны с адекватным уровнем защиты данных (определяется Роскомнадзором).
  • Заключение DPA с иностранным обработчиком, где прописаны меры защиты и ответственность.
  • Документальное подтверждение всех действий для проверки московскими органами — МФЦ, Роскомнадзор, ФАС (при контрактных спорах).

Примеры из практики Москвы и МО

  • Компания в Москве использовала иностранный облачный сервис для хранения HR-данных. После проверки Роскомнадзора выявлено отсутствие DPA и согласия сотрудников. Исправили ситуацию, заключив договор с иностранным провайдером и оформив согласия, что позволило избежать штрафов.
  • Московская финтех-компания пересылала клиентские данные в ЕС для аналитики. DPA включал требования шифрования и уведомления о нарушениях. В результате при попытке несанкционированного доступа действия компании признаны соответствующими закону.
  • Компания из МО использовала облака в США для CRM. Заключение DPA с прописанными SLA и защитой данных позволило пройти аудит и снизить риск санкций.

Рекомендации

  • Передача данных за границу возможна только при соблюдении 152-ФЗ и заключении DPA.
  • Согласия субъектов данных должны быть явными и документально зафиксированы.
  • Контролируйте безопасность данных через договор, аудит и журналы доступа.
  • Следите за актуальными списками стран с адекватной защитой и требованиями Роскомнадзора.

Вывод

Для московского бизнеса правильное оформление DPA и соблюдение условий трансграничной передачи персональных данных обеспечивает законность обработки, минимизирует риск штрафов и защищает репутацию компании.

Частые вопросы

Можно ли передавать персональные данные в облака за границей без DPA?

Нет, отсутствие DPA и документально зафиксированного согласия субъекта данных нарушает 152-ФЗ и чревато штрафами.

Какие данные можно передавать за рубеж?

Все, кроме критичных категорий (например, государственные секреты, биометрия), при наличии согласия и мер защиты.

Какие санкции применяются в Москве за нарушение трансграничной передачи данных?

Штрафы для организаций до 75 000 руб., должностных лиц — до 30 000 руб., а также предписания Роскомнадзора и возможные иски от субъектов данных.