Главная
/
Трансграничная передача ПДн

Уведомление Роскомнадзора о трансграничной передаче персональных данных

Нажимая кнопку «Отправить», вы даете согласие на обработку персональных данных в соответствии с политикой обработки персональных данных

Входим в ведущие рейтинги и объединения страны:

РЕЙТИНГ
ЮРИДИЧЕСКИХ
КОМПАНИЙ
РОССИИ

ЛУЧШИЕ ЮРИДИЧЕСКИЕ ПРАКТИКИ

Рейтинг материала:

Дата: 13.06.2026

Автор Никита Морозов

старший юрист и руководитель блока регистрации товарных знаков и промышленных образцов

Задать вопрос эксперту

Что такое трансграничная передача персональных данных

Трансграничная передача персональных данных – это передача персональных данных оператором на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 закона №152-ФЗ)

Простыми словами, это процесс обработки личной информации, когда сведения о физических лицах, используемые оператором, направляются для обработки за пределы Российской Федерации.
На практике трансграничная передача персональных данных имеет место не только при прямой отправке сведений о физических лицах иностранному контрагенту, но и при использовании иностранных сервисов и технической инфраструктуры. Например, признаки трансграничной передачи могут возникать при использовании зарубежных CRM-систем, облачных хранилищ, сервисов email-рассылок, аналитических платформ, мессенджеров, систем технической поддержки, метрических программ, платежных сервисов или иных цифровых инструментов, если в рамках их использования личная информация передаётся за пределы Российской Федерации.
При этом для квалификации передачи как трансграничной важна не только юридическое оформление отношений с иностранным лицом, но и фактическая схема процессинга личной информации. Если оператор формально заключил договор с российским юридическим лицом, однако личная информация фактически передаётся иностранной компании или размещается на зарубежных серверах, такой процессинг будет являться трансграничной передачей.
Стоит учитывать, что трансграничная передача не является самостоятельной целью использования сведений о физических лицах. Она представляет собой один из способов или этапов процессинга личной информации. Поэтому оператору необходимо определить, в каких целях передаются личные данные, какие категории сведений о физических лицах затронуты, кому именно и в какое государство осуществляется направление личной информации

Важно учитывать, что трансграничная передача личной информации сама по себе не запрещена, однако требует соблюдения специального порядка, установленного законом № 152-ФЗ. До начала такой передачи оператору необходимо оценить правовые основания обработки, проверить иностранного получателя, отразить соответствующие сведения во внутренних документах и, в установленных случаях, направить особое (не обычное, которое направляется любыми операторами) уведомление в Роскомнадзор

Что необходимо указывать во внутренних документах?

В локальных нормативных актах оператора, регулирующих процессинг данных о физических лицах, необходимо отдельно отразить случаи, когда осуществляется или может осуществляться такая передача. Такие сведения должны быть включены в политику обработки персональных данных и положение об обработке таких данных. В некоторых случаях информацию о трансграничной передаче включают в другие внутренние документы, например в инструкцию для сотрудников об использовании сведений о физических лицах. Важно, чтобы документы не ограничивались общей формулировкой о возможности трансграничной передачи, а описывали на территорию какого государства и какому лицу она осуществляется

В ЛНА целесообразно также указать цель трансграничной передачи. Например, такая передача может быть связана с использованием облачной инфраструктуры, CRM-системы, сервиса рассылок, технической поддержки, аналитических инструментов, платежных сервисов или взаимодействием с иностранными контрагентами и аффилированными лицами. При этом цель трансграничной передачи должна соотноситься с целью обработки личной информации, для которой она осуществляется, поскольку сама по себе передача данных за границу является не целью, а этапом процессинга

В случаях, когда за границу передаётся только часть личной информации, используемой для определённой цели, следует отразить категории личной информации, которые передаются за пределы Российской Федерации. Например, в документах можно указать, что трансграничная передача затрагивает технические данные или платежную информацию

В локальных актах рекомендуется отразить характер участия таких иностранных получателей в процессинге личной информации. В частности, следует разграничивать ситуации, когда иностранное лицо выступает, как самостоятельный оператор сведений о физических лицах, и случаи, когда оно действует как обработчик по поручению оператора

Кроме того, в ЛНА желательно описать меры, реализуемые для защиты личной информации при ее трансграничной передаче, к таким мерам относятся: проведение проверки иностранного получателя, установление ограничений доступа к персональным данным, закрепление в договоре обязанностей по соблюдению конфиденциальности и обеспечению защиты сведений, а также использование соответствующих технических и организационных средств обеспечения их безопасности

Отдельный блок ЛНА может быть посвящён внутреннему порядку согласования трансграничной передачи. В нем закрепляют обязанности лица, ответственного за использование личной информации, по выявлению фактов передачи сведений о физических лицах за границу РФ, проверке получателя данных и уровня защиты личной информации в иностранном государстве и подаче уведомления о трансграничной передаче. Такие локальные акты показывают, что оператор не только формально исполнил требования закона № 152ФЗ, но и контролирует процесс передачи личной информации

Когда нужно направить уведомление в Роскомнадзор?

До начала передачи личной информации за пределы Российской Федерации необходимо направить в Роскомнадзор отдельное уведомление о намерении осуществлять трансграничную передачу и (в некоторых случаях) получить разрешение на её осуществление. Оператор обязан заранее оценить, будет ли осуществляться передача личной информации на территорию иностранного государства, уже на стадии подключения иностранной информационной инфраструктуры

В случае если трансграничная передача уже фактически осуществляется, но уведомление не подавалось в Роскомнадзор, оператору следует как можно скорее определить:

иностранного получателя и государство, в которое осуществляется передача
категории физических лиц и состав передаваемой личной информации
после чего направить уведомление в Роскомнадзор
и актуализировать локальные нормативные акты

При этом подача уведомления постфактум не отменяет того, что по общему правилу оно должно направляться именно до начала трансграничной передачи

Уведомление о трансграничной передаче не нужно подавать, когда такая передача осуществляется в следующих целях:

Осуществление транспортного сообщения, обеспечение его безопасности и почтовой связи
Обеспечение государственной безопасности, обороны и противодействия терроризму
Осуществление международных отношений
Международное сотрудничество в области судопроизводства и правоохранительных органов
Представительство интересов Российской Федерации в межгосударственных органах, иностранных и международных судах
Выполнение государственных и муниципальных функций
Осуществление международных платежей
Обеспечение функционирования телефонной, спутниковой, радио и телеграфной связи
Проведение культурных, спортивных, научных и образовательных мероприятий

Как оформлять уведомление о трансграничной передаче персональных данных?

Уведомление о трансграничной передаче персональных данных подготавливается отдельно от общего уведомления об их обработке и может быть подано в Роскомнадзор в электронном виде через личный кабинет на портале Госуслуг

В уведомлении требуется указать данные об операторе, в том числе его наименование (либо фамилию, имя, отчество), адрес, а также дату и номер ранее поданного уведомления об обработке персональных данных

Содержательная часть уведомления должна раскрывать параметры трансграничной передачи, в том числе правовое основание и цель такой передачи, цель обработки личной информации, категории данных о физических лицах, перечень субъектов, а также список иностранных государств, на территорию которых планируется передача. Эти сведения должны соответствовать фактической схеме передачи личной информации за пределы Российской Федерации, внутренним документам оператора, договорам с иностранными контрагентами и согласиям субъектов

Какая может быть реакция Роскомнадзора на уведомление о трансграничной передаче персональных данных?

После получения уведомления Роскомнадзор анализирует представленные оператором сведения и оценивает допустимость передачи персональных данных за пределы Российской Федерации. По общему правилу решение о запрете либо ограничении такой передачи может быть принято в течение 10 рабочих дней с момента подачи уведомления.
В процессе рассмотрения уведомления Роскомнадзор вправе запросить у оператора дополнительные сведения, необходимые для проверки достоверности указанных в уведомлении данных. Эти сведения оператор обязан представить в течение 10 рабочих дней с момента получения запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней, при условии направления оператором мотивированного уведомления с обоснованием причин продления. На период ожидания запрошенных данных рассмотрение уведомления о трансграничной передаче приостанавливается

-!-

По результатам рассмотрения уведомления Роскомнадзор может разрешить передачу личной информации в иностранное государство либо принять решение о ее запрете или ограничении. Основания для запрета или ограничения связаны, в частности, с защитой основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечением обороны страны и безопасности государства, а также защитой экономических, финансовых и иных интересов Российской Федерации
-!-

В случае, если Роскомнадзор принимает решение о запрете либо об установлении ограничений на передачу личной информации за пределы РФ, оператор обязан прекратить такую передачу либо скорректировать соответствующие процессы обработки персональных данных в соответствии с указанным решением. После устранения обстоятельств, послуживших основанием для запрета или ограничения, оператор может повторно обратиться в Роскомнадзор с уведомлением о намерении осуществлять трансграничную передачу

Как определить, есть ли у компании трансграничная передача личной информации?

Чтобы определить, есть ли у компании передача сведений о физических лицах за пределы РФ, необходимо проанализировать не только договоры с иностранными контрагентами, но и фактическую схему обработки данных. Такая передача чаще всего возникает при прямой передаче личной информации иностранной организации. Она также может возникать при предоставлении доступа к сведениям о физических лицах

Первым шагом целесообразно провести инвентаризацию всех процессов обработки личных данных и определить, какие информационные системы, сервисы и подрядчики используются компанией. В рамках такой проверки следует отдельно проанализировать CRM-системы, облачные хранилища, хостинг, сервисы email-рассылок, аналитические инструменты, платежные сервисы, мессенджеры, платформы технической поддержки, рекламные кабинеты и иные цифровые решения, через которые могут обрабатываться сведения о физических лицах

Особое внимание необходимо уделить сервисам, которые администрируются за пределами Российской Федерации. Даже если компания фактически не направляет отдельный файл с личной информацией иностранному лицу, трансграничная передача может иметь место, если иностранное лицо хранит на зарубежных серверах

При проверке также важно учитывать не только непосредственного контрагента компании, но и всю цепочку процессинга сведений о физических лицах. Например, договор может быть заключен с российским юридическим лицом, однако используемый сервис может размещать данные на зарубежных серверах. В такой ситуации необходимо проверить, осуществляется ли на практике передача личной информации либо предоставление к ней доступа за пределами территории Российской Федерации

Дополнительно следует проверить пользовательские соглашения, политики конфиденциальности (обработки ПДн), правила использования cookie-файлов и/или метрических программ и иную техническую документацию используемых сервисов. В этих документах обычно содержатся сведения о том, где будет осуществляться процессинг, месте размещения серверов, перечне аффилированных лиц и подрядчиков, порядке оказания технической поддержки, а также условиях дальнейшей передачи личной информации третьим лицам

По результатам такой проверки компания должна сформировать перечень процессов, в которых присутствует или потенциально может присутствовать передача сведений о физических лицах за пределы Российской Федерации

Для каждого процесса желательно зафиксировать: цель передачи, категории субъектов, состав передаваемой личной информации, получателя и государство, в которое будет осуществлена передача, используемый сервис и правовое основание обработки. Данные сведения позволят выяснить необходимость подачи уведомления в Роскомнадзор и необходимость корректировки внутренних документов

Какие страны считаются обеспечивающими адекватную защиту прав физических лиц при процессинге личной информации?

Государствами, обеспечивающими адекватную защиту прав субъектов персональных данных, признаются иностранные государства, включенные в специальный перечень, утверждаемый Роскомнадзором. В такой перечень включаются государства, являющиеся участниками Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иные государства, если действующие в них правовые нормы и применяемые меры защиты соответствуют положениям указанной Конвенции. Актуальный перечень утвержден приказом Роскомнадзора от 05.08.2022 № 128 и применяется с 1 марта 2023 года. Перечень включает 89 государств, в том числе Аргентину, страны ЕС, КНР, ЮАР, Японию

Практическое значение такого перечня состоит в том, что при подаче уведомления о трансграничной передаче указание страны из утверждённого перечня в большинстве случаев позволяет получить положительное решение Роскомнадзора. В противном случае Роскомнадзор чаще всего отказывает в передаче личной информации за пределы Российской Федерации

Морозов Никита Алексеевич

старший юрист ООО «Афонин, Божор и партнеры»
руководитель блока регистрации товарных знаков и промышленных образцов

Какие документы и сведения нужно подготовить до подачи уведомления?

До подачи уведомления оператору необходимо определить фактическую схему передачи личной информации за пределы Российской Федерации. Для этого следует установить:

Какая личная информация передаётся
В каких целях осуществляется передача
Какие категории субъектов она затрагивает
Кто является получателем и на территорию какой страны осуществляется такая передача

Эти сведения необходимо определить заранее в связи с тем, что именно они нужны для формирования уведомления о намерении осуществлять трансграничную передачу личной информации

Также оператору стоит сформировать документы, подтверждающие правомерность и контролируемость такой передачи. К ним относятся договоры с иностранными контрагентами, политики конфиденциальности используемых сервисов, документы о мерах защиты персональных данных и локальные акты оператора, регулирующие процессинг личной информации. Когда передача осуществляется на основании согласия субъекта, необходимо проверить, содержит ли такое согласие сведения о трансграничной передаче

Отдельно до подачи уведомления следует провести оценку иностранного получателя личной информации и подготовить акт об оценке уровня защиты. Необходимо зафиксировать, какие меры защиты применяются, ограничены ли цели процессинга, сроки хранения, каким образом обеспечивается удаление личной информации, а также как получатель реагирует на инциденты безопасности

Нужно ли получать согласие субъекта на трансграничную передачу персональных данных?

Получение согласия на трансграничную передачу требуется не во всех случаях. Закон № 152-ФЗ исходит из того, что у оператора должно быть правовое основание процессинга. Таким основанием может быть не только согласие физического лица, но и, например, исполнение договора, стороной которого является субъект, исполнение обязанности, предусмотренной законом или любое иное основание процессинга

Уведомление, направляемое в Роскомнадзор о намерении осуществлять трансграничную передачу, не подменяет собой правовое основание обработки персональных данных. Даже если оператор подал такое уведомление в Роскомнадзор, он должен отдельно определить, на каком основании личная информация будет обрабатываться. Поэтому до начала передачи необходимо проверить, соответствует ли она целям процессинга, указанным в политике конфиденциальности

Согласие субъекта целесообразно получать в случаях, когда передача за пределы Российской Федерации не может быть уверенно обоснована исполнением договора, требованием закона или иным самостоятельным основанием процессинга. Отдельное внимание следует обратить, когда передаются специальные или биометрические категории личной информации в государство, не обеспечивающее адекватную защиту прав субъектов персональных данных. В таких случаях согласие субъекта необходимо

Если оператор использует согласие в качестве основания для передачи за пределы Российской Федерации, оно должно соответствовать следующим принципам: конкретным, информированным и сознательным. В таком согласии желательно указать цель передачи, категории личной информации, получателя, государство, в которое осуществляется передача, действия, совершаемые с личными данными

Формальная или слишком общая формулировка о возможности трансграничной передачи может быть недостаточной, если из нее невозможно понять, кому, куда и для чего передаётся личная информация

Как проверить иностранного получателя персональных данных?

Оператору необходимо до начала передачи убедиться как в наличии надлежащего уровня защиты личной информации в иностранном государстве, в которое осуществляется передача, так и в добросовестности и надежности конкретного получателя сведений о физических лицах. Проверка должна быть зафиксирована документально в акте об оценке уровня защиты. Практически это означает, что перед выбором сервиса или контрагента за рубежом оператор проводит предварительный анализ защиты личной информации.

✓ Во-первых, оператор анализирует правовой режим защиты личной информации в иностранном государстве, куда планируется передача. Учитывается наличие специального законодательства, регулирующего использование сведений о физических лицах, права физических лиц и механизмы их защиты, а также участие государства в международных соглашениях о защите данных. При передаче личных данных в юрисдикции с заведомо низким уровнем защиты порядок оценки должен быть очень строгим вплоть до отказа от трансграничной передачи или корректировки схемы процессинга

✓ Во-вторых, оценивается процессинг личных данных у контрагента и применяемые им меры сохранности сведений о физических лицах. На этой стадии целесообразно запросить у контрагента внутренние нормативные акты по процессингу личной информации, описание применяемых мер защиты и сведения о привлекаемых подрядчиков. Для интернет-сервисов оператор дополнительно анализирует публичную документацию (пользовательские соглашения, политику конфиденциальности) и практику реагирования на инциденты, связанные с защитой личной информации

✓ Отдельно подлежит проверке деловая репутация и правовой статус иностранного контрагента. Оператору следует убедиться, что получатель личной информации не включен в перечни организаций, деятельность которых ограничена на территории РФ, а также не фигурирует в публичной информации как лицо, допускающее грубые нарушения в сфере безопасности данных. В отношении технологических компаний полезно ориентироваться на результаты независимых аудитов (например, наличие сертификации по международному стандарту ISO/IEC 27001 и аналогичных стандартов) и историю утечек личной информации и взломов их системы безопасности

Итоги проверки должны быть отражены в договорных отношениях с иностранным контрагентом.
Оценка контрагента и принятые по ее результатам меры показывают, что оператор предпринял все возможные и разумные средства в целях минимизации возможных рисков при передаче личной информации за пределы Российской Федерации и выполнил обязанности, предусмотренные ст. 12 закона №152-ФЗ

Какие условия следует включать в договор с иностранным получателем персональных данных?

Договор с иностранным получателем личной информации должен предоставлять оператору возможность осуществлять контроль за тем, как будет осуществляться процессинг личной информации за пределами Российской Федерации

В договоре необходимо отразить цели процессинга сведений о физических лицах, категории физических лиц, состав передаваемой личной информации, перечень допустимых действий по использованию личной информации

Отдельно следует закрепить обязанность иностранного получателя использовать данные только в пределах согласованных целей и не осуществлять их в собственных интересах, если для этого нет отдельного правового основания. Помимо этого, необходимо внести в договор запрет на передачу личных сведений третьим лицам без согласия оператора либо прописать в договоре порядок допуска сторонних лиц к использованию личных данных, включая обязанность иностранного контрагента обеспечить соблюдение привлечёнными лицами требований к безопасности личных данных российских граждан

В договоре с иностранным контрагентом отдельный раздел стоит посвятить мерам, обеспечивающим защиту личной информации. Такие условия могут предусматривать:

Обязанность иностранного получателя применять организационные и технические меры безопасности
Ограничивать доступ к личным данным и вести учет лиц, имеющих к ним доступ
Уведомлять оператора об инцидентах, связанных с безопасностью личных данных

Кроме того, договор должен регулировать сроки использования и хранения сведений о физических лицах и порядок действий по их уничтожению после прекращения их использования. В частности, необходимо предусмотреть обязанность иностранного лица по запросу оператора удалить, обезличить или вернуть личные данные, а также подтвердить выполнение указанных действий. Данное условие особенно важно, когда личная информация направляется контрагенту для совершения конкретного действия или услуги и/или не подлежит длительному хранению

Также желательно включить в договор условия о содействии в соблюдении требований, предусмотренных законом №152-ФЗ. В частности, иностранное лицо должно представить оператору сведения для проведения оценки уровня защищённости личной информации и сведений, необходимых для подготовки уведомления о намерении осуществлять трансграничную передачу. Помимо этого, сведения от иностранного контрагента могут понадобиться для ответа на запросы Роскомнадзора, рассмотрения обращений физических лиц и проведения внутренних расследований

Чем подробнее договор регулирует порядок процессинга личной информации, тем оператору будет проще подготовить уведомление о передаче личной информации за пределы Российской Федерации и получить от Роскомнадзора разрешение на её осуществление.

Какие риски возникают при нарушении порядка трансграничной передачи?

Нарушение порядка передачи личных данных за пределы Российской Федерации повлечёт для оператора следующие риски:

Выдачу предписания об устранении нарушений
Привлечение к административной ответственности
Необходимость изменения или прекращения отдельных процессов использования личной информации

Риски возникают, например, когда оператор начал трансграничную передачу без предварительного уведомления Роскомнадзора, указал недостоверные сведения в уведомлении, не была проведена оценка иностранного контрагента или передача осуществляется в иное государство, чем указано в уведомлении

Отдельно следует учитывать риск административной ответственности по статье 13.11 КоАП РФ. Специального самостоятельного состава именно за нарушение порядка трансграничной передачи персональных данных КоАП РФ не содержит, поэтому ответственность зависит от характера допущенного нарушения. Когда личная информация передаётся без надлежащего правового основания или не в тех целях, для которых используется личная информация. Такие действия квалифицируются по ч. 1 ст. 13.11 КоАП РФ и влекут наложение штрафа на юридическое лицо от 150 000 до 300 000 рублей

Также при нарушении порядка передачи за пределы Российской Федерации могут возникать смежные составы административных правонарушений. Если процессинг требует письменного согласия физического лица, однако такое согласие не было получено или оформлено с нарушением требований закона № 152‑ФЗ, то такие действия квалифицируются по ч. 2 ст. 13.11 КоАП РФ, штраф по данному составу для юридических лиц может составлять от 300 000 до 700 000 рублей. Если действия или бездействия оператора повлекли неправомерную передачу личной информации, оператор может быть привлечён к административной ответственности по составам, предусмотренным ч. 12-14 ст. 13.11 КоАП РФ, размеры штрафов для юридических лиц могут составлять от 3 000 000 до 500 000 000 рублей

Отдельный риск связан с тем, что Роскомнадзор может запретить или ограничить осуществление передачи личной информации за пределы Российской Федерации. При запрете или ограничении может понадобиться прекращение использования иностранной платформы, замена иностранного контрагента, перенос технической инфраструктуры в другую страну или изменения процесса использования личной информации

Кроме того, нарушение порядка трансграничной передачи может повлечь обращения и жалобы физических лиц с требованиями об удалении или прекращении использования личной информации

Типовые ошибки операторов при трансграничной передаче персональных данных

1] Одной из самых распространенных ошибок является неправильное определение самого факта трансграничной передачи. Многие операторы считают, что передача возникает только в случаях прямой передачи данных иностранному юридическому лицу, однако это не совсем так. На практике передача имеет место, когда применяются иностранные цифровые решения, если при их использовании сведения о физических лицах направляются за пределы Российской Федерации
2] Второй типовой ошибкой операторов является направление уведомления после фактического начала трансграничной передачи либо неподача такого уведомления. Оценка того, происходит ли передача личной информации за пределы Российской Федерации, должна проводиться до начала использования иностранного сервиса, заключения договора с зарубежным контрагентом или направления ему персональных данных. Подача уведомления уже после начала такой передачи не устраняет допущенное нарушение, но направлена на приведение процессов обработки в соответствие с требованиями закона № 152-ФЗ
3] При подаче уведомления о трансграничной передаче могут возникать следующие ошибки: указаны не все иностранные получатели или страны, в которые осуществляется передача личной информации, неполный состав личной информации или неполно указаны категории физических лиц либо указаны слишком общие цели процессинга. Необходимо, чтобы уведомление соответствовало процессу использования личной информации
4] Отдельной ошибкой является отсутствие проверки иностранного контрагента и акта об оценке уровня защиты личных данных иностранным контрагентом. Оператору недостаточно формально указать иностранный сервис или контрагента в уведомлении. До начала трансграничной передачи необходимо оценить, какие меры защиты применяет иностранный получатель, допускает ли он дальнейшую передачу данных третьим лицам, где фактически размещаются данные, какие сроки хранения применяются, как обеспечивается удаление или возврат данных, а также как получатель реагирует на инциденты безопасности
5] Наконец, ещё одной типичной ошибкой будет отсутствие контроля за процессом передачи за пределы Российской Федерации и последующего использования личной информации. После подачи уведомления и получения разрешения на трансграничную передачу сведений о физических лицах оператор может подключить новые сервисы, расширить перечень передаваемой личной информации или начать передачу в новые государства, однако корректировка уведомления о трансграничной передаче не предусмотрена. Поэтому оператору важно периодически контролировать процесс использования личных данных российских граждан иностранным юридическим лицом

Практический алгоритм действий оператора перед началом трансграничной передачи

Во-первых, перед началом использования иностранного сервиса необходимо установить, осуществляется ли при его использовании передача личной информации за пределы Российской Федерации. Поэтому необходимо провести аудит процессинга личной информации при использовании иностранной информационной инфраструктуры, при использовании которой сведения о российских гражданах будут передаваться за пределы Российской Федерации

Во-вторых, при выявлении возможной передачи личной информации за пределы Российской Федерации необходимо установить: цели такой передачи, категории физических лиц, состав передаваемой личной информации, иностранного контрагента и страну получения личной информации, основания процессинга. Эти данные нужно сопоставить с тем, как фактически будет происходить использование личной информации, договором с иностранным контрагентом, его политикой конфиденциальности и внутренними актами оператора

В-третьих, необходимо проанализировать получателя, в том числе применяемые им меры по обеспечению безопасности личной информации, страну фактического размещения таких данных, привлекаемых им подрядчиков, порядок хранения и обработки, порядок уничтожения данных, а также меры реагирования на инциденты, связанные с безопасностью личной информации

В-четвертых, нужно провести актуализацию локальных нормативных актов, в частности, следует обновить согласие физического лица на процессинг личной информации, политику обработки, положение о защите и обработке и иные документы, регулирующие процессинг личных данных. Внутренние документы должны отражать весь процесс использования личной информации и порядок её передачи на территорию иностранного государства

В-пятых, по итогам первых четырёх шагов формируются сведения, необходимые для направления в Роскомнадзор уведомления о намерении осуществлять трансграничную передачу. На основании собранных данных оператор подготавливает проект уведомления на сайте Роскомнадзора с использованием специализированной электронной системы, направляет его и далее ожидает получения разрешения Роскомнадзора на осуществление указанной передачи

В-шестых, после получения разрешения на осуществление передачи личной информации на территорию иностранного государства оператору необходимо обеспечить контроль за соответствующей передачей. Компания должна следить за процессом использования личных данных российских граждан иностранным контрагентом и при фактическом изменении процесса использования личной информации вносить корректировки в локальные нормативные акты