Трансграничная передача персональных данных и ИИ-сервисы
Трансграничная передача персональных данных в зарубежные ИИ-сервисы: что требует статья 12 закона 152-ФЗ и когда обязательно уведомить Роскомнадзор.
Отправка данных клиентов в зарубежный ИИ-сервис это трансграничная передача персональных данных, и закон её не запрещает, а ставит условия. По статье 12 закона 152-ФЗ оператор, то есть тот, кто собрал данные, обязан уведомить Роскомнадзор о намерении передавать их за рубеж до начала передачи. Дальше всё зависит от страны получателя. В государства, которые обеспечивают адекватную защиту прав субъектов (стороны Конвенции Совета Европы и приравненные к ним), передавать можно, не дожидаясь ответа регулятора. В остальные страны передача до истечения срока рассмотрения уведомления запрещена, кроме отдельных исключений вроде защиты жизни и здоровья. Практический вопрос звучит просто: где физически стоят серверы сервиса, в который Вы вносите имена и телефоны клиентов. Если они за рубежом, вопрос трансграничной передачи как минимум возникает, и решать его лучше с юристом до начала работы. Ниже разбираем, что закон считает такой передачей, когда уведомление обязательно и как схема с сервером в РФ снимает вопрос.
Что закон считает трансграничной передачей
Трансграничная передача это передача персональных данных на территорию иностранного государства органу власти этого государства, иностранному физическому или юридическому лицу. Определение шире, чем кажется. Речь не только о том, чтобы отправить кому-то файл письмом.
Когда Вы вводите в облачный ИИ-сервис имя клиента, его телефон или историю обращения, текст уходит на серверы этого сервиса. Если серверы стоят за рубежом, данные пересекли границу, а значит, состоялась трансграничная передача, даже если Вы просто попросили саммари по клиенту. Инструмент здесь не меняет сути: закон смотрит не на то, чат это или таблица, а на то, куда физически ушли сведения о человеке.
Отдельно оговоримся о жанре. Ниже мы пересказываем нормы статьи 12 закона 152-ФЗ, а не выдаём юридическое заключение. Полный текст статьи открыт на КонсультантПлюс, и как она применяется к Вашей конкретной ситуации, оценивает юрист.
Уведомление в Роскомнадзор: когда обязательно
Порядок трансграничной передачи задаёт статья 12. Её часть 3 устанавливает прямую обязанность: оператор до начала деятельности по трансграничной передаче обязан уведомить уполномоченный орган. Уполномоченный орган это Роскомнадзор.
С 1 марта 2023 года действует уведомительный порядок. Это значит, что сообщить нужно заранее, до первой передачи, а не постфактум. Уведомление о трансграничной передаче подаётся отдельно от общего уведомления об обработке персональных данных, которое операторы направляют по статье 22. То есть одно уведомление другое не заменяет: если данные ещё и уходят за рубеж, нужны оба.
Форма подаётся через портал персональных данных Роскомнадзора. Получив её, регулятор рассматривает уведомление в течение десяти рабочих дней. От того, в какую страну уходят данные, зависит, можно ли начать передачу сразу или придётся дождаться решения. Об этом следующий раздел.
Адекватная защита: каким странам можно передавать
Закон делит государства на две группы, и от группы зависит сценарий.
Первая группа это страны, обеспечивающие адекватную защиту прав субъектов персональных данных. По части 2 статьи 12 к ним относятся стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иные государства, которые соответствуют её стандартам конфиденциальности и безопасности. В такие страны, по части 10, передавать данные можно, не дожидаясь решения регулятора: уведомили и работаете.
Вторая группа это все остальные страны. Здесь правило строже: по части 11 передача запрещена до истечения срока рассмотрения уведомления, за отдельными исключениями вроде защиты жизни и здоровья субъекта. Проще говоря, в такие страны нельзя начать передачу сразу после подачи уведомления, придётся ждать.
Логика «адекватной защиты» не только российская. В европейском праве есть тот же механизм: статья 45 GDPR разрешает передавать данные в третью страну без отдельного разрешения, если Еврокомиссия своим решением об адекватности признала, что страна обеспечивает достаточный уровень защиты. Комиссия оценивает верховенство права, права человека, наличие независимого надзорного органа и международные обязательства страны, и пересматривает решение не реже чем раз в четыре года. Разные юрисдикции, одна идея: передавать спокойнее туда, где данные защищены сопоставимо.
Штрафы и кто за них отвечает
Здесь важнее не сумма, а адресат. Ответственность за трансграничную передачу несёт оператор, то есть тот, кто собрал данные и решил передать их за рубеж. Поставщик ИИ-сервиса, куда Вы внесли сведения о клиентах, Вашим оператором не становится и Вашу ответственность на себя не берёт. Внесли данные, остались оператором, отвечаете за передачу Вы.
Составы и размеры административных штрафов за нарушения в области персональных данных перечислены в КоАП и регулярно обновляются, поэтому конкретные цифры мы здесь не приводим: сверяйте действующую редакцию. Практический вывод от редакции штрафов не зависит: прежде чем вносить данные клиентов в зарубежный сервис, полезно знать, где стоят его серверы, и заранее решить вопрос уведомления с юристом.
Что это значит для зарубежных ИИ-сервисов
Крупные ИИ-сервисы, которыми пользуются каждый день, размещают данные на своих серверах, и серверы эти чаще всего стоят не в России. Когда Вы вносите в такой сервис имя, телефон или обстоятельства клиента, вопрос трансграничной передачи возникает автоматически, и вместе с ним три обязанности оператора: уведомить Роскомнадзор, проверить страну получателя, иметь основание для передачи.
Отсюда рабочая привычка. Прежде чем внести данные клиента в любой сервис, спросите о нём то же, что о поставщике: где физически находятся серверы, в какой они стране, уходят ли данные за её пределы. У сервиса, который управляет данными всерьёз, ответы уже написаны. Уклончивый ответ на этот вопрос тоже ответ.
Как схема с сервером в РФ снимает вопрос
Есть способ не решать задачу трансграничной передачи каждый день, а закрыть её на уровне архитектуры: разместить базу с данными клиентов на сервере в России. Тогда первичная база никуда за границу не уходит, и вопрос трансграничной передачи для неё не встаёт.
Так устроена Хермес от intakto. Это ИИ-помощник с постоянной памятью, и живёт она на сервере клиента, физически в РФ. Память, документы и переписка Хермес хранятся в базе на этом сервере, данные не уезжают за рубеж. Как устроено само хранение, от слоёв памяти до личного кабинета с ключами, описано на странице продукта intakto.
Честная граница у этой схемы тоже есть. Своя база в РФ снимает вопрос хранения и локализации, но если запрос к самой языковой модели уходит зарубежному поставщику через API, это отдельный маршрут данных, и его стоит оценить отдельно. Поэтому и здесь та же честность, что во всей теме: мы описываем схему размещения, а не выдаём юридических заключений. Состав Ваших данных и порядок их передачи в конкретной ситуации оценивает юрист.
Целиком картину владения данными, от политик провайдеров до self-hosted против облака, мы собрали в обзоре темы владения данными.
Обязательно ли уведомлять Роскомнадзор о передаче данных за рубеж?
Да. По части 3 статьи 12 закона 152-ФЗ оператор до начала деятельности по трансграничной передаче обязан уведомить уполномоченный орган, то есть Роскомнадзор. С 1 марта 2023 года действует уведомительный порядок: сообщить нужно заранее, отдельным уведомлением, помимо общего уведомления об обработке. Форма подаётся через портал персональных данных Роскомнадзора. Регулятор рассматривает уведомление в течение десяти рабочих дней.
Каким странам можно передавать персональные данные?
Закон делит государства на две группы. В страны, которые обеспечивают адекватную защиту прав субъектов (стороны Конвенции Совета Европы и приравненные к ним), передавать можно, не дожидаясь ответа регулятора. В остальные страны передача до истечения срока рассмотрения уведомления запрещена, кроме отдельных случаев вроде защиты жизни и здоровья. Похожая логика есть в GDPR: там Еврокомиссия решением об адекватности определяет страны с достаточным уровнем защиты.
Запрещает ли закон пользоваться зарубежными ИИ-сервисами?
Нет. Закон не запрещает инструменты, он регулирует передачу данных людей за рубеж. Если Вы вносите в зарубежный сервис имена, телефоны и обстоятельства клиентов, возникает вопрос трансграничной передачи, и на него нужны ответы: уведомлён ли Роскомнадзор, в какую страну уходят данные, есть ли согласие. Ответственность за эти ответы закон возлагает на оператора, то есть на Вас, а не на поставщика сервиса.
Что грозит за передачу данных за рубеж без уведомления?
Ответственность несёт оператор, то есть тот, кто собрал и передал данные, а не поставщик ИИ-сервиса. Составы и суммы административных штрафов за нарушения в области персональных данных перечислены в КоАП и регулярно обновляются, поэтому конкретные цифры здесь не приводим: сверяйте действующую редакцию. Практический вывод простой: прежде чем вносить данные клиентов в зарубежный сервис, стоит понять, где стоят его серверы, и обсудить порядок передачи с юристом.
источники (3)
- Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», статья 12 · КонсультантПлюс · 2006
- Портал персональных данных: уведомление о трансграничной передаче · Роскомнадзор · 2023
- Art. 45 GDPR: Transfers on the basis of an adequacy decision · gdpr-info.eu, Intersoft Consulting · 2018